Passer de la conscience du risque cyber à sa maîtrise

Le 5e pilier stratégique pour l’amélioration de la cyber-résilience de toute organisation requière la mise en œuvre d’un plan d’actions et d’amélioration continue. Aussi, pour maîtriser à terme nos risques, nous devons collectivement nous engager et prendre des décisions. La prise de conscience des enjeux progresse, mais les actions tardent à venir. Alors que les dirigeants d’entreprise sont rompus à l’exercice de la prise de décision quotidienne, comment expliquer ce frein ? Pour le dépasser, il est essentiel de le comprendre. Et c’est au travers de la psychologie que l’on peut trouver les premiers éléments de réponse.

Risque flou et incernable

Selon l’IFOP, 35% des dirigeants d’ETI considèrent le cyber comme un risque stratégique, 55 % des ETI évaluent ce risque comme important, mais le qualifient dans le même temps de « non prioritaire ».

Sommes-nous pris de schizophrénie ? Les dirigeants sont-ils dépassés par tant de menaces concomitantes ? La réponse est bien plus complexe et requiert surtout, beaucoup d’humilité… Premier élément de compréhension, c’est face à un risque cyber perçu comme étant à la fois trop flou, lointain, immatériel « incernable, inquiétant et complexe » explique Jacques Fradin, docteur en médecine, spécialiste en psychologie cognitive, que l’on demande aux dirigeants de prendre des décisions.

Deuxième élément, la peur qui accompagne ce risque cyber, dans les faits puisqu’il est aujourd’hui avéré que ce risque peut réduire à néant toute une organisation, ou bien au travers de la communication anxiogène adoptée depuis des années maintenant. Cette peur entraîne alors plusieurs réactions : le déni, la surprotection ou la prise de risques inconsidérée et la perception des enjeux n’en est que plus déstabilisante.

Autre facteur à ne pas oublier, le risque subi est plus facile à̀ gérer émotionnellement que le risque pris ce qui peut pousser à la non-décision ! Notre responsabilité́ voire notre culpabilité́ est engagée, plus encore lorsque notre image sociale est engagée. « La décision humaine subit de nombreux biais. En situation de non-contrôle, notre cerveau se met, par défaut, en posture de repli voire en évitement, en déni. Ceci explique sans doute pourquoi certaines entreprises se croient bien protégées… contre toute raison ! » nous éclaire en effet Jacques Fradin.


Résistance au changement

Les grands facteurs de résistance au changement semblent réunis : la nouveauté́ qui rend le risque, par essence abstrait, plus irréel encore, au profit d’enjeux du quotidien plus pressants, plus concrets mais aussi plus bénins et rassurants ; la gravité et la complexité́ des risques qui incitent paradoxalement à l’attentisme voire au fatalisme… et le contexte où l’on voit se multiplier les risques climatiques, écologiques, sanitaires, économiques, sociaux, géopolitiques, etc.

Enfin, le risque cyber appartient à̀ un genre nouveau. « Hautement évolutif, peu traçable, décalé́ , émanant de territoires « complices », il comporte des potentiels relais internes humains au sein de l’entreprise, conscients et malveillants et qui peut déclencher la crise par erreur ou négligence. » souligne le docteur Fradin. Si tout cela n’empêche pas le statu quo ou l’espoir de « pouvoir passer entre les gouttes » … il permet à tout le moins de mieux comprendre notre réaction face à la prise de décision, ou plus exactement au manque de prise de décision, et au besoin de discernement qui peut, dans ce contexte, faire cruellement défaut mais qui, et c’est une bonne nouvelle, n’est évidemment ni irréversible, ni insurmontable.

Ces éléments de compréhension posés, comment apprécier sainement les choses ; avec intelligence et sens critique, ou comment passer le cap de l’action pour maîtriser ses risques cyber ?

Pouvoir décider en conscience implique aussi que les conseillers osent ! Osent dire et présenter des éléments éclairants et opérationnels qui peuvent en effet bousculer, faire sourire, briser le consensus dans un comité de direction ou conseil d’administration… Parallèle médical oblige, cacher ses symptômes ou ses antécédents médicaux à son médecin faussera le diagnostic et donc le traitement médical prescrit. Impossible de renforcer ses défenses immunitaires et d’affronter le virus…

C’est donc un rôle clé, là encore que l’humain joue.

C’est une approche qui nous oblige à sortir de notre zone de confort afin de prendre les décisions qui s’imposent, et que la maîtrise des risques cyber puisse s’opérer. Choisir c’est renoncer, c’est aussi et avant tout décider !

N’oublions pas que les grandes révolutions ont demandé du courage et de la persévérance à nos illustres ancêtres : démontrer que la Terre n’était pas plate ne fut pas chose facile. Aujourd’hui, cela semble une évidence ! Voyager et explorer l’Espace, penser vivre un jour sur la Lune ou sur Mars, sont des révolutions qui reposent sur des prises de décisions risquées mais essentielles à notre évolution.

Envie de découvrir la plateforme EGERIE ?

Envie de découvrir la plateforme EGERIE ?

Envie de découvrir la plateforme EGERIE ?