Citer
Imprimer
Partager

Cybersécurité : les biais qui impactent les décisions d’investissement

  • Résumé
    En matière de cybersécurité, il existe une multitude de raisons expliquant pourquoi une entreprise n'a pas encore été piratée. Il se peut notamment qu’elle n’est pas détectée la présence des criminels informatiques ou qu'elle ait simplement eu de la chance cette année-là. L'absence d’intrusion ressort alors comme le fruit de bonnes prises de décisions en matière de recrutement et d'allocation des fonds. A l’inverse, lorsque des incidents se produisent, c’est davantage les erreurs techniques qui sont interrogées aux détriments des erreurs de choix dans l’investissement dans la cybersécurité. Or ces intrusions peuvent également avoir été indirectement causées par des erreurs dans les décisions d’investissements dans la cybersécurité. Ainsi, certaines conditions cognitives, appelées biais cognitifs, peuvent rendre une entreprise vulnérable aux failles de sécurité.
    Citation : Le Roy, J., & Meier, O. (Sep 2022). Cybersécurité : les biais qui impactent les décisions d’investissement. Management et Datascience, 6(3). https://doi.org/10.36863/mds.a.20673.
    Les auteurs : 
    • Jeanne Le Roy
      - European Business School
    • Olivier Meier
       (olivier.meier@iutsf.org) - UPEC
    Copyright : © 2022 les auteurs. Publication sous licence Creative Commons CC BY-ND.
    Liens d'intérêts : 
    Financement : 
    Texte complet

    Les biais cognitifs sont des erreurs mentales cohérentes et prévisibles causées par nos stratégies simplifiées de traitement de l’information, également appelées “heuristiques”, c’est-à-dire des raccourcis cognitifs utilisés pour faciliter notre prise de décision. Ces erreurs systématiques dans notre processus de pensée ont un impact important sur nos croyances, nos décisions et nos jugements. Les fondements psychologiques qui permettent d’éclairer l’origine des préjugés et des processus décisionnels trouvent un large soutien dans la théorie du double processus développée par Kahneman (Kannengiesser et Gero, 2019). Cette théorie explique que deux systèmes identifiés comme le Système 1 et le Système 2 dirigent notre façon de penser. Le système 1 est rapide, intuitif, émotionnel et impose une faible charge cognitive à l’utilisateur. Le Système 2 est plus lent, plus délibératif, plus logique mais génère une plus grande implication cognitive sur l’utilisateur. Le système 1 permet de prendre des décisions rapides, tandis que le système 2 permet d’analyser les données de manière plus critique et est beaucoup plus adapté à la résolution de problèmes complexes. Le fait d’être une espèce dotée de capacités cognitives marquées ne signifie cependant pas que ces capacités sont toujours utilisées à leur plein potentiel. Au contraire, l’esprit humain, à l’instar de ce qui se passe dans les ordinateurs qui utilisent le mode “économie d’énergie”, a tendance à utiliser la voie cognitive qui entraîne la plus faible dépense d’énergie. En fait, comme le souligne Piaget, “l’intelligence est ce que vous utilisez quand vous ne savez pas quoi faire”, et non quelque chose qui, comme beaucoup le pensent malheureusement, est toujours exploité à son plein potentiel. La double théorie de Kahneman et d’autres psychologues qui traitent des biais cognitifs explique que nous passons environ 95 % de notre temps à penser selon le système 1. Malheureusement, les preuves scientifiques montrent que la plupart des biais cognitifs et des erreurs qui y sont liées se produisent lors de l’utilisation du système de pensée 1, car l’exigence d’une réponse rapide augmente la quantité de biais et réduit le nombre de décisions logiquement correctes (Sullivan et Schofield, 2018). A l’ère du numérique, des biais cognitifs peuvent intervenir à différentes étapes du processus de sélection et de traitement des informations sur Internet. Et de manière plus spécifique, dans le champ de la cybersécurité Johnson, Gutzwiller, Ferguson-Walter et Fugate (2020) ont dressé une liste de 87 biais, pouvant intervenir dans la prise de décision en cyber sécurité. Parmi ces biais, certains interviennent plus spécifiquement dans les décisions d’investissement en cybersécurité (Jalali, Siegel, et Madnick, 2019; Ting, 2022).

    L’effet Bandwagon et le biais en faveur d’innovation

    L’effet Bandwagon (Nadeau, Cloutier, et Guay, 1993) est un effet où le taux de croyance et de confiance dans les nouvelles idées, ou dans ce cas, les technologies, augmente plus rapidement que le nombre de croyants. Cet effet est généralement utilisé pour expliquer les tendances, ou l’idée que les gens soutiennent une idée simplement parce qu’elle est populaire. Si, dans un domaine comme la mode, il n’y a pas forcément d’inconvénients à ce que les tendances aillent et viennent, ce n’est pas le cas de la technologie, car elle peut être intégrée dans la vie quotidienne et potentiellement causer des dommages. Ce préjudice peut prendre la forme d’un biais pro- innovation (Godin et Vinck, 2017) qui conduit à penser qu’une innovation doit être adoptée par l’ensemble de la société sans aucun changement. En termes de technologie, ce biais cognitif affecte la prise de décision des entreprises dans la rapidité avec laquelle elles procèdent au développement de technologies non sécurisées.

    Heuristique de disponibilité, biais de confirmation et biais d’échantillonnage

    Le cycle d’ignorance de la cybersécurité par les dirigeants peut être expliqué par la logique erronée de l’heuristique de disponibilité ainsi que par différents biais, tels que le biais de confirmation et le biais d’échantillonnage. L’heuristique de disponibilité est une heuristique qui utilise des exemples qui viennent à l’esprit pour évaluer un certain sujet dans sa globalité (Pachur, Hertwig et Steinmann, 2012). En raison de cette heuristique, les dirigeants d’entreprises qui n’ont pas détecté de violations ces dernières années peuvent ne pas croire que le risque de-piratage est très élevé, même si une violation a déjà eu lieu sans être détectée ou qu’ils n’ont tout simplement pas encore été ciblés. L’absence de réflexion contrefactuelle de la part des managers et des dirigeants en raison de l’absence de brèches est aggravée par le biais de confirmation, qui est une tendance pour un individu à interpréter les événements d’une manière qui confirme ses croyances (Klayman, 1995). Par conséquent, une absence de brèches et de vulnérabilités détectées pourrait confirmer la croyance d’un dirigeant que son entreprise est sûre, croyant ainsi que la corrélation est la causalité. Un autre biais exaspérant cette croyance est le biais d’échantillonnage. Le biais d’échantillonnage est essentiellement celui que l’on observe dans les études et les analyses statistiques : un échantillon de mauvaise taille ou un mauvais choix d’échantillon faussera les résultats pour aboutir à une conclusion inexacte (Stasser et Titus ,1985) Si un dirigeant d’entreprise fonde ses décisions en matière de dépenses de sécurité sur un petit échantillon composé d’entreprises appliquant des normes similaires et sur les failles de sécurité qui font la une de l’actualité, sa décision risque de ne pas reposer sur des données exactes. L’augmentation récente du nombre de violations pourrait s’expliquer par le fait que, les années précédentes, de nombreux dirigeants n’ont pas suffisamment investi dans la cybersécurité en raison de l’absence de violations dans les médias et parmi leurs pairs. Grâce au délai de rétroaction imprévisible, ce manque d’investissement dans différentes entreprises a entraîné une cybersécurité plus faible qui est maintenant exploitée par les criminels informatiques, ce qui a conduit à une augmentation substantielle des failles de sécurité. Bien qu’il s’agisse d’une simple affirmation, elle met en évidence un danger dans la manière dont les dirigeants ont abordé la cybersécurité.

    Biais du risque zéro

    Le parti pris de se concentrer sur la prévention et l’atténuation des risques peut s’expliquer par le biais du risque zéro. En psychologie, le biais du risque zéro est défini par la tendance à préférer la valeur de la certitude et à opter pour des solutions à risque zéro (Schneider, Streicher, Lermer, Sachs, et Frey, 2017) même si cela entraîne un résultat moins favorable. L’idée de prévenir les violations de la sécurité semble plus attrayante car elle implique presque que les violations seraient impossibles lorsque la prévention est réalisée Le fait que les vulnérabilités soient inévitables reste une vérité pessimiste, mais c’est une vérité que les dirigeants doivent comprendre, afin de gérer les risques et de réduire des éventuelles brèches coûteuses.

    Parce que la technologie est devenue omniprésente, la compréhension de sa sécurité doit être tout aussi importante, au-delà des rôles purement technologiques. Les failles dans la sécurité d’une entreprise, sous la forme de brèches, sont attribuées à des vulnérabilités techniques. Cependant, les problèmes de sécurité peuvent provenir des cadres qui prennent des décisions concernant l’allocation des fonds. Comme ce sont des êtres humains qui font ces choix, il faut tenir compte des biais cognitifs. Ces préjugés ont conduit à un manque de réflexion contrefactuelle ainsi qu’à une vision de la cybersécurité comme un problème à résoudre et non comme un risque à gérer. Les acteurs doivent se méfier davantage des nouvelles technologies et de leurs vulnérabilités non découvertes avant de croire en leur potentiel, afin de lutter contre l’effet d’entraînement et le parti pris en faveur de l’innovation. Aborder le domaine de la cybersécurité sous différents angles, y compris celui du comportement, est essentiel à son avenir pour qu’il puisse se développer et prospérer.

    Bibliographie

    Godin, B., & Vinck, D. (Eds.). (2017). Critical studies of innovation: Alternative approaches to the pro-innovation bias. Edward Elgar Publishing.

    Jalali, M. S., Siegel, M., & Madnick, S. (2019). Decision-making and biases in cybersecurity capability development: Evidence from a simulation game experiment. The Journal of Strategic Information Systems, 28(1), 66-82.

    Johnson, C.K., Gutzwiller, R.S., Ferguson-Walter, K. J., & Fugate, S.J. (2020). A cyber-relevant table of decision making biases and their definitions. Technical Report. doi 10.13140/RG.2.2.14891.87846

    Kannengiesser, U., & Gero, J. S. (2019). Empirical evidence for Kahneman’s System 1 and System 2 thinking in design. Human Behavior in Design.

    Klayman, J. (1995). Varieties of confirmation bias. Psychology of learning and motivation, 32, 385-418.

    Nadeau, R., Cloutier, E., & Guay, J. H. (1993). New evidence about the existence of a bandwagon effect in the opinion formation process. International Political Science Review, 14(2), 203-213.

    Pachur, T., Hertwig, R., & Steinmann, F. (2012). How do people judge risks: availability heuristic, affect heuristic, or both?. Journal of Experimental Psychology: Applied, 18(3), 314.

    Schneider, E., Streicher, B., Lermer, E., Sachs, R., & Frey, D. (2017). Measuring the zero-risk bias: Methodological artefact or decision-making strategy?. Zeitschrift für Psychologie, 225(1), 31.

    Stasser, G., & Titus, W. (1985). Pooling of unshared information in group decision making: Biased information sampling during discussion. Journal of personality and social psychology, 48(6), 1467.

    Ting, D. (2022). Why Cognitive Biases and Heuristics Lead to an Under-investment in Cybersecurity.

  • Évaluation globale
    (Pas d'évaluation)

    (Il n'y a pas encore d'évaluation.)

    (Il n'y a pas encore de commentaire.)

    • Aucune ressource disponible.
    © 2022 - Management & Data Science. All rights reserved.