[Publication] Le réel danger des biais cognitifs en cybersécurité

By Inti Rossenbach | October 15, 2019

Dans le MISC Hors série n° 20 (octobre / novembre 2019), vous trouverez un article de votre serviteur sur les biais cognitifs et leur importance dans le traitement de la sécurité, en particulier dans les contextes de gestion d’incident majeur ou de crise (l’article reprend la trame de ma master class au FIC 2019).

Les biais cognitifs sont des traitements cognitifs, c’est à dire des mécanismes de la pensée - relativement systématiques - qui provoquent une altération du raisonnement et du jugement tout en préservant l’apparence de la raison logique. Citons par exemple le biais de confirmation, la normalisation du danger, le biais d’engagement ou encore le renoncement éthique. Nous adorons nous imaginer logiques et imperméables à l’irrationnel, nous aimons penser que l’inconscient et les rapports humains ne nous baladent pas lorsque nous travaillons sérieusement. Mais c’est faux ! En illustrant mon propos d’exemple concrets - comme une explosion sur une plateforme pétroliére, un cyberbraquage majeur ou des exercices de redteaming - j’ai essayé d’illustrer comment les biais cognitifs peuvent nous mystifier et nous mener sur les chemins de l’erreur.

Alors, que faire ? Considérant la complexité de l’esprit humain et de ses réactions, il ne peut y avoir d’approche exhaustive pour réduire les biais cognitifs. Dès lors, pour ébaucher une méthodologie permettant d’esquiver les biais cognitifs, j’ai utilisé une analogie avec une approche de la sécurité des applications : m’inspirer de la façon dont on peut repérer et éviter les plus fréquentes et les pires de vulnérabilités applicatives, le top 10 de l’OWASP.

Bonne lecture !