Archives : Histoire du passage à l’an 2000 – Bug – Y2K

Partagez vos souvenirs sur la gestion de ce risque majeur sur facebook :

Le passage à l’an 2000 est la plus grande opération de prévention contre un risque informatique, et ce partout dans le monde. En France, Les travaux ont duré 7 ans, mobilisé plus de 50 000 personnes et environ 8 milliards d’Euros.

Cette préparation a surtout été une formidable opération de mobilisation et une course contre la montre. Elle permet d’avoir une bonne idée de ce qu’est un bon niveau de préparation, de mobilisation, d’implication des différentes parties.

Elle permet également d’avoir une bonne vision de ce que devrait être un bon niveau de préparation générale contre une Crue Majeure sur Paris par exemple.

Elle a permis de déboucher sur des avancées majeure en terme de modernisation des systèmes d’information, d’usage de l’internet, de mise en place des outils d’updating (création de windows update…) et de méthodologie de préparation à un risque systémique majeur.

Notes personnelles….

Souvenons nous d’abord du contexte, nous sommes en 1992, ni les offreurs (constructeurs et éditeurs) ni les utilisateurs n’ont spécifié le bon passage à l’an 2000 dans les spécifications techniques, il en découle qu’il s’agit d’une erreur collective et non (encore) d’un manquement qui a pour conséquence essentielle de reporter la totalité de la responsabilité financière en cas de catastrophe vers le régime d’assurance RC pro des SSII et constructeurs qui ne résistera pas. Axa est l’assureur le plus exposé. Le risque de l’immobilisme technique (et financier) est donc insupportable pour l’économie tout entière. Par ailleurs, comme nous avons une échéance fixe devant nous, il faut donc caler le dispositif sur les derniers de la classe et non les premiers pour être certain que l’immense majorité des corrections soient faites dans les temps. C’est en éclairant ces quelques principes simples que je fût très fermement invité à agir par les entreprises PSA et Autoroutes Area, mi 1993 environ.

Il faut également se souvenir que le Clusif a été créé par les assureurs en 1983 via l’Apsaird (aujourd’hui la fédération des assurances) dont Axa est l’acteur très majoritaire. En 1993, le Clusif devient autonome, le sujet An 2000 arrivera un an plus tard au bureau du Clusif ou les assureurs siègent, je prends la présidence de la commission An 2000 pour un travail d’éclairage technique et juridique avec un objectif : comment mettre tout le monde au travail et aboutir dans les temps. Le rapport sera achevé en 1995 (rapport disponible au Clusif), il distribue les tâches et responsabilités sur tous les acteurs, assez logiquement.

Début 1996, le chargé de mission du Cigref décède brutalement, le groupe de travail en place ne compte que 10 entreprises environ, animé par Philippe Steff, DSI du Crédit Foncier qui ne siège pas au conseil d’administration. Le président du Cigref (Claude Cargou, DSI d’Axa) me demande de rejoindre le Cigref.

Le dispositif du Cigref se met en place et Philippe Steff est retenu par ses obligations au CFF ), le dossier n’a plus de DSI, je reporte directement au Conseil d’administration. Les premières estimations sont loin de la réalité (voir JT TF1), déclarations qui sèment le trouble et rendent le financement des opérations pour le moins complexe.

Au plan juridique, nous faisons appel au même juriste que le Clusif, Jean-Laurent Santoni, dont les positions sont équilibrées (chacun corrige en responsabilité ce qu’il a fait) et reprises. La passe d’armes Syntec/Sfib/Cigref a lieu en janvier 1997. La campagne est lancée dont l’objectif est d’achever tous les travaux avant l’échéance. Une chaîne de télévision est mise en place avec Computer Channel, filiale de VTCom/France Télécom.

Mais les travaux sont très en retard dans les PME et administrations qui sont hors Cigref et surexposent sérieusement les assureurs et l’économie. Je reçois des instructions formelles de ne pas communiquer vers les entreprises au nom du Cigref, mais je suis autorisé à publier en urgence un ouvrage pour les PME chez Eyrolles, et interviens fréquemment devant les acteurs économiques afin de rassurer la communauté financière. Un DSI est enfin nommé mi 1998 pour porter le sujet ; Antoine Puerto, s’il n’est pas administrateur, gouverne avec efficacité les opérations pour les membres du Cigref.

Peu après la création du Medef qui fait suite au Cnpf, le Numéro 1bis du Medef, par ailleurs président de la Fédération des Sociétés d’Assurance et ex DG d’Axa (donc le patron du président au Cigref), souhaite agir au plan national et m’exfiltre manu-militari pour mettre en place le dispositif national à destination de l’ensemble du tissu économique. A ce moment les Etats-Unis ont envoyé une délégation de sénateurs pour évaluer chaque pays et reconsidérer (éventuellement) leurs positions en matière d’investissement et de participations des fonds de pension américains. Il faut donc montrer que le projet est sur les rails et que nous avons compris. Le rapport (disponible ici) est rédigé par Bercy et un tour de table économie/finance (hors organismes professionnels informatique).

Les US ont une position en matière de pilotage nettement plus marquée que nous, le président Clinton a signé le Clinton Act qui réduit la responsabilité des fournisseurs qui parlent (nous ne sommes pas allés jusque là !) mais nous devons nous aligner (il est fait mention de ce volet de la crise qui ouvrira droit aux garanties financières page 148 du même rapport). Le Comité National Passage à l’an 2000 ouvert par le premier Ministre fin 1998 et présidé par le ministre de l’économie Dominique Strauss-Kahn a pour objet de mobiliser dans un contexte économique incertain en termes de responsabilité (intérieur et international). Le vice-président Américain Al Gore met en place une war-room pour suivre la position des principaux pays. La situation Française est examinée à la Maison Blanche.

Le Cigref réajuste sa stratégie au deuxième trimestre 1999 et  publie les résultats des tests de certains de ses adhérents, initiative exemplaire qui illustre bien le rôle des associations qui doivent jouer en dehors de leur couloir si le risque est important. La pression des médias s’accentue (émission Envoyé Spécial)

Il faut également assurer la mobilisation en région ce qui sera fait par le tour de France An 2000 du Medef (sur 8 mois environ), les mairies (fiches pratiques de l’Association des Maires de France début 1999), la CGPME, les experts comptables,.. pour que chacun fasse ce qu’il a à faire avant l’échéance. Les émissions de TV spécialisées se poursuivent avec computer channel.

Je suis ensuite détaché auprès du Cabinet à Bercy pour finaliser le dispositif d’assistance à chaud (qui ne servira pas) et organiser la cellule crise « entreprises ». Pas ou peu de dégâts en dehors de 2 cas particuliers (voir enquête de rue 89). L’opération Y2k France a coûté environ 8 à 10 milliards d’euros. Une ultime émission bilan sera diffusée sur les canaux professionnels.

Le debriefing de cette opération n’a jamais été vraiment organisé en France.

Contexte

La France, les entreprises, les administrations ont été confrontées, comme l’ensemble des autres pays, au problème du passage à l’an 2000, plus connu sous le nom « bug de l’an 2000 ». Pour des raisons historiques  (la suite).

1992

C’est en Octobre 1992 qu’a commencé l’histoire de l’an 2000 en France. Vincent Balouet, alors consultant en risques informatiques, pratique régulièrement des analyses de risque pour ses clients. L’analyse de risque consiste  (la suite)

1993

Le scénario « an 2000 » est inclus dans les études pour le compte d’autres clients, sans grand succès. Il apparaît au fur et à mesure que le phénomène an 2000 présente des caractéristiques très particulières  (suite)

1994

Les audits de risque se multiplient dans les entreprises françaises mais également à l’étranger, en particulier en Belgique, au Luxembourg et en Suisse. L’analyse de la situation montre  (suite)

1995

1995 marque un tournant dans la préparation, car il reste désormais moins de cinq ans, c’est-à-dire que le problème vient de rentrer dans le champ de vision des décideurs, dans l’univers du possible et du court terme. Les entreprises nomment des responsables (suite)

1996

La presse commence à s’intéresser de près au sujet car il représente un intérêt médiatique certain. C’est le début d’un feuilleton qui s’annonce passionnant, international, millénariste, dangereux, on y trouve quelques passionnés (suite)

1997

1997 est l’année de la mobilisation générale au-delà des grandes entreprises. L’année démarre comme prévu sur le conflit juridique avec les fournisseurs qui lancent un contre feu. Plusieurs séances d’explication auront lieu à huis clos entre le Cigref et le Syntec. Finalement, le Syntec reconnaît l’avance du Cigref. (suite)

1998

1998 marque l’essor de la mobilisation générale. Les pays les plus avancés servent de locomotive aux autres. Un petit réseau d’experts se met en place de manière informelle. Vincent Balouet en est le maillon français. Dans les entreprises, les directions générales ont enfin pris le contrôle des opérations.  (suite)

1999

C’est la dernière ligne droite. La presse est très acide à l’égard de la mission Théry qui a déçu. Le gouvernement crée enfin le dispositif attendu, le comité national du passage à l’an 2000. La première réunion est organisée 11 mois avant l’échéance, 120 millions de francs sont débloqués. Le secteur bancaire encadre (suite)

2000

Bercy, 12h00. La nouvelle Zélande passe sans encombre, le réseau de téléphonie mobile est logiquement saturé pendant 2 heures… 13h00, la Nouvelle Calédonie passe, le réseau des distributeurs de billets tombe… il s’agira d’une fausse alerte. Plus tard le Japon arrête une centrale nucléaire, l’impression que tout va bien (suite)

Les leçons de l’an 2000

Le passage à l’an 2000 n’a pas été debriefé au plan national, les autorités ont préféré tourner rapidement la page et se tourner vers l’Euro.

Au plan technique, la percée la plus notable est sans doute l’apparition des technologies d’updating qui font que cet événement ne pourra plus se reproduire (correction quasi « à la main » du parc mondial).  Selon les pays, l’image du « bug » et de ce (ceux ) qui l’en reste variable… En France le sujet est tombé dans l’oubli. Prochain rendez vous le 28 février 2100.

Au plan méthodologique, les cyber-attaques en cours et la spectaculaire augmentation des impacts doivent nous interpeller sur la façon dont nous devons traiter ensemble une crise vraiment majeure. Nous avons réussi le passage à l’an 2000, saurons-nous traiter une attaque systémique majeure ou mettre en oeuvre le RGPD, le prélèvement à la source ?