Quand la psychologie entrave la réponse aux incidents
Cela ressemble à un plaidoyer en faveur de l’orchestration de la réponse aux incidents. Cisco met le doigt sur les biais psychologies susceptibles d’affecter cette réponse.
Qu’est-ce que l’effet Dunning-Kruger ? il s’agit d’un biais psychologique qui consiste à surestimer ses capacités. Dans un billet de blog, Gavin Reid, ancien vice-président de Lancope en charge du renseignement sur les menaces, désormais passé chez Cisco, explique que cet effet « suggère que des personnes relativement peu compétentes sont susceptibles de souffrir d’une illusion de supériorité et croire que leurs capacités sont considérablement supérieures à ce qu’elles sont ». Une illusion issue de la difficulté à estimer ses propres limites et à évaluer avec précision ses capacités.
Gavin Reid relève qu’il ne convient pas forcément d’y voir « un signe de manque d’intelligence ». Mais il souligne le risque induit par ce biais en cas d’incident, et en particulier de sécurité informatique : « l’analyste peut être sur-confiant alors qu’il n’est en fait pas assez préparé ».
Le sujet apparaît d’autant plus important à prendre en considération que, comme le relevait récemment dans nos colonnes Laurent Besset, d’I-Tracing, les analystes de premier niveau des SOC sont confrontés au double risque de burn-out et de bore-out. Si l’on ajoute à cela le risque induit par l’effet Dunning-Kruger, les résultats peuvent s’avérer catastrophiques en cas d’incident.
Gavin Reid estime toutefois qu’il n’y a là aucune fatalité. Pour lui, il est possible de s’assurer que les analystes du SOC sont pleinement préparés et informés. Surtout, il entrevoit un moyen de limiter le risque – « quel que soit le niveau de compétence » – en s’appuyant sur des procédures documentées. Il estime ainsi que « des arbres de décision, des organigrammes et autres aides organisationnelles peuvent aider à améliorer la cohérence de l’approche de la réponse pour tous les analystes ».
Au final, il s’agit donc ni plus ni moins que de « standardiser » le processus d’analyse avec une méthodologie rigoureusement documentée. De quoi « prévenir la sur-confiance » des analystes et les risques associés. Mais aussi augmenter le risque d’ennui ? A moins peut-être de miser sur des plateformes d’orchestration permettant de fluidifier le travail récurrent des analystes pour les ouvrir à des tâches plus stimulantes.