Le 5e pilier stratégique pour l’amélioration de la cyber-résilience des collectivités ou de toute organisation requière la mise en œuvre d’un plan d’actions et d’amélioration continue. Aussi, pour maîtriser à terme nos risques, nous devons collectivement nous engager et prendre des décisions. La prise de conscience des enjeux progresse, mais les actions tardent à venir.
Alors que les dirigeants d’entreprise sont rompus à l’exercice de la prise de décision quotidienne, comment expliquer ce frein ? Pour le dépasser, il est essentiel de le comprendre. Et c’est au travers de la psychologie que l’on peut trouver les premiers éléments de réponse. Pierre Oger, Directeur Général et Fondateur d’Égérie, livre son expertise.
Risque flou et incernable
Selon l’IFOP, 35% des dirigeants d’ETI considèrent le cyber comme un risque stratégique, 55 % des ETI évaluent ce risque comme important, mais le qualifient dans le même temps de « non prioritaire ».[1]
Sommes-nous pris de schizophrénie ? Les dirigeants sont-ils dépassés par tant de menaces concomitantes ? La réponse est bien plus complexe et requiert surtout, beaucoup d’humilité…
Premier élément de compréhension, c’est face à un risque cyber perçu comme étant à la fois trop flou, lointain, immatériel « incernable, inquiétant et complexe » explique Jacques Fradin, docteur en médecine, spécialiste en psychologie cognitive, que l’on demande aux dirigeants de prendre des décisions.
A lire aussi : « Cyber-risques : les entreprises peuvent-elles être plus fortes ensemble en cas de crise ? »
Deuxième élément, la peur qui accompagne ce risque cyber, dans les faits puisqu’il est aujourd’hui avéré que ce risque peut réduire à néant toute une organisation, ou bien au travers de la communication anxiogène adoptée depuis des années maintenant. Cette peur entraîne alors plusieurs réactions : le déni, la surprotection ou la prise de risques inconsidérée et la perception des enjeux n’en est que plus déstabilisante.
Autre facteur à ne pas oublier, le risque subi est plus facile à̀ gérer émotionnellement que le risque pris ce qui peut pousser à la non-décision ! Notre responsabilité́ voire notre culpabilité́ est engagée, plus encore lorsque notre image sociale est engagée. « La décision humaine subit de nombreux biais. En situation de non-contrôle, notre cerveau se met, par défaut, en posture de repli voire en évitement, en déni. Ceci explique sans doute pourquoi certaines entreprises se croient bien protégées… contre toute raison ! » nous éclaire en effet Jacques Fradin.
Résistance au changement
Les grands facteurs de résistance au changement semblent réunis : la nouveauté́ qui rend le risque, par essence abstrait, plus irréel encore, au profit d’enjeux du quotidien plus pressants, plus concrets mais aussi plus bénins et rassurants ; la gravité et la complexité́ des risques qui incitent paradoxalement à l’attentisme voire au fatalisme… et le contexte où l’on voit se multiplier les risques climatiques, écologiques, sanitaires, économiques, sociaux, géopolitiques, etc.
Enfin, le risque cyber appartient à̀ un genre nouveau. « Hautement évolutif, peu traçable, décalé́, émanant de territoires « complices », il comporte des potentiels relais internes humains au sein de l’entreprise, conscients et malveillants et qui peut déclencher la crise par erreur ou négligence. » souligne le docteur Fradin. Si tout cela n’empêche pas le statu quo ou l’espoir de « pouvoir passer entre les gouttes » … il permet à tout le moins de mieux comprendre notre réaction face à la prise de décision, ou plus exactement au manque de prise de décision, et au besoin de discernement qui peut, dans ce contexte, faire cruellement défaut mais qui, et c’est une bonne nouvelle, n’est évidemment ni irréversible, ni insurmontable.
Ces éléments de compréhension posés, comment apprécier sainement les choses ; avec intelligence et sens critique, ou comment passer le cap de l’action pour maîtriser ses risques cyber ?
Accompagner et clarifier
Si les dirigeants d’entreprise n’ont pas une perception réaliste du risque, alors nous devons les accompagner à mieux appréhender celui-ci, au travers de diagnostics ou d’analyses simples et pragmatiques. En leur expliquant clairement les risques et les impacts des menaces cyber sur leur métier, leur activité, leur collaborateur, cela permet de passer d’un risque flou et abstrait à une réalité soudainement plus concrète.
Cela passe notamment par des outils de cartographies qui permettent de matérialiser, quantifier et schématiser simplement des données issues de nos bibliothèques collaboratives et donc d’informations et de données partagées par leurs pairs. Ces informations reflètent des risques adaptés à chaque contexte et issus de l’expérience des autres utilisateurs, ce qui permet de délivrer très rapidement des scénarios d’attaques très réalistes dans lesquels les dirigeants peuvent se projeter.
Les membres du comité de direction disposent alors d’informations claires et contextualisées, compréhensibles et concrètes qui leur permettent de mieux comprendre la situation de danger réel dans laquelle ils se trouvent, les risques auxquels leur entreprise doit faire face, leur niveau de protection et les actions à mettre en œuvre avec des priorisations plus évidentes. L’ensemble de ces points à vocation à permettre in fine une prise de décision plus éclairée.
Partage d’informations stratégique
Une situation à risque s’appréhende rarement sans information extérieure et ne peut se résoudre seul. Pour se protéger, il faut partager et diffuser cette appréciation du risque pour que toute la communauté en bénéficie par effet rebond.
Le parallèle avec les combattants est frappant : un soldat ne part jamais seul au front. Il a besoin des autres pour avancer, s’adapter à la situation et prendre des décisions. Il est donc, tout à la fois, émetteur d’une information utile et récepteur d’informations émanant de la communauté. Dans le cas de la cybersécurité, nous sommes exactement dans cette configuration.
Aussi, au-delà des actions de sécurisation qui doivent adresser les différents niveaux technologiques, les décisions doivent concerner les procédures tant humaines que structurales.
Replacer l’humain et son mode de réflexion au cœur des enjeux
Soyons des combattants ! Des combattants cyber protecteurs du patrimoine global national et européen. Cela passe et passera par vous, Mesdames et Messieurs les chefs d’entreprises. Votre place est essentielle. Votre action est primordiale. Vous possédez le pouvoir de décider et illustrez, une fois encore, que l’humain est bien au cœur des enjeux. L’humain, décideur. L’humain, acteur.
Pouvoir décider en conscience implique aussi que les conseillers osent ! Osent dire et présenter des éléments éclairants et opérationnels qui peuvent en effet bousculer, faire sourire, briser le consensus dans un comité de direction ou conseil d’administration…
Parallèle médical oblige, cacher ses symptômes ou ses antécédents médicaux à son médecin faussera le diagnostic et donc le traitement médical prescrit. Impossible de renforcer ses défenses immunitaires et d’affronter le virus…C’est donc un rôle clé, là encore que l’humain joue.
C’est une approche qui nous oblige à sortir de notre zone de confort afin de prendre les décisions qui s’imposent, et que la maîtrise des risques cyber puisse s’opérer. Choisir c’est renoncer, c’est aussi et avant tout décider !
N’oublions pas que les grandes révolutions ont demandé du courage et de la persévérance à nos illustres ancêtres : démontrer que la Terre n’était pas plate ne fut pas chose facile. Aujourd’hui, cela semble une évidence ! Voyager et explorer l’Espace, penser vivre un jour sur la Lune ou sur Mars, sont des révolutions qui reposent sur des prises de décisions risquées mais essentielles à notre évolution.
Il en sera de même pour la maîtrise des risques cyber : à nous de le décider avec courage et humilité !
[1] https://www.besse.fr/fr/les-dirigeants-deti-face-la-menace-cyber-point-de-situation