Tryfonov - stock.adobe.com

Cybersécurité : les biais (cognitifs) dans tous leurs états (3/5)

La plupart de nos décisions sont prises sous l’influence de nombreux biais cognitifs. Le domaine de la sécurité informatique n’y échappe pas. Dans cet article, nous en examinons les effets en situation de crise.

Ça y est, nous y sommes, cette fois il ne s’agit plus de surveiller, d’être en veille, mais en action. Nous sommes en pleine cyber crise !

Les grands opérateurs de service en cybersécurité sont généralement habitués à gérer des crises, que ce soit dans leur propre organisation, ou pour l’un de leurs clients. Ils ont donc là encore tout un arsenal d’outils et de méthodes pour piloter et gérer ce type d’évènements.

Pour autant – et on le vérifie quasi systématiquement –, personne n’est à l’abri de mauvaises décisions. Alors si nous sommes tellement préparés, pourquoi une gestion de crise peut-elle déraper ?

Plusieurs biais peuvent expliquer ces erreurs d’appréciation. En voici quelques-uns.

  • Il arrive très souvent de voir une équipe ne pas déclencher le protocole de crise alors qu’elle est justement en pleine tempête. Ça peut sembler aberrant, mais analyser la situation et la qualifier de crise n’est pas chose aisée. Sans compter que lorsque tout devient critique pour tout le monde, on ne sait plus distinguer l’urgent de l’important. C’est alors que se met en branle une réaction quasi systématique : l’improvisation générale. Tout le monde se mêle de tout, personne ne respecte plus les protocoles de communication, les niveaux de confidentialité sont bafoués, les communications sont anarchiques, les actions non pilotées, etc. La situation est idéale pour garantir une perte d’information et mener un membre de l’équipe à prendre la mauvaise décision. Les acteurs de cette situation ne la perçoivent pas telle qu’elle est réellement. Et ce pour une raison assez triviale finalement : l’anarchie mène à la production en masse de données chiffrées ou de contenus sémantiques, qui vont venir perturber l’analyse et le bon sens, en créant une distorsion de l’estimation ou de l’interprétation de l’information. La simple formulation d’une question ou d’une situation influe sur la perception d’une situation et conduit notre cerveau à commettre des écarts d’interprétation pouvant être lourds de conséquences. Il s’agit du biais d’ancrage.
  • Un autre point qui intervient très souvent dans la mauvaise prise de décision : ne se fier qu’à l’expertise en oubliant le bon sens. Les décideurs dans une entreprise par exemple, qui ne sont généralement pas des techniciens, vont parfois se retrouver à devoir prendre une décision dans un contexte qu’ils ne maîtrisent plus. La cyberattaque est un exemple frappant : elle est très technique, est décrite par un vocabulaire très abstrait, et n’est comprise que des experts du sujet. Dans ce contexte, le patron se retrouve dans une position compliquée et va avoir du mal à prendre la décision. Il va donc s’en remettre aux techniciens, considérant qu’ils sont mieux placés pour le faire. Son jugement sera donc totalement influencé et pourrait ne pas refléter ce qu’il pense vraiment, et surtout ce qu’il doit réellement faire. Il s’agit du biais d’expertise.
  • Une autre situation qui génère souvent des déviances est la réunion de crise. Il arrive parfois que certains, par peur d’être exclus, ou par simple besoin de montrer qu’ils sont du même avis que la majorité, prennent une décision qui n’est pas forcément la leur. Ce désir d’harmonie, qui rend irrationnels les processus de décision, provient du biais de conformité. On pourrait également parler du biais du faux consensus qui intervient dans les mêmes moments, mais lorsqu’il faut aller vite : accélérer la prise de décision, sans avoir analysé les alternatives et la qualité des choix faits.
  • Un biais assez similaire intervient parfois en situation de crise. Il s’agit du biais de similarité, qui confère à un individu, parce qu’il pense comme les autres, un poids dans la décision finale, alors que ce même individu n’a pas forcément d’expertise sur le sujet. « Il pense pareil, alors c’est qu’il sait ».
Le retour d’expérience et son analyse sont particulièrement importants après toute gestion de crise ou incident majeur.

On pourrait continuer tant la liste des biais est longue. La situation de crise, parce qu’elle est exceptionnelle, parce qu’elle génère du stress, de la pression, de la peur, est sans doute l’une des situations où l’on peut trouver de très nombreux biais qui s’expriment : le biais de l’illusion de validité, des émotions immédiates, de la malédiction de la connaissance, de l’ambiguïté, d’autorité, d’injonction paradoxale ou de renoncement, etc. Toutes ces déviances de la pensée que notre cerveau ordonne sans que nous puissions le contrôler simplement.

C’est en ce sens que le retour d’expérience et son analyse sont particulièrement importants après toute gestion de crise ou incident majeur : reprendre à froid, chaque décision, chaque comportement, et essayer de comprendre ce qui a pu modifier une perception, une décision.

Retrouvez ici le premier article de cette série, ainsi que le second, le quatrième et le cinquième.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)