Etablir une méthode permettant de fiabiliser les décisions dans le domaine de la sécurité
Sécurité: situation objective caractérisée par la seule présence de risques maitrisés.
Risques: contingences indésirables, avérées, potentielles ou futures.
>> La sécurité résulte d'une dynamique de maitrise.
l'imprévu
Différence structurelle entre une démarche de sécurisation et la plupart des autres démarches: pas de méthode, de modèle déterministe.
De plus, le spectre des possibles permettant la réalisaiton d'un objectif est plus faible que celui des causes adverses.
>> Comment prendre les meilleures décisions ?
... Traiter des phénomènes peu ou pas modélisés, à l’aide de nos cerveaux et de nos organisations perclus de biais qui en rendent le fonctionnement erratique.
Méthodes utlisées par les développeurs pour éviter les vulnérabilités les plus fréquentes, en l’absence de modèles de sécurité déterministes (OWASP).
>> Nous allons essayer d’établir une liste des erreurs communément commises en matière de prise de décision, puis de l’instancier à quelques domaines de la maitrise des risques.
- L’évaluation des risques
- La définition et la mise en place de mesures de sécurité préventives
- La prise de décision en gestion de crise
Dans ces trois domaines, l'observation - et la participation - aux processus d'une grande organisation m'a permis de lister quelques cas de prise de décision sécurité problématiques.
- L’évaluation des risques: 8 cas
- La définition et la mise en place de mesures de sécurité préventives: 9 cas
- La prise de décision en gestion de crise: 10 cas
"Parfois, dans l’urgence de la gestion d’une crise ou d’un incident majeur, des décisions sont prises sur la base de fausses informations ou d’hypothèses erronées qu’il aurait été souvent aisé de disqualifier (souvent, un technicien aurait pu rapidement alerter sur l’erreur). S’il est essentiel de savoir décider sans disposer de toutes les informations, il est tout aussi vital de pouvoir s’appuyer sur quelques certitudes. Dans la plupart des cas c’est l’urgence et l’enthousiasme à l’idée de tenir une piste qui rend aveugle sur la qualité de ces informations."
En se basant sur les travaux dans les domaines du management, de la psychologie, de la théorie des organisations, sur notre propre expérience et sur les descriptions de crises et catastrophes documentées...
>> on peut lister des facteurs pouvant causer des dysfonctionnements dans la prise de décisions dans le domaine de la sécurité et de la sureté (22 listés)
Rationalité limitée | Biais de confirmation | Biais de l’énaction | Histoires versus statistiques | Rôle du hasard | Fausseté des souvenirs | Le non-partage de l’information | Le biais de conformité | Groupthink | Faux consensus | Hubris | Biais d’engagement | Normalisation du danger | Injonctions paradoxales | Solutions préférées | Cadrage des situations | Dysfonctionnements d’équipe | Communication défaillante | Renoncement éthique | Oubli | Erreurs de raisonnement | Dilution de la responsabilité
"Rationalité limitée
Les individus et les groupes ont l’intention d’être rationnels, mais en raison de leurs capacités cognitives limitées, ils n’y parviennent que dans une faible mesure.
Afin de pallier cette lacune, les organisations pensent souvent rationaliser leurs choix en faisant appel à des chiffres."
"Biais de l’énaction
Nous construisons nous-mêmes, par nos actions et nos croyances, notre environnement. Nous le « mettons en scène » et avons tendance à considérer comme « vrai » ce qui semble « marcher » dans notre représentation du monde (« Je ne vois que ce que je crois »). Mais ce qui « marche » peut être faux, ou seulement partiellement vrai."
L’objectif de la présente étude est d’obtenir une méthode opérationnelle.
Il faut donc maintenant instancier ces facteurs de risques aux trois domaines choisis
>> des listes de questions
"Rationalité limitée
Les individus et les groupes ont l’intention d’être rationnels, mais en raison de leurs capacités cognitives limitées, ils n’y parviennent que dans une faible mesure.
Afin de pallier cette lacune, les organisations pensent souvent rationaliser leurs choix en faisant appel à des chiffres."
>> "Est-on prêt à décider sans disposer de toutes les informations (ce qui revient à assumer que le choix ne sera pas tout à fait rationnel) ?"
"Biais de l’énaction
Nous construisons nous-mêmes, par nos actions et nos croyances, notre environnement. Nous le « mettons en scène » et avons tendance à considérer comme « vrai » ce qui semble « marcher » dans notre représentation du monde (« Je ne vois que ce que je crois »). Mais ce qui « marche » peut être faux, ou seulement partiellement vrai."
>> "Comment ce qui est considéré comme « vrai » est-il devenu une certitude ?"
On reprend les cas / problèmes observés et, on vérifie si l'une (ou plusieurs) des questions de nos listes aurait pu permettre de l'éviter.
"Parfois, dans l’urgence de la gestion d’une crise ou d’un incident majeur, des décisions sont prises sur la base de fausses informations ou d’hypothèses erronées qu’il aurait été souvent aisé de disqualifier (souvent, un technicien aurait pu rapidement alerter sur l’erreur). S’il est essentiel de savoir décider sans disposer de toutes les informations, il est tout aussi vital de pouvoir s’appuyer sur quelques certitudes. Dans la plupart des cas c’est l’urgence et l’enthousiasme à l’idée de tenir une piste qui rend aveugle sur la qualité de ces informations."
"La question « Est-on prêt à décider sans disposer de toutes les informations (ce qui revient à assumer que le choix ne sera pas tout à fait rationnel) ? » rappelle l’importance de cet état d’esprit en situation de crise, tandis que la question « Comment ce qui est considéré comme « vrai » est-il devenu une certitude ? » devrait pouvoir alerter sur la nécessaire vigilance quant à la fiabilité des informations qui justifient des actions structurantes."
En synthèse, il nous a semblé que cela fontionnait bien.
Mais le seul juge d'une telle méthode sera la réalité, l'expérimentation.
Le mémoire complet:
Memoire_SecEmpiriqueSecu_v4.pdf