Comment organiser des exercices de planification de scénarios : Une solution de gestion des risques de cybersécurité
La FMH présente de nouveaux risques pour la cybersécurité
Les escrocs profitent des changements de main-d'œuvre résultant de la pandémie1, y compris le passage au travail à distance : en 2020, 20 % des entreprises ont déclaré avoir subi une violation de la sécurité à la suite du travail à distance d'un employé2.
Cette augmentation des cyberattaques coûte cher aux entreprises, le coût moyen d'une violation de données passant de 3,86 millions de dollars en 2020 à 4,24 millions de dollars en 2021.3 Avant la pandémie, les pirates informatiques se concentraient sur les grandes entreprises et les gouvernements. Avant la pandémie, les pirates informatiques se concentraient sur les grandes entreprises et les gouvernements. Cependant, les employés ayant commencé à travailler à domicile, ils sont devenus, sans le vouloir, les nouvelles cibles.
Les conséquences étendues d'une cyberattaque organisationnelle
Comme l'ont annoncé les journaux ces derniers mois, les cyberattaques ne touchent pas seulement les victimes. Après que la société a payé une rançon de 4,4 millions de dollars américains et commencé à reprendre ses activités habituelles4, le piratage a eu des conséquences importantes pour les habitants de ces États, puisqu'on estime que 1 800 stations-service ont manqué de carburant et que le prix moyen national du gaz a atteint son niveau le plus élevé depuis octobre 20145.
Les cyberattaques portent atteinte non seulement aux portefeuilles et aux consommateurs, mais aussi au bien-être des employés. Les recherches montrent que les victimes de cybercrimes se sentent aussi violées que s'il s'agissait d'une attaque physique - elles font état de sentiments de rage, de honte, d'isolement et de peur6, et présentent des symptômes similaires au syndrome de stress post-traumatique (SSPT)7.
Le manque de préparation augmente le coût d'une violation de 3,58 millions de dollars américains.
La préparation peut atténuer les pires impacts : pour les organisations dont les opérations de sécurité sont pleinement déployées, le coût moyen d'une violation de données est de 2,45 millions de dollars US ; pour celles qui ne sont pas à jour ou qui fonctionnent au ralenti, le coût moyen est de 6,03 millions de dollars US.8
Cependant, même si la préparation porte ses fruits, les organisations ne sont pas préparées parce que les dirigeants sous-estiment souvent les risques de cyberattaques et ont tendance à se concentrer sur les priorités temporelles - une tendance comportementale connue sous le nom d'actualisation hyperbolique.
L'actualisation hyperbolique diminue la préparation à la cybersécurité
Nous retardons souvent la préparation d'un événement, en particulier lorsque sa probabilité est faible, au profit de tâches qui sont au premier plan de nos préoccupations. L'actualisation hyperbolique, définie comme notre tendance à préférer les récompenses immédiates aux récompenses futures, nous aide à comprendre le décalage entre la compréhension des risques et la préparation à une attaque. Dans une enquête menée auprès de 5 000 directeurs, seuls 38 % d'entre eux ont déclaré se sentir très préoccupés par les risques liés à la cybersécurité, et ils sont encore moins nombreux à s'estimer préparés9.
Il est clair que la majorité des administrateurs préfèrent faire face à des problèmes immédiats plutôt qu'à des problèmes qui pourraient survenir plus tard. Les cyberattaques étant devenues plus fréquentes et plus graves au cours des dernières années, l'atténuation de l'actualisation hyperbolique aiderait votre organisation à mieux se préparer aux risques futurs.
References
- L'OMS signale une multiplication par cinq des cyberattaques et appelle à la vigilance. (2020, 23 avril). https://www.who.int/news/item/23-04-2020-who-reports-fivefold-increase-in-cyber-attacks-urges-vigilance
- Endurer depuis chez soi : L'impact du COVID-19 sur la sécurité des entreprises. (2020). Malwarebytes. https://www.malwarebytes.com/resources/files/2020/08/malwarebytes_enduringfromhome_report_final.pdf
- Lukehart, A. (2022, 4 janvier). 2022 Cyber Attack Statistics, Data, and Trends. https://parachute.cloud/2022-cyber-attack-statistics-data-and-trends/
- Turton, W. et Mehrotra, K. (2021, 4 juin). Hackers Breached Colonial Pipeline Using Compromised Password. Bloomberg. https://www.bloomberg.com/news/articles/2021-06-04/hackers-breached-colonial-pipeline-using-compromised-password
- Gibson, K. et Cerullo, M. (2021, 13 mai). Gas shortages worsen as fuel prices spike after Colonial Pipeline ransomware attack. CBS News. https://www.cbsnews.com/news/gas-prices-shortages-worsen-colonial-pipeline-ransomware-attack/
- Ranger, S. (2020, 26 juin). "Les quatre heures les plus stressantes de ma carrière" : ce que l'on ressent lorsqu'on est victime d'un piratage informatique. ZDNet. https://www.zdnet.com/article/it-is-stressful-it-is-frightening-what-its-like-to-be-a-victim-of-hacking-and-ransomware/
- Wiederhold, B. (2014). Le rôle de la psychologie dans l'amélioration de la cybersécurité. Cyberpsychology, Behavior and Social Networking, 17, 131-132. https://doi.org/10.1089/cyber.2014.1502
- Rapport sur le coût d'une violation de données en 2020. (2020). IBM Security.
- Cheng, J. Y.-J. et Groysberg, B. (2017, 22 février). Pourquoi les conseils d'administration ne font pas face aux cybermenaces. Harvard Business Review. https://hbr.org/2017/02/why-boards-arent-dealing-with-cyberthreats
- Evans, D. (2012, 21 juin). Your Judgment of Risk Is Compromised (Votre jugement du risque est compromis). Harvard Business Review. https://hbr.org/2012/06/recognize-the-limits-of-judgme
- Patterson, D. (2021, 19 mai). La cybercriminalité prospère pendant la pandémie, stimulée par la montée en puissance du phishing et des ransomwares. CBS News. https://www.cbsnews.com/news/ransomware-phishing-cybercrime-pandemic/
- Pearlson, K., Thorson, B., Madnick, S. et Coden, M. (2021, 9 mars). Les cyberattaques sont inévitables. Votre entreprise est-elle prête ? Harvard Business Review. https://hbr.org/2021/03/cyberattacks-are-inevitable-is-your-company-prepared
- Garvin, D. et Levesque, L. (2005, 17 novembre). A Note on Scenario Planning. Harvard Business Publishing. https://hbsp.harvard.edu/product/306003-PDF-ENG
- Iny, A., Khanna, S., Coden, M. et Struck, B. (2021). Renforcez votre stratégie avec des scénarios cybernétiques. Boston Consulting Group & The Decision Lab. https://app.hubspot.com/documents/3834397/view/233481126?accessId=f10950
- Renforcez votre stratégie avec des scénarios cybernétiques. (2021). [Transcription de la vidéoconférence]. https://app.hubspot.com/documents/3834397/view/268002968?accessId=622f3d
- Sheffer, C. E., Mackillop, J., Fernandez, A., Christensen, D., Bickel, W. K., Johnson, M. W., Panissidi, L., Pittman, J., Franck, C. T., Williams, J. et Mathew, M. (2016). Initial examination of priming tasks to decrease delay discounting (examen initial des tâches d'amorçage pour diminuer l'escompte de délai). Behavioural Processes, 128, 144-152. https://doi.org/10.1016/j.beproc.2016.05.002
- Selsky, J. W. et McCann, J. E. (2008). Managing Disruptive Change and Turbulence through Continuous Change Thinking and Scenarios. Dans Business Planning for Turbulent Times (1ère édition, p. 20). Routledge. https://www.taylorfrancis.com/chapters/edit/10.4324/9781849770644-21/managing-disruptive-change-turbulence-continuous-change-thinking-scenarios-john-selsky-joseph-mccann
- Porter, M. (2011). L'avantage concurrentiel des nations : Créer et maintenir une performance supérieure. Simon et Schuster.
- Oliver, J. J. et Parrett, E. (2018). Gérer l'incertitude future : Réévaluer le rôle de la planification des scénarios. Business Horizons, 61(2), 339-352. https://doi.org/10.1016/j.bushor.2017.11.013
- Hershfield, H., Goldstein, D., Sharpe, W., Fox, J., Yeykelis, L., Carstensen, L. et Bailenson, J. (2011). Increasing Saving Behavior Through Age-Progressed Renderings of the Future Self. JMR, Journal of Marketing Research, 48, S23-S37. https://doi.org/10.1509/jmkr.48.SPL.S23
- Jarzabkowski, P. et Kaplan, S. (2015). Strategy tools-in-use : Un cadre pour comprendre les "technologies de la rationalité" dans la pratique. Strategic Management Journal, 36(4), 537-558. https://doi.org/10.1002/smj.2270
- Schoemaker, P. J. H. (1995, 15 janvier). Scenario Planning : A Tool for Strategic Thinking. MIT Sloan Management Review. https://sloanreview.mit.edu/article/scenario-planning-a-tool-for-strategic-thinking/
- Barber, M. (2009). Questioning Scenarios. Journal of Futures Studies, 13(3). https://jfsdigital.org/wp-content/uploads/2014/01/113-A04.pdf
- Hiltunen, E. (n.d.). Scénarios : Process and Outcome. Journal of Futures Studies, 13(3). Consulté le 26 avril 2022 à l'adresse suivante : https://jfsdigital.org/articles-and-essays/2009-2/vol-13-no-3-february/scenario-symposium/scenarios-process-and-outcome/
- Wright, G., O'Brien, F., Meadows, M., Tapinos, E. et Pyper, N. (2020). Scenario planning and foresight : Advancing theory and improving practice. Technological Forecasting and Social Change, 159, 120220. https://doi.org/10.1016/j.techfore.2020.120220
- Wilkinson, A. et Kupers, R. (2013, 1er mai). Living in the Futures. Harvard Business Review. https://hbr.org/2013/05/living-in-the-futures
- Wack, P. (1985, 1er septembre). Scénarios : Uncharted Waters Ahead. Harvard Business Review. https://hbr.org/1985/09/scenarios-uncharted-waters-ahead
About the Authors
Lindsey Turk
Lindsey Turk est Summer Content Associate au Decision Lab. Elle est titulaire d'un master d'études professionnelles en économie et gestion appliquées de l'université de Cornell et d'une licence en psychologie de l'université de Boston. Au cours des dernières années, elle a acquis de l'expérience dans les domaines du service à la clientèle, du conseil, de la recherche et de la communication dans divers secteurs. Avant de travailler au Decision Lab, Lindsey a été consultante auprès du Département d'État américain, dans le cadre de son initiative internationale de lutte contre le VIH, le PEPFAR. À Cornell, elle a également travaillé avec une entreprise de produits diététiques au Kenya afin d'améliorer l'accès à des aliments sains et cite cette opportunité comme étant ce qui a cimenté son intérêt pour l'utilisation des sciences comportementales à des fins utiles.
Michael Coden
Nommé n°6 dans "The Top 50 Cybersecurity Leaders of 2021" par The Consulting Report pour ses contributions innovantes à la cybersécurité, Michael conseille les conseils d'administration, les PDG, les C-suites et les RSSI sur la stratégie, la mise en œuvre et la résilience en matière de cybersécurité IT, OT et produit.
Dan Pilat
Dan est cofondateur et directeur général du Decision Lab. Il est l'auteur du best-seller Intention - un livre qu'il a écrit avec Wiley sur l'application consciente de la science comportementale dans les organisations. Dan a une expérience de la prise de décision organisationnelle, avec une licence en systèmes de décision et d'information de l'Université McGill. Il a travaillé sur l'architecture comportementale au niveau de l'entreprise chez TD Securities et BMO Capital Markets, où il a conseillé la direction sur la mise en œuvre de systèmes traitant des milliards de dollars par semaine. Poussé par un appétit pour les dernières technologies, Dan a créé un cours sur l'intelligence économique et a donné des conférences à l'Université McGill. Il a également appliqué la science du comportement à des sujets tels que la réalité augmentée et virtuelle.
Dr. Brooke Struck
Brooke Struck est directeur de recherche au Decision Lab. Il est une voix internationalement reconnue dans le domaine des sciences comportementales appliquées, représentant le travail de TDL dans des médias tels que Forbes, Vox, Huffington Post et Bloomberg, ainsi que dans des sites canadiens tels que le Globe & Mail, CBC et Global Media. M. Struck anime le podcast de TDL "The Decision Corner" et s'adresse régulièrement à des professionnels en exercice dans des secteurs allant de la finance à la santé et au bien-être, en passant par la technologie et l'intelligence artificielle.