Article précédent
Le 5e pilier stratégique pour l’amélioration de la cyber-résilience des collectivités ou de toute organisation requière la mise en œuvre d’un plan d’actions et d’amélioration continue.
Aussi, pour
maîtriser à terme nos risques, nous devons collectivement nous engager et
prendre des décisions. La prise de conscience des enjeux progresse, mais les
actions tardent à venir.
Alors que les dirigeants d’entreprise sont rompus à l’exercice de la prise de
décision quotidienne, comment expliquer ce frein ? Pour le dépasser, il est
essentiel de le comprendre. Et c’est au travers de la psychologie que l’on peut
trouver les premiers éléments de réponse.
Risque flou et incernable
Selon l’IFOP, 35 % des dirigeants d’ETI considèrent le cyber comme un risque stratégique, 55 % des ETI évaluent ce risque comme important, mais le qualifient dans le même temps de « non prioritaire (1) ».
Sommes-nous pris de schizophrénie ? Les dirigeants sont-ils dépassés par tant de menaces concomitantes ? La réponse est bien plus complexe et requiert surtout beaucoup d’humilité…
Premier élément de compréhension, c’est face à un risque cyber perçu comme étant a` la fois trop flou, lointain, immatériel « incernable, inquiétant et complexe » explique Jacques Fradin, docteur en me´decine, spécialiste en psychologie cognitive, que l’on demande aux dirigeants de prendre des décisions.
Deuxième élément, la peur qui accompagne ce risque cyber, dans les faits, puisqu’il est aujourd’hui avéré que ce risque peut réduire à néant toute une organisation, ou bien au travers de la communication anxiogène adoptée depuis des années maintenant. Cette peur entraîne alors plusieurs réactions : le déni, la surprotection ou la prise de risques inconsidérée, et la perception des enjeux n’en est que plus déstabilisante.
Autre facteur à ne pas oublier, le risque subi est plus facile à gérer émotionnellement que le risque pris, ce qui peut pousser a` la non-décision ! Notre responsabilité voire notre culpabilité est engagée, plus encore lorsque notre image sociale est engagée. « La décision humaine subit de nombreux biais. En situation de non-contrôle, notre cerveau se met, par défaut, en posture de repli voire en évitement, en de´ni. Ceci explique sans doute pourquoi certaines entreprises se croient bien protégées... contre toute raison ! » nous éclaire en effet Jacques Fradin.
Résistance au changement
Les grands facteurs de résistance au changement semblent réunis : la nouveauté qui rend le risque, par essence abstrait, plus irréel encore, au profit d’enjeux du quotidien plus pressants, plus concrets mais aussi plus bénins et rassurants ; la gravite´ et la complexité des risques qui incitent paradoxalement a` l’attentisme voire au fatalisme… et le contexte ou` l’on voit se multiplier les risques climatiques, écologiques, sanitaires, économiques, sociaux, géopolitiques, etc.
Enfin, le risque cyber appartient à un genre nouveau. « Hautement évolutif, peu traçable, décalé, émanant de territoires “complices”, il comporte des potentiels relais internes humains au sein de l’entreprise, conscients et malveillants et qui peut déclencher la crise par erreur ou négligence » souligne le docteur Fradin. Si tout cela, n’empêche pas le statu quo ou l’espoir de « pouvoir passer entre les gouttes »… il permet à tout le moins de mieux comprendre notre réaction face à la prise de décision, ou plus exactement au manque de prise de décision, et au besoin de discernement qui peut, dans ce contexte, faire cruellement défaut mais qui, et c’est une bonne nouvelle, n’est évidemment ni irréversible, ni insurmontable.
Ces éléments de compréhension posés, comment apprécier sainement les choses ; avec intelligence et sens critique, ou comment passer le cap de l’action pour maîtriser ses risques cyber ?
Accompagner et clarifier
Si les dirigeants d’entreprise n’ont pas une perception réaliste du risque, alors nous devons les accompagner à mieux appréhender celui-ci, au travers de diagnostics ou d’analyses simples et pragmatiques. En leur expliquant clairement les risques et les impacts des menaces cyber sur leur métier, leur activité, leur collaborateur, cela permet de passer d’un risque flou et abstrait à une réalité soudainement plus concrète.
Cela passe notamment par des outils de cartographies qui permettent de matérialiser, quantifier et schématiser simplement des données issues de nos bibliothèques collaboratives et donc d’informations et de données partagées par leurs pairs. Ces informations reflètent des risques adaptés à chaque contexte et issus de l’expérience des autres utilisateurs, ce qui permet de délivrer très rapidement des scénarios d’attaques très réalistes dans lesquels les dirigeants peuvent se projeter.
Les membres du comité de direction disposent alors d’informations claires et contextualisées, compréhensibles et concrètes qui leur permettent de mieux comprendre la situation de danger réel dans laquelle ils se trouvent, les risques auxquels leur entreprise doit faire face, leur niveau de protection et les actions à mettre en œuvre avec des priorisations plus évidentes. L’ensemble de ces points à vocation à permettre in fine une prise de décision plus éclairée.
Partage d’informations stratégique
Une situation à risque s’appréhende rarement sans information extérieure et ne peut se résoudre seul. Pour se protéger, il faut partage
THÉMATIQUES ASSOCIÉES
Les plus vus
Au cœur de l'actualité !
Infos locales, analyses et enquêtes : restez informé(e) sans limite.
Abonnez-vous à la Newsletter !
Recevez gratuitement un concentré d’actualité chaque semaine.
0 Commentaire
Laisser un commentaire
Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *