{"id":131,"date":"2021-01-04T09:41:51","date_gmt":"2021-01-04T08:41:51","guid":{"rendered":"https:\/\/www.cybsec.fr\/?p=131"},"modified":"2021-01-04T09:56:21","modified_gmt":"2021-01-04T08:56:21","slug":"cybersecurite-les-biais-cognitifs-dans-tous-leurs-etats-2-5-en-situation-dite-nominale","status":"publish","type":"post","link":"https:\/\/www.cybsec.fr\/index.php\/2021\/01\/04\/cybersecurite-les-biais-cognitifs-dans-tous-leurs-etats-2-5-en-situation-dite-nominale\/","title":{"rendered":"Cybers\u00e9curit\u00e9 : les biais (cognitifs) dans tous leurs \u00e9tats (2\/5)-en situation dite nominale"},"content":{"rendered":"\n<p>En g\u00e9n\u00e9ral, une \u00e9quipe cyber, lorsqu\u2019elle est pleinement constitu\u00e9e, se compose d\u2019un certain nombre de groupes clairement identifi\u00e9s&nbsp;: \u00e9quipe de gestion du risque, une \u00e9quipe de d\u00e9tection (<a href=\"https:\/\/www.lemagit.fr\/definition\/SOC\">SOC<\/a>), une \u00e9quipe de r\u00e9ponse \u00e0 incidents (CERT), et une&nbsp;<a href=\"https:\/\/www.lemagit.fr\/actualites\/252489812\/La-renseignement-sur-les-menaces-doit-sortir-de-son-silo\">\u00e9quipe de renseignement<\/a>&nbsp;(CTI), etc.<\/p>\n\n\n\n<p>Toutes sont normalement form\u00e9es aux risques cyber, aux crises, aux incidents. Chaque membre des diff\u00e9rentes \u00e9quipes, en fonction de son niveau d\u2019expertise, est dot\u00e9 d\u2019une m\u00e9thode d\u2019analyse des risques, d\u2019un arsenal d\u2019outils, de donn\u00e9es t\u00e9l\u00e9m\u00e9triques lui permettant d\u2019assurer sa mission. Pourtant, force est de constater qu\u2019ils ne sont pas exempts de failles.<\/p>\n\n\n\n<p>Les analystes du SOC, d\u00e9sign\u00e9s pour surveiller les syst\u00e8mes d\u2019information, sont de plus en plus surcharg\u00e9s cognitivement&nbsp;: on estime qu\u2019ils doivent traiter les alertes au rythme d\u2019une toutes les deux minutes&nbsp;! Trop d\u2019informations en m\u00eame temps, pas ou peu de lien entre plusieurs informations, une contextualisation qui change toutes les deux minutes \u00e9galement, une multitude de sources d\u2019informations qu\u2019il faut appr\u00e9hender et rapidement analyser, etc.On estime que les analystes du SOC, d\u00e9sign\u00e9s pour surveiller les syst\u00e8mes d\u2019information, doivent traiter les alertes au rythme d\u2019une toutes les deux minutes.<\/p>\n\n\n\n<p>Cette combinaison de facteurs qui inclut des quantit\u00e9s \u00e9crasantes de donn\u00e9es, les nombreux&nbsp;<a href=\"https:\/\/www.lemagit.fr\/tribune\/faux%20positifs\">faux positifs<\/a>&nbsp;qu\u2019elles g\u00e9n\u00e8rent, le temps qui est compt\u00e9, le stress de la situation, l\u2019organisation du travail, les pressions manag\u00e9riales\u2026 entra\u00eenent une surcharge cognitive. Laquelle peut, \u00e9videmment, conduire parfois (et de plus en plus souvent) \u00e0 la prise de mauvaises d\u00e9cisions.<\/p>\n\n\n\n<p>Si nous rapprochons ces constats aux&nbsp;<strong>biais cognitifs<\/strong>, voici ce que nous pouvons dire&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Les acteurs qui travaillent dans ce type de contextes peuvent surestimer ou sous-estimer (biais d\u2019optimisme) la criticit\u00e9 d\u2019une situation, et surtout peuvent avoir tendance \u00e0 rechercher des preuves soutenant une hypoth\u00e8se qu\u2019ils souhaitent privil\u00e9gier. L\u2019analyste peut surpond\u00e9rer des informations allant dans son sens&nbsp;: c\u2019est le&nbsp;<em>biais de confirmation<\/em>.<br>Exemple d\u2019une entreprise qui a l\u2019habitude de mener des campagnes de&nbsp;<a href=\"https:\/\/whatis.techtarget.com\/fr\/definition\/Phishing?_ga=2.233772382.113667411.1606123678-842491344.1602163625\">phishing<\/a>&nbsp;pour sensibiliser ses personnels&nbsp;: les \u00e9quipes cyber vont penser en priorit\u00e9 \u00e0 exclure la possibilit\u00e9 d\u2019une attaque, et penser plut\u00f4t \u00e0 un exercice. Elles vont plut\u00f4t rechercher tous les \u00e9l\u00e9ments allant dans ce sens, sans forc\u00e9ment se dire qu\u2019il s\u2019agit d\u2019une r\u00e9elle campagne de phishing. Et pendant ce temps, le chrono tourne.<\/li><\/ul>\n\n\n\n<ul class=\"wp-block-list\"><li>Les m\u00eames acteurs peuvent \u00eatre amen\u00e9s \u00e0 se r\u00e9f\u00e9rer directement \u00e0 un outil et \u00e0 ses r\u00e9sultats, sans chercher \u00e0 analyser le contexte r\u00e9el&nbsp;:&nbsp;<em>biais d\u2019automatisation<\/em>. L\u2019omnipr\u00e9sence de l\u2019outillage et le sentiment que la machine a toujours raison les am\u00e8nent \u00e0 privil\u00e9gier les r\u00e9sultats issus d\u2019un syst\u00e8me automatis\u00e9, au d\u00e9triment de d\u00e9cisions r\u00e9fl\u00e9chies, pos\u00e9es et contextualis\u00e9es.<\/li><li>Souvent, lors d\u2019un incident de s\u00e9curit\u00e9, les \u00e9quipes ont tendance \u00e0 se focaliser sur les risques majeurs, en oubliant les risques r\u00e9siduels qui peuvent \u00eatre tout autant d\u00e9vastateurs&nbsp;:&nbsp;<em>biais d\u2019information partag\u00e9e<\/em>, on passe plus de temps sur les informations g\u00e9n\u00e9rales et moins sur les d\u00e9tails. Mais il peut \u00e9galement faire l\u2019inverse, et ne se concentrer que sur ce qui est minime. C\u2019est ici un comportement qui r\u00e9pond \u00e0 la loi de la futilit\u00e9, et qui ordonne de passer plus de temps sur des questions sans int\u00e9r\u00eat que sur le sujet en cours. C\u2019est assez proche de l\u2019effet de l\u2019autruche, qui va induire un tri trop s\u00e9lectif de l\u2019analyste, lequel ne va pas avoir la m\u00eame consid\u00e9ration pour toutes les informations qui lui parviennent.<\/li><li>Parfois, un analyste de SOC, parce qu\u2019il a de l\u2019exp\u00e9rience, oublie de tester d\u2019autres m\u00e9thodes d\u2019analyses ou de contextualisation. Persuad\u00e9 que sa m\u00e9thode est unique et qu\u2019elle est la bonne, il ne cherche pas \u00e0 la confronter \u00e0 une autre. C\u2019est l\u2019effet Einstellung&nbsp;: lorsqu\u2019une id\u00e9e vient imm\u00e9diatement \u00e0 l\u2019esprit dans un contexte familier, elle emp\u00eache les alternatives d\u2019\u00eatre consid\u00e9r\u00e9es. On retrouve ce comportement avec l\u2019expression du&nbsp;<em>biais heuristique<\/em>, o\u00f9 seules les informations qui viennent \u00e0 l\u2019esprit en premier sont consid\u00e9r\u00e9es. Ce ph\u00e9nom\u00e8ne peut \u00eatre excessivement dangereux, notamment lorsque les \u00e9quipes sont focalis\u00e9es sur une attaque phare et en oublient la s\u00e9curit\u00e9 d\u2019autres p\u00e9rim\u00e8tres.<\/li><li>Un autre biais assez fr\u00e9quent que l\u2019on rencontre est le&nbsp;<em>biais de disponibilit\u00e9<\/em>, qui consiste \u00e0 interf\u00e9rer dans la prise de d\u00e9cision, en ne mettant en avant que les instances dans lesquelles certaines actions ont r\u00e9ussi dans le pass\u00e9. L\u2019analyste va alors comparer la situation en cours avec une pr\u00e9c\u00e9dente qui y ressemble, et prendra une d\u00e9cision potentiellement peu efficace, voire inadapt\u00e9e.<\/li><li>Enfin, l\u2019exp\u00e9rience peut \u00eatre un atout, mais \u00e9galement une contrainte en cybers\u00e9curit\u00e9. L\u2019exc\u00e8s de confiance peut biaiser la perception des choses et conduire \u00e0 prendre une mauvaise d\u00e9cision. Cette d\u00e9viance est elle aussi li\u00e9e \u00e0 un biais, naturellement appel\u00e9 le&nbsp;<em>biais de l\u2019exc\u00e8s de confiance<\/em>.<\/li><\/ul>\n\n\n\n<p>Nous venons de d\u00e9crire quelques biais qui peuvent \u00eatre \u00e0 l\u2019origine de mauvaises d\u00e9cisions dans un SOC\u2026 et ce dans une situation dite nominale. Qu\u2019en est-il en cas de crise majeure&nbsp;? Ce sera l\u2019objet du prochain article de cette s\u00e9rie.<\/p>\n\n\n\n<p><a href=\"https:\/\/www.lemagit.fr\/tribune\/Cybersecurite-les-biais-cognitifs-dans-tous-leurs-etats-2-5\">https:\/\/www.lemagit.fr\/tribune\/Cybersecurite-les-biais-cognitifs-dans-tous-leurs-etats-2-5<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>En g\u00e9n\u00e9ral, une \u00e9quipe cyber, lorsqu\u2019elle est pleinement constitu\u00e9e, se compose d\u2019un certain nombre de groupes clairement identifi\u00e9s&nbsp;: \u00e9quipe de gestion du risque, une \u00e9quipe de d\u00e9tection (SOC), une \u00e9quipe de r\u00e9ponse \u00e0 incidents (CERT), et une&nbsp;\u00e9quipe de renseignement&nbsp;(CTI), etc. Toutes sont normalement form\u00e9es aux risques cyber, aux crises, aux incidents. Chaque membre des diff\u00e9rentes &hellip; <a href=\"https:\/\/www.cybsec.fr\/index.php\/2021\/01\/04\/cybersecurite-les-biais-cognitifs-dans-tous-leurs-etats-2-5-en-situation-dite-nominale\/\" class=\"more-link\">Continuer la lecture<span class=\"screen-reader-text\"> de &laquo;&nbsp;Cybers\u00e9curit\u00e9 : les biais (cognitifs) dans tous leurs \u00e9tats (2\/5)-en situation dite nominale&nbsp;&raquo;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_exactmetrics_skip_tracking":false,"_exactmetrics_sitenote_active":false,"_exactmetrics_sitenote_note":"","_exactmetrics_sitenote_category":0,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-131","post","type-post","status-publish","format-standard","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/posts\/131","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/comments?post=131"}],"version-history":[{"count":2,"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/posts\/131\/revisions"}],"predecessor-version":[{"id":139,"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/posts\/131\/revisions\/139"}],"wp:attachment":[{"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/media?parent=131"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/categories?post=131"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/tags?post=131"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}