screen displaying codes

Comment organiser des exercices de planification de scénarios : Une solution de gestion des risques de cybersécurité

Author headshotLindsey Turk
Author headshotMichael Coden
Author headshotDan Pilat
Author headshotDr. Brooke Struck
read time - icon

0 min read

May 25, 2022

La FMH présente de nouveaux risques pour la cybersécurité

Les escrocs profitent des changements de main-d'œuvre résultant de la pandémie1, y compris le passage au travail à distance : en 2020, 20 % des entreprises ont déclaré avoir subi une violation de la sécurité à la suite du travail à distance d'un employé2.

Cette augmentation des cyberattaques coûte cher aux entreprises, le coût moyen d'une violation de données passant de 3,86 millions de dollars en 2020 à 4,24 millions de dollars en 2021.3 Avant la pandémie, les pirates informatiques se concentraient sur les grandes entreprises et les gouvernements. Avant la pandémie, les pirates informatiques se concentraient sur les grandes entreprises et les gouvernements. Cependant, les employés ayant commencé à travailler à domicile, ils sont devenus, sans le vouloir, les nouvelles cibles.

Les conséquences étendues d'une cyberattaque organisationnelle

Comme l'ont annoncé les journaux ces derniers mois, les cyberattaques ne touchent pas seulement les victimes. Après que la société a payé une rançon de 4,4 millions de dollars américains et commencé à reprendre ses activités habituelles4, le piratage a eu des conséquences importantes pour les habitants de ces États, puisqu'on estime que 1 800 stations-service ont manqué de carburant et que le prix moyen national du gaz a atteint son niveau le plus élevé depuis octobre 20145.

Les cyberattaques portent atteinte non seulement aux portefeuilles et aux consommateurs, mais aussi au bien-être des employés. Les recherches montrent que les victimes de cybercrimes se sentent aussi violées que s'il s'agissait d'une attaque physique - elles font état de sentiments de rage, de honte, d'isolement et de peur6, et présentent des symptômes similaires au syndrome de stress post-traumatique (SSPT)7.

Le manque de préparation augmente le coût d'une violation de 3,58 millions de dollars américains.

La préparation peut atténuer les pires impacts : pour les organisations dont les opérations de sécurité sont pleinement déployées, le coût moyen d'une violation de données est de 2,45 millions de dollars US ; pour celles qui ne sont pas à jour ou qui fonctionnent au ralenti, le coût moyen est de 6,03 millions de dollars US.8

Cependant, même si la préparation porte ses fruits, les organisations ne sont pas préparées parce que les dirigeants sous-estiment souvent les risques de cyberattaques et ont tendance à se concentrer sur les priorités temporelles - une tendance comportementale connue sous le nom d'actualisation hyperbolique.

L'actualisation hyperbolique diminue la préparation à la cybersécurité

Nous retardons souvent la préparation d'un événement, en particulier lorsque sa probabilité est faible, au profit de tâches qui sont au premier plan de nos préoccupations. L'actualisation hyperbolique, définie comme notre tendance à préférer les récompenses immédiates aux récompenses futures, nous aide à comprendre le décalage entre la compréhension des risques et la préparation à une attaque. Dans une enquête menée auprès de 5 000 directeurs, seuls 38 % d'entre eux ont déclaré se sentir très préoccupés par les risques liés à la cybersécurité, et ils sont encore moins nombreux à s'estimer préparés9.

Il est clair que la majorité des administrateurs préfèrent faire face à des problèmes immédiats plutôt qu'à des problèmes qui pourraient survenir plus tard. Les cyberattaques étant devenues plus fréquentes et plus graves au cours des dernières années, l'atténuation de l'actualisation hyperbolique aiderait votre organisation à mieux se préparer aux risques futurs.

graphs showing level of concern and level of readiness of companies towards cyberattacks

Pourquoi nous évaluons mal le risque de cyberattaques : le biais de confirmation

Nous avons tendance à ne pas réagir suffisamment aux différences entre les probabilités longues et à considérer ces estimations comme très improbables. Cette tendance est connue sous le nom de biais favori-longshot.10 En conséquence, nous commençons à considérer un risque "très improbable" comme "nul".

Le biais de confirmation renforce cette façon de penser : lorsque nous voulons vraiment croire que quelque chose ne se produira pas, nous cherchons alors des raisons qui nous poussent à ignorer le problème. Nous avons tendance à arrondir à 0 une probabilité de 5 %, alors que 5 % des cyberattaques coûtent aux entreprises 1 million de dollars US ou plus.11 Pour être conscients des pièges cognitifs que représente la sous-estimation des risques réels, nous devons être très vigilants à l'égard de nos préjugés et des risques très réels auxquels nous sommes confrontés.

La planification de scénarios comme contre-mesure à l'actualisation hyperbolique et à l'évaluation erronée des risques

Qu'est-ce que la planification de scénarios ?

La planification de scénarios réalistes est une stratégie qui a de fortes chances d'améliorer l'état de préparation. Cette stratégie, fondée sur des objectifs d'apprentissage clairs, consiste à exécuter des scénarios plausibles, tels que le verrouillage des éléments clés de l'infrastructure numérique de l'organisation ou la vente aux enchères de données sensibles sur le "dark web".12 Pour créer les scénarios, les dirigeants doivent tenir compte d'un problème clé, de ses forces motrices et de toutes les incertitudes qui peuvent exister dans le contexte de ce problème.13 La planification de scénarios aide les organisations à renforcer leurs systèmes de défense en testant les hypothèses, en renforçant la résilience, en encourageant la collaboration entre les employés de tous les secteurs et de tous les niveaux, et en augmentant la capacité de réaction des employés.14

Il existe deux types d'exercices de planification de scénarios:12

  • les exercices d'incendie, qui ont lieu occasionnellement et qui permettent de tester les réactions de l'encadrement
  • Les exercices sur table, qui ont lieu plus régulièrement, permettent de tester les personnes, les processus et les technologies.

Comment contrer l'actualisation hyperbolique et les erreurs de calcul ?

Comme l'a expliqué Sarah Paquet, directrice et chef de la direction de CANAFE (lors d'un séminaire avec The Decision Lab et le Boston Consulting Group), les gens ont besoin d'histoires pour que les risques leur paraissent réels.15 Les recherches le confirment également : les histoires liées à l'avenir (également connues sous le nom d'amorçage de la focalisation sur l'avenir) peuvent aider à éviter l'actualisation hyperbolique.16 Combinant à la fois la pensée systématique et la pene imaginative17 , la planification de scénarios pousse les participants à "s'éloigner des dangereuses prévisions à point unique de l'avenir "18 et à réfléchir de manière plus large à leur environnement de cybersécurité19 .

En reconnaissant les limites de leurs connaissances et en se responsabilisant les uns les autres à cet égard, les employés peuvent réduire considérablement le risque de partialité favori-longshot.10

Comment la planification de scénarios nous prépare-t-elle aux cyberattaques ?

La planification de scénarios permet-elle vraiment de comprendre comment nous surestimons nos propres connaissances ? Pour répondre à cette question, un chercheur du MIT a demandé à des dizaines d'étudiants en MBA de fournir des intervalles de confiance sur plusieurs questions relatives à leurs activités quotidiennes.22 Quelques semaines plus tard, il leur a demandé de créer des scénarios à utiliser comme base pour de nouveaux intervalles de confiance, en ignorant leurs réponses antérieures.22 Les intervalles de confiance se sont élargis de 50 % en moyenne pour tous les scénarios.22

Cela signifie qu'après avoir créé leurs scénarios, les élèves sont devenus plus conscients des risques et se sont efforcés de les prendre en compte. D'autres expériences montrent que la planification de scénarios nous aide à nous interroger23 et à nous préparer à l'avenir24 en présentant des informations complexes de manière corente, complète et méthodique.25

Quels sont les avantages de la planification de scénarios ?

Dans une entreprise qui a eu recours à la planification de scénarios et qui subit une attaque (appelons-la entreprise A), les cadres supérieurs connaîtront leurs rôles respectifs et seront en mesure de travailler ensemble de manière cohérente. Ils sauront comment et quoi dire aux parties prenantes et conserveront une bonne partie de l'image positive qu'ils ont auprès du public. Grâce à une planification rigoureuse et créative des scénarios, l'entreprise A a eu le temps de mener des expériences de réflexion et d'introduire un nouveau logiciel aux capacités encore plus performantes.

Quelles sont les conséquences de la procrastination des exercices ?

Pour une organisation (entreprise B) qui n'a pas eu recours à la planification de scénarios pour se préparer à une cyberattaque, les conséquences peuvent être potentiellement dévastatrices. Si les cadres supérieurs de l'entreprise B ne savent pas quoi faire, ils risquent de ne pas faire confiance aux conseils du RSSI et d'essayer d'intervenir pour aider, ce qui finira par créer le chaos et la méfiance. Lorsqu'il s'agit de faire une déclaration aux parties prenantes et à la presse, les gens risquent de s'exprimer trop tôt, de dire la mauvaise chose et de donner l'impression que l'entreprise est hors de contrôle ou qu'elle est mal dirigée.

Étude de cas : Shell

En dehors du laboratoire, la planification de scénarios a un impact significatif pour aider les entreprises à se préparer au pire. Shell en est un excellent exemple. L'entreprise n'utilise pas cette stratégie pour prédire l'avenir, mais plutôt parce qu'elle crée des liens entre les processus organisationnels et permet aux dirigeants d'envisager des situations auparavant inconcevables26.

Compte tenu de sa préparation, Shell était prête à faire face à la crise pétrolière de 1973 et, plus tard, en 1981, au déclenchement de la guerre Iran-Irak.27 Contrairement à d'autres compagnies pétrolières qui avaient accumulé des réserves de pétrole, Shell a vendu ses excédents avant que le prix du pétrole ne s'effondre.27

Comprendre nos préjugés pour protéger les organisations

En organisant ces exercices, tous les membres de l'organisation deviennent plus conscients des risques de cybersécurité, ce qui peut aider les employés à évaluer avec précision leurs décisions en matière de protection de la vie privée et, par conséquent, à faire plus d'efforts pour protéger leurs informations.7 Cette stratégie s'attaque directement à l'actualisation hyperbolique et au biais du favoritisme en permettant aux participants de visualiser clairement les risques futurs et tout ce qui entre en jeu dans leurs solutions de préparation.

Pour en savoir plus sur la préparation à la cybersécurité et la planification de scénarios, consultez le rapport Strengthen Your Strategy with Cybersecurity (Renforcer votre stratégie grâce à la cybersécurité) du Decision Lab et du Boston Consulting Group. Ce rapport détaille deux scénarios hypothétiques que votre organisation peut tester afin de préparer les employés au pire des cas.

Pour en savoir plus sur la cybersécurité, consultez le webinaire Renforcer votre stratégie grâce à la cybersécurité, ainsi que son épisode sur la planification de scénarios sur The Decision Corner.

Le Decision Lab est un cabinet de conseil comportemental qui utilise la science pour faire avancer le bien social. À l'ère numérique, la cybercriminalité est une menace pour chacun d'entre nous - et la cause première de la plupart des violations est l'erreur humaine. Nous travaillons avec certains des esprits les plus innovants en matière de cybersécurité pour aider les organisations à gérer ce risque en comprenant et en éliminant les sources de biais. Si vous souhaitez vous attaquer à ce problème ensemble, contactez-nous.

References

  1. L'OMS signale une multiplication par cinq des cyberattaques et appelle à la vigilance. (2020, 23 avril). https://www.who.int/news/item/23-04-2020-who-reports-fivefold-increase-in-cyber-attacks-urges-vigilance
  2. Endurer depuis chez soi : L'impact du COVID-19 sur la sécurité des entreprises. (2020). Malwarebytes. https://www.malwarebytes.com/resources/files/2020/08/malwarebytes_enduringfromhome_report_final.pdf
  3. Lukehart, A. (2022, 4 janvier). 2022 Cyber Attack Statistics, Data, and Trends. https://parachute.cloud/2022-cyber-attack-statistics-data-and-trends/
  4. Turton, W. et Mehrotra, K. (2021, 4 juin). Hackers Breached Colonial Pipeline Using Compromised Password. Bloomberg. https://www.bloomberg.com/news/articles/2021-06-04/hackers-breached-colonial-pipeline-using-compromised-password
  5. Gibson, K. et Cerullo, M. (2021, 13 mai). Gas shortages worsen as fuel prices spike after Colonial Pipeline ransomware attack. CBS News. https://www.cbsnews.com/news/gas-prices-shortages-worsen-colonial-pipeline-ransomware-attack/
  6. Ranger, S. (2020, 26 juin). "Les quatre heures les plus stressantes de ma carrière" : ce que l'on ressent lorsqu'on est victime d'un piratage informatique. ZDNet. https://www.zdnet.com/article/it-is-stressful-it-is-frightening-what-its-like-to-be-a-victim-of-hacking-and-ransomware/
  7. Wiederhold, B. (2014). Le rôle de la psychologie dans l'amélioration de la cybersécurité. Cyberpsychology, Behavior and Social Networking, 17, 131-132. https://doi.org/10.1089/cyber.2014.1502
  8. Rapport sur le coût d'une violation de données en 2020. (2020). IBM Security.
  9. Cheng, J. Y.-J. et Groysberg, B. (2017, 22 février). Pourquoi les conseils d'administration ne font pas face aux cybermenaces. Harvard Business Review. https://hbr.org/2017/02/why-boards-arent-dealing-with-cyberthreats
  10. Evans, D. (2012, 21 juin). Your Judgment of Risk Is Compromised (Votre jugement du risque est compromis). Harvard Business Review. https://hbr.org/2012/06/recognize-the-limits-of-judgme
  11. Patterson, D. (2021, 19 mai). La cybercriminalité prospère pendant la pandémie, stimulée par la montée en puissance du phishing et des ransomwares. CBS News. https://www.cbsnews.com/news/ransomware-phishing-cybercrime-pandemic/
  12. Pearlson, K., Thorson, B., Madnick, S. et Coden, M. (2021, 9 mars). Les cyberattaques sont inévitables. Votre entreprise est-elle prête ? Harvard Business Review. https://hbr.org/2021/03/cyberattacks-are-inevitable-is-your-company-prepared
  13. Garvin, D. et Levesque, L. (2005, 17 novembre). A Note on Scenario Planning. Harvard Business Publishing. https://hbsp.harvard.edu/product/306003-PDF-ENG
  14. Iny, A., Khanna, S., Coden, M. et Struck, B. (2021). Renforcez votre stratégie avec des scénarios cybernétiques. Boston Consulting Group & The Decision Lab. https://app.hubspot.com/documents/3834397/view/233481126?accessId=f10950
  15. Renforcez votre stratégie avec des scénarios cybernétiques. (2021). [Transcription de la vidéoconférence]. https://app.hubspot.com/documents/3834397/view/268002968?accessId=622f3d
  16. Sheffer, C. E., Mackillop, J., Fernandez, A., Christensen, D., Bickel, W. K., Johnson, M. W., Panissidi, L., Pittman, J., Franck, C. T., Williams, J. et Mathew, M. (2016). Initial examination of priming tasks to decrease delay discounting (examen initial des tâches d'amorçage pour diminuer l'escompte de délai). Behavioural Processes, 128, 144-152. https://doi.org/10.1016/j.beproc.2016.05.002
  17. Selsky, J. W. et McCann, J. E. (2008). Managing Disruptive Change and Turbulence through Continuous Change Thinking and Scenarios. Dans Business Planning for Turbulent Times (1ère édition, p. 20). Routledge. https://www.taylorfrancis.com/chapters/edit/10.4324/9781849770644-21/managing-disruptive-change-turbulence-continuous-change-thinking-scenarios-john-selsky-joseph-mccann
  18. Porter, M. (2011). L'avantage concurrentiel des nations : Créer et maintenir une performance supérieure. Simon et Schuster.
  19. Oliver, J. J. et Parrett, E. (2018). Gérer l'incertitude future : Réévaluer le rôle de la planification des scénarios. Business Horizons, 61(2), 339-352. https://doi.org/10.1016/j.bushor.2017.11.013
  20. Hershfield, H., Goldstein, D., Sharpe, W., Fox, J., Yeykelis, L., Carstensen, L. et Bailenson, J. (2011). Increasing Saving Behavior Through Age-Progressed Renderings of the Future Self. JMR, Journal of Marketing Research, 48, S23-S37. https://doi.org/10.1509/jmkr.48.SPL.S23
  21. Jarzabkowski, P. et Kaplan, S. (2015). Strategy tools-in-use : Un cadre pour comprendre les "technologies de la rationalité" dans la pratique. Strategic Management Journal, 36(4), 537-558. https://doi.org/10.1002/smj.2270
  22. Schoemaker, P. J. H. (1995, 15 janvier). Scenario Planning : A Tool for Strategic Thinking. MIT Sloan Management Review. https://sloanreview.mit.edu/article/scenario-planning-a-tool-for-strategic-thinking/
  23. Barber, M. (2009). Questioning Scenarios. Journal of Futures Studies, 13(3). https://jfsdigital.org/wp-content/uploads/2014/01/113-A04.pdf
  24. Hiltunen, E. (n.d.). Scénarios : Process and Outcome. Journal of Futures Studies, 13(3). Consulté le 26 avril 2022 à l'adresse suivante : https://jfsdigital.org/articles-and-essays/2009-2/vol-13-no-3-february/scenario-symposium/scenarios-process-and-outcome/
  25. Wright, G., O'Brien, F., Meadows, M., Tapinos, E. et Pyper, N. (2020). Scenario planning and foresight : Advancing theory and improving practice. Technological Forecasting and Social Change, 159, 120220. https://doi.org/10.1016/j.techfore.2020.120220
  26. Wilkinson, A. et Kupers, R. (2013, 1er mai). Living in the Futures. Harvard Business Review. https://hbr.org/2013/05/living-in-the-futures
  27. Wack, P. (1985, 1er septembre). Scénarios : Uncharted Waters Ahead. Harvard Business Review. https://hbr.org/1985/09/scenarios-uncharted-waters-ahead

About the Authors

Lindsey Turk's portrait

Lindsey Turk

Lindsey Turk est Summer Content Associate au Decision Lab. Elle est titulaire d'un master d'études professionnelles en économie et gestion appliquées de l'université de Cornell et d'une licence en psychologie de l'université de Boston. Au cours des dernières années, elle a acquis de l'expérience dans les domaines du service à la clientèle, du conseil, de la recherche et de la communication dans divers secteurs. Avant de travailler au Decision Lab, Lindsey a été consultante auprès du Département d'État américain, dans le cadre de son initiative internationale de lutte contre le VIH, le PEPFAR. À Cornell, elle a également travaillé avec une entreprise de produits diététiques au Kenya afin d'améliorer l'accès à des aliments sains et cite cette opportunité comme étant ce qui a cimenté son intérêt pour l'utilisation des sciences comportementales à des fins utiles.

Michael Coden

Michael Coden

Nommé n°6 dans "The Top 50 Cybersecurity Leaders of 2021" par The Consulting Report pour ses contributions innovantes à la cybersécurité, Michael conseille les conseils d'administration, les PDG, les C-suites et les RSSI sur la stratégie, la mise en œuvre et la résilience en matière de cybersécurité IT, OT et produit.

Dan Pilat's portrait

Dan Pilat

Dan est cofondateur et directeur général du Decision Lab. Il est l'auteur du best-seller Intention - un livre qu'il a écrit avec Wiley sur l'application consciente de la science comportementale dans les organisations. Dan a une expérience de la prise de décision organisationnelle, avec une licence en systèmes de décision et d'information de l'Université McGill. Il a travaillé sur l'architecture comportementale au niveau de l'entreprise chez TD Securities et BMO Capital Markets, où il a conseillé la direction sur la mise en œuvre de systèmes traitant des milliards de dollars par semaine. Poussé par un appétit pour les dernières technologies, Dan a créé un cours sur l'intelligence économique et a donné des conférences à l'Université McGill. Il a également appliqué la science du comportement à des sujets tels que la réalité augmentée et virtuelle.

Brooke Struck portrait

Dr. Brooke Struck

Brooke Struck est directeur de recherche au Decision Lab. Il est une voix internationalement reconnue dans le domaine des sciences comportementales appliquées, représentant le travail de TDL dans des médias tels que Forbes, Vox, Huffington Post et Bloomberg, ainsi que dans des sites canadiens tels que le Globe & Mail, CBC et Global Media. M. Struck anime le podcast de TDL "The Decision Corner" et s'adresse régulièrement à des professionnels en exercice dans des secteurs allant de la finance à la santé et au bien-être, en passant par la technologie et l'intelligence artificielle.

Read Next

Notes illustration

Vous souhaitez savoir comment les sciences du comportement peuvent aider votre organisation ?

Contactez nous