Seventyfour - stock.adobe.com
Cybersécurité : les biais (cognitifs) dans tous leurs états (2/5)
La plupart de nos décisions sont prises sous l’influence de nombreux biais cognitifs. Le domaine de la sécurité informatique n’y échappe pas. Voyons dans cet article comme cela peut affecter la gestion des risques, en situation dite nominale.
En général, une équipe cyber, lorsqu’elle est pleinement constituée, se compose d’un certain nombre de groupes clairement identifiés : équipe de gestion du risque, une équipe de détection (SOC), une équipe de réponse à incidents (CERT), et une équipe de renseignement (CTI), etc.
Toutes sont normalement formées aux risques cyber, aux crises, aux incidents. Chaque membre des différentes équipes, en fonction de son niveau d’expertise, est doté d’une méthode d’analyse des risques, d’un arsenal d’outils, de données télémétriques lui permettant d’assurer sa mission. Pourtant, force est de constater qu’ils ne sont pas exempts de failles.
Les analystes du SOC, désignés pour surveiller les systèmes d’information, sont de plus en plus surchargés cognitivement : on estime qu’ils doivent traiter les alertes au rythme d’une toutes les deux minutes ! Trop d’informations en même temps, pas ou peu de lien entre plusieurs informations, une contextualisation qui change toutes les deux minutes également, une multitude de sources d’informations qu’il faut appréhender et rapidement analyser, etc.
Cette combinaison de facteurs qui inclut des quantités écrasantes de données, les nombreux faux positifs qu’elles génèrent, le temps qui est compté, le stress de la situation, l’organisation du travail, les pressions managériales… entraînent une surcharge cognitive. Laquelle peut, évidemment, conduire parfois (et de plus en plus souvent) à la prise de mauvaises décisions.
Si nous rapprochons ces constats aux biais cognitifs, voici ce que nous pouvons dire :
- Les acteurs qui travaillent dans ce type de contextes peuvent surestimer ou sous-estimer (biais d’optimisme) la criticité d’une situation, et surtout peuvent avoir tendance à rechercher des preuves soutenant une hypothèse qu’ils souhaitent privilégier. L’analyste peut surpondérer des informations allant dans son sens : c’est le biais de confirmation.
Exemple d’une entreprise qui a l’habitude de mener des campagnes de phishing pour sensibiliser ses personnels : les équipes cyber vont penser en priorité à exclure la possibilité d’une attaque, et penser plutôt à un exercice. Elles vont plutôt rechercher tous les éléments allant dans ce sens, sans forcément se dire qu’il s’agit d’une réelle campagne de phishing. Et pendant ce temps, le chrono tourne.
- Les mêmes acteurs peuvent être amenés à se référer directement à un outil et à ses résultats, sans chercher à analyser le contexte réel : biais d’automatisation. L’omniprésence de l’outillage et le sentiment que la machine a toujours raison les amènent à privilégier les résultats issus d’un système automatisé, au détriment de décisions réfléchies, posées et contextualisées.
- Souvent, lors d’un incident de sécurité, les équipes ont tendance à se focaliser sur les risques majeurs, en oubliant les risques résiduels qui peuvent être tout autant dévastateurs : biais d’information partagée, on passe plus de temps sur les informations générales et moins sur les détails. Mais il peut également faire l’inverse, et ne se concentrer que sur ce qui est minime. C’est ici un comportement qui répond à la loi de la futilité, et qui ordonne de passer plus de temps sur des questions sans intérêt que sur le sujet en cours. C’est assez proche de l’effet de l’autruche, qui va induire un tri trop sélectif de l’analyste, lequel ne va pas avoir la même considération pour toutes les informations qui lui parviennent.
- Parfois, un analyste de SOC, parce qu’il a de l’expérience, oublie de tester d’autres méthodes d’analyses ou de contextualisation. Persuadé que sa méthode est unique et qu’elle est la bonne, il ne cherche pas à la confronter à une autre. C’est l’effet Einstellung : lorsqu’une idée vient immédiatement à l’esprit dans un contexte familier, elle empêche les alternatives d’être considérées. On retrouve ce comportement avec l’expression du biais heuristique, où seules les informations qui viennent à l’esprit en premier sont considérées. Ce phénomène peut être excessivement dangereux, notamment lorsque les équipes sont focalisées sur une attaque phare et en oublient la sécurité d’autres périmètres.
- Un autre biais assez fréquent que l’on rencontre est le biais de disponibilité, qui consiste à interférer dans la prise de décision, en ne mettant en avant que les instances dans lesquelles certaines actions ont réussi dans le passé. L’analyste va alors comparer la situation en cours avec une précédente qui y ressemble, et prendra une décision potentiellement peu efficace, voire inadaptée.
- Enfin, l’expérience peut être un atout, mais également une contrainte en cybersécurité. L’excès de confiance peut biaiser la perception des choses et conduire à prendre une mauvaise décision. Cette déviance est elle aussi liée à un biais, naturellement appelé le biais de l’excès de confiance.
Nous venons de décrire quelques biais qui peuvent être à l’origine de mauvaises décisions dans un SOC… et ce dans une situation dite nominale. Qu’en est-il en cas de crise majeure ? Ce sera l’objet du prochain article de cette série.
Retrouvez ici le premier article de cette série, ainsi que le troisième, le quatrième et le cinquième.