route it

La théorie des perspectives expliquée à mon responsable en cybersécurité

Mon objectif est simple, vous faire comprendre comment présenter des solutions de gestion de risques à votre patron d’une manière qui lui donnerait ENVIE de les faire appliquer.
Et si vous êtes de l’autre côté de la barrière (côté du patron je m’entends) comment vous pouvez transformer ces risques en opportunités.

Commençons par la théorie

Pas de Cybersécurité pour l’instant mais soyez patients ça arrive…

Si je vous propose un jeu pour lequel vous avez 2 choix :

Soit, gagner immédiatement 3000€  à coup sur.
Soit  choisir d'avoir 80% de chance de gagner 4000€ mais prendre le risque à 20% de ne rien gagner.

Qu’est-ce que vous allez choisir ?

Imaginons maintenant que vous deviez payer une amende et que je vous propose :

Soit de perdre immédiatement 3000€ de manière certaine.
Soit de prendre le risque de perdre 4000€ mais avec 20% de chance de ne rien perdre

Qu’est ce que vous allez choisir ?

La théorie des perspectives

Il y a 80% de chances que, dans le premier cas, vous ayez choisi le gain certain (le choix 1) c’est ce que l’on appelle l’aversion au risque.
Et pour le second cas, il y a de fortes chances que vous ayez choisi la perte non certaine (le choix 2) c’est ce que l’on appelle l’appétence au risque.

C’est ce que révèle une étude, menée dans les années 1970 par Tversky et Kahneman.

Pour un gain on a tendance à fuir l’incertitude et préférer les gains certains.
Face à une perte, c’est l’inverse nous avons tendance à préférer l’incertitude.

En allant plus loin dans cette théorie nous nous apercevons que ce comportement est basé sur des courbes concaves.
Cela signifie que dans un sens nous sommes de moins en moins sensibles à la valeur des gains et il en est de même avec les pertes.

Par exemple, si vous gagnez 5 millions d’euros au loto (je vous le souhaite sincèrement).
Il y a de fortes chances que votre indice de satisfaction soit très fort (disons à 10).
Si une semaine après vous gagnez encore 5 millions d’euros votre indice de satisfaction ne sera pas au double (peut être autour de 15) et ainsi de suite.
Ce sera la même chose pour les pertes (c’est ce que présente le graphique ci-dessous).

Si vous voulez aller plus loin sur le sujet voici une vidéo au top sur le sujet.

Concrètement, comment pouvons-nous appliquer cela ?

Et bien concrètement je suis sur que ceci va donner pas mal d’idées à mes amis du marketing.

De mon côté je traduis dans mon quotidien cette expérience de la manière suivante.

Nous sommes (pour une grande partie d’entre nous) des êtres émotionnels et pas forcément toujours très analytiques ou pragmatiques.

Ce qui m’intéresse dans mon quotidien c’est la partie perte.
Car c’est ce mécanisme qui aujourd’hui amène une grande partie des entreprises à sous estimer leurs risques (et en particularités les risques de CyberSécurité).

S’il y avait des gains sur et certains derrière l’achat d’un anti-virus ou d’une communication sur les risques de la cyber sécurité.
Je suis certain que le cyber sécurité serait au top de partout.

Cependant ce n’est pas le cas.
Nous sommes (avec ce sujet) dans de l’appétence aux risques et pour beaucoup d’entre nous, nous jouons (surement un peu trop) avec ces risques.

Comment réagir pour ces risques de cybersécurité.

La façon la plus efficace de réagir est de mettre, comme « barrières » à ce biais cognitif, du concret.

Alors,
Prenez un fichier Excel.
Ecrivez l’ensemble des risques.
Affecter à chacun un indice de sévérité, un indice de fréquence puis un indice de détectabilité.
Faite une somme
Classer par ordre croissant
Maintenant, essayer (tant que possible) de présenter ceci comme un gain (ou plutôt une non-perte) et non comme une perte sur et certaine.

Exemple :
On ne dit pas à son management :

« Nous avons 10% de chance de nous faire pirater par un ransomware. »

Mais :

« Si on bloc les accès USB ont a 90% de chance de ne pas nous faire pirater par un ransomware »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut
Verified by MonsterInsights