monticellllo - stock.adobe.com
Étude : les biais cognitifs qui minent les décisions des conseils d'administration en cybersécurité
Une étude néerlandaise révèle comment les biais cognitifs peuvent conduire à des décisions catastrophiques en matière de sécurité informatique.
Le système traditionnel de feux tricolores utilisé par les responsables de la sécurité des informations (RSSI) pour signaler les cyberrisques aux conseils d'administration montre des signes de fatigue. Après avoir interrogé plus de 10 RSSI en Europe, Gulet Barre, chercheur doctorant à l'Open University des Pays-Bas, a découvert des indices inquiétantes : les biais cognitifs inhérents à la manière dont les conseils d'administration interprètent les risques orange semblent créer un fossé dangereux entre ce que les RSSI rapportent et ce que les conseils d'administration comprennent.
« C'est un peu comme si vous conduisiez », explique Gulet Barre, dont les recherches portent sur la communication entre les RSSI et les conseils d'administration. « Nous savons tous ce qu'il faut faire aux feux verts et rouges, mais l'orange ? Certains conducteurs accélèrent, d'autres freinent. Cette ambiguïté du feu orange est exactement ce qui se passe dans les conseils d'administration lorsque les RSSI présentent les risques de cybersécurité ».
Les conséquences de cette interprétation erronée sont graves. Lorsque des décisions sont prises sur la base de distorsions cognitives, les conséquences peuvent être catastrophiques, avertit Gulet Barre. Ses recherches ont permis d'identifier sept biais cognitifs qui sapent systématiquement la prise de décision en matière de cybersécurité au niveau du conseil d'administration, avec des résultats potentiellement dévastateurs pour les organisations.
Approche réactive du financement
La conclusion la plus dommageable de l'étude de Gulet Barre est peut-être ce qu'un RSSI a candidement admis : « une mauvaise nouvelle est une bonne nouvelle. Lorsqu'une attaque critique est menée contre un concurrent, les membres du conseil d'administration se tiennent prêts avec un sac d'argent. Vous obtenez alors ce que vous voulez en tant que RSSI - les exercices de Red Team que vous souhaitez désespérément voir financés. Malheureusement, c'est la réalité ».
Cette approche réactive du financement de la cybersécurité crée un cercle vicieux. Les RSSI luttent pour obtenir des ressources adéquates pour les mesures préventives, tandis que les conseils d'administration restent convaincus que leur organisation est correctement protégée jusqu'à ce qu'un incident majeur se produise. À ce moment-là, le mal est fait.
Le problème vient de la manière dont les risques classés orange sont communiqués et interprétés. Dans les rapports traditionnels par feux tricolores, le vert signifie un risque faible, le rouge indique qu'une action immédiate est nécessaire, mais l'orange se situe dans une zone grise que les différentes parties prenantes interprètent de manière tout à fait différente.
« Un RSSI peut avoir tendance à considérer que l'orange est plus proche du vert - il est relativement optimiste quant à la gestion du risque », explique Gulet Barre : « mais un membre du conseil d'administration peut être plus pessimiste, considérant ce même risque orange comme dangereusement proche du rouge. Ce décalage fondamental dans la perception des risques - que nous appelons le biais d'ambiguïté - crée un fossé énorme dans la manière dont les cybermenaces sont comprises et traitées ».
Sept préjugés qui minent les cyber-décisions
Les recherches de Gulet Barre ont permis d'identifier sept biais cognitifs spécifiques affectant la gouvernance de la cybersécurité : le biais d'optimisme, le biais de pessimisme, le biais de troupeau, le biais de confirmation, le biais d'ambiguïté, le biais d'excès de confiance et le biais de dotation.
Le biais d'optimisme conduit les RSSI à sous-estimer la probabilité de résultats défavorables, tandis que le biais de pessimisme peut amener les membres du conseil d'administration à considérer les situations comme pires qu'elles ne le sont. Cette combinaison crée ce que Gulet Barre appelle des « scénarios de prise de décision catastrophiques ».
Les préjugés liés à l'entourage s'avèrent particulièrement dangereux dans les conseils d'administration. Si un ex-RSSI siège au conseil d'administration, les autres administrateurs peuvent penser : « cette personne pense que nous devrions aller dans cette direction, donc elle doit avoir raison, suivons-la », relève Gulet Barre. Et de conclure : « les gens s'en remettent à l'expertise perçue sans évaluation critique ».
Ce comportement s'étend au-delà des réunions individuelles. Les conseils d'administration prennent souvent des décisions en matière de cybersécurité sur la base de ce que font les organisations concurrentes, plutôt qu'en fonction de leur propre profil de risque.
« Ils voient un concurrent se diriger vers la droite, alors ils se dirigent également vers la droite, sans se demander si c'est approprié pour leur organisation », estime Gulet Barre.
Le biais de confirmation aggrave ces problèmes. Les membres du conseil d'administration qui ont vu des attaques de ransomware rapportées dans les médias font une fixation sur ces menaces spécifiques, poussant les RSSI à traiter les risques qui correspondent à leurs idées préconçues plutôt que les vulnérabilités réelles les plus urgentes.
Par ailleurs, l'excès de confiance conduit les membres des conseils d'administration à surestimer leur compréhension des cyberrisques, en particulier lorsqu'ils reçoivent de nouvelles informations telles que des rapports d'audit de sécurité, ce qui crée un faux sentiment de sécurité. Enfin, le biais de dotation se manifeste lorsque les conseils d'administration s'opposent à la modification des systèmes existants.
« Un RSSI peut recommander le remplacement d'un outil obsolète, mais les membres du conseil d'administration, en particulier les cadres supérieurs, diront que ce système est suffisant, simplement parce qu'ils y sont habitués », explique Gulet Barre : « c'est une forme de résistance au changement qui rend les organisations vulnérables ».
L'illusion de l'orange
Le problème principal réside dans la nature fondamentale de l'orange (ou ambre), comme le dit Gulet Barre, qui est une « illusion ». Contrairement aux hôpitaux, où les patients restent ou rentrent chez eux sans solution intermédiaire, les rapports sur la cybersécurité ont conservé cette catégorie intermédiaire problématique qui ne sert efficacement ni les RSSI ni les conseils d'administration.
« L'orange n'est essentiellement pas un point d'action », observe Gulet Barre : « il devient un espace de stationnement pour les conseils d'administration et les RSSI. Lorsque le temps est limité lors des réunions du conseil d'administration et qu'il y a de nombreux risques à discuter, on a tendance à faire passer les risques rouges à l'orange pour avoir plus de temps pour la discussion. Mais cela crée une dangereuse ambiguïté ».
L'étude révèle que l'écart dans l'établissement et l'interprétation des risques est énorme. Lorsque le même scénario de cybersécurité est présenté à différentes parties prenantes, les RSSI peuvent le classer dans la catégorie rouge alors que les membres du conseil d'administration le voient dans la catégorie verte, ou vice versa. Ce décalage fondamental dans l'évaluation des risques sape l'ensemble du processus de gouvernance de la cybersécurité.
Selon Gulet Barre, il serait intéressant d'étudier si la distance temporelle affecte la perception des risques : « si vous discutez d'une menace de cybersécurité qui pourrait avoir un impact sur les opérations la semaine prochaine, les membres du conseil d'administration pourraient avoir tendance à être plus pessimistes, plus prudents », a-t-il déclaré. Mais... « si la même menace est prévue pour les mois à venir, ils pourraient devenir plus optimistes et moins inquiets ».
Mise à jour du rapport nécessaire
Quelle est donc la solution ? Les recherches de Gulet Barre visent à déterminer si les rapports traditionnels sur les feux de circulation peuvent être conservés ou s'ils doivent être complètement remplacés.
« On peut vivre dans une maison pendant 20 ans sans bouger, mais on peut la rénover », relève-t-il. La question est de savoir si l'orange doit faire l'objet d'une « notice d'information du patient », comme c'est le cas pour les médicaments, expliquant exactement ce qu'il signifie et quelles sont les mesures à prendre, ou si nous devons l'éliminer complètement.
L'analogie avec les produits pharmaceutiques est délibérée. Lorsque les médecins prescrivent des médicaments, ils fournissent des indications détaillées sur le dosage, le moment de la prise et les effets secondaires potentiels. Les rapports sur la cybersécurité manquent actuellement de cette spécificité, laissant les conseils d'administration interpréter les risques en fonction de leurs propres préjugés et de leur compréhension limitée.
Certaines organisations à haute fiabilité vont déjà au-delà d'un simple code couleur, mettant en œuvre des tableaux de bord sophistiqués et des outils d'évaluation des risques pilotés par l'IA. Toutefois, la zone grise de l'orange persiste, quelle que soit la complexité du système de reporting.
Avec la nouvelle législation européenne, telle que NIS2, qui rend les membres du conseil d'administration personnellement responsables des défaillances en matière de cybersécurité, les enjeux n'ont jamais été aussi importants. La recherche suggère que le simple fait de reconnaître ces biais cognitifs peut être le premier pas vers une meilleure prise de décision.
« Si les membres du conseil d'administration et les RSSI peuvent identifier les biais d'optimisme, le comportement grégaire ou les biais de confirmation qui influencent leurs discussions, ils peuvent se responsabiliser mutuellement et prendre des décisions plus rationnelles », estime Gulet Barre.
Sa recherche expérimentale, actuellement en cours, permettra de vérifier si différentes méthodes de présentation peuvent réduire les interprétations erronées des risques de cybersécurité dues à des préjugés. L'objectif est de développer des outils pratiques qui améliorent la communication entre les RSSI et les conseils d'administration.
Le message de Gulet Barre aux conseils d'administration actuels est clair : « j'espère que les membres des conseils d'administration se rendent compte que le vert, l'orange et le rouge ne couvrent pas toute l'étendue des risques. Ils ne peuvent pas se contenter de classer les problèmes dans la catégorie orange et supposer qu'ils sont réglés ».
Pour les RSSI, l'étude suggère que la reconnaissance et la prise en compte active des préjugés des conseils d'administration sont aussi importantes que les mesures de sécurité techniques. « Les distorsions psychologiques sont présentes dans tous les processus de prise de décision », souligne-t-il. Dès lors, « la clé est de rester vigilant et de reconnaître quand ces préjugés influencent les décisions critiques en matière de cybersécurité ».
Alors que les cybermenaces continuent d'évoluer et que la pression réglementaire s'intensifie, les organisations ne peuvent plus se permettre le luxe d'un reporting ambigu sur les risques. Le système de feux tricolores, qui a servi de pierre angulaire à la gouvernance de la cybersécurité pendant des années, pourrait lui-même avoir besoin d'une mise à jour de sécurité.
