Sécurisation empirique de la sécurité

 

 

@secucrypt

iro@cryptosec.org

 

Mémoire soutenu à l’ESCP Paris le 27 janvier 2017

Objet

Etablir une méthode permettant de fiabiliser les décisions dans le domaine de la sécurité

La sécurité? Les risques?

Sécurité: situation objective caractérisée par la seule présence de risques maitrisés.

Risques: contingences indésirables, avérées, potentielles ou futures.

>> La sécurité résulte d'une dynamique de maitrise.

Un facteur au coeur de la sécurité...

l'imprévu

Différence structurelle entre une démarche de sécurisation et la plupart des autres démarches: pas de méthode, de modèle déterministe.

De plus, le spectre des possibles permettant la réalisaiton d'un objectif est plus faible que celui des causes adverses.

>> Comment prendre les meilleures décisions ?

Décider en sécurité ?

... Traiter des phénomènes peu ou pas modélisés, à l’aide de nos cerveaux et de nos organisations perclus de biais qui en rendent le fonctionnement erratique.

Une analogie

Méthodes utlisées par les développeurs pour éviter les vulnérabilités les plus fréquentes, en l’absence de modèles de sécurité déterministes (OWASP).

>> Nous allons essayer d’établir une liste des erreurs communément commises en matière de prise de décision, puis de l’instancier à quelques domaines de la maitrise des risques.

Trois domaines d'application

- L’évaluation des risques

- La définition et la mise en place de mesures de sécurité préventives

- La prise de décision en gestion de crise

Cas observés

Dans ces trois domaines, l'observation - et la participation - aux processus d'une grande organisation m'a permis de lister quelques cas de prise de décision sécurité problématiques.

- L’évaluation des risques: 8 cas

- La définition et la mise en place de mesures de sécurité préventives: 9 cas

- La prise de décision en gestion de crise: 10 cas

Exemple (gestion de crise)

"Parfois, dans l’urgence de la gestion d’une crise ou d’un incident majeur, des décisions sont prises sur la base de fausses informations ou d’hypothèses erronées qu’il aurait été souvent aisé de disqualifier (souvent, un technicien aurait pu rapidement alerter sur l’erreur). S’il est essentiel de savoir décider sans disposer de toutes les informations, il est tout aussi vital de pouvoir s’appuyer sur quelques certitudes. Dans la plupart des cas c’est l’urgence et l’enthousiasme à l’idée de tenir une piste qui rend aveugle sur la qualité de ces informations."

Facteurs de risques pour les décisions sécurité (1/2)

En se basant sur les travaux dans les domaines du management, de la psychologie, de la théorie des organisations, sur notre propre expérience et sur les descriptions de crises et catastrophes documentées...

>> on peut lister des facteurs pouvant causer des dysfonctionnements dans la prise de décisions dans le domaine de la sécurité et de la sureté (22 listés)

Facteurs de risques pour les décisions sécurité (2/2)

Rationalité limitée | Biais de confirmation | Biais de l’énaction | Histoires versus statistiques | Rôle du hasard | Fausseté des souvenirs | Le non-partage de l’information | Le biais de conformité | Groupthink | Faux consensus | Hubris | Biais d’engagement | Normalisation du danger | Injonctions paradoxales | Solutions préférées | Cadrage des situations | Dysfonctionnements d’équipe | Communication défaillante | Renoncement éthique | Oubli | Erreurs de raisonnement | Dilution de la responsabilité

Exemple de facteur de risque (1/2)

"Rationalité limitée
Les individus et les groupes ont l’intention d’être rationnels, mais en raison de leurs capacités cognitives limitées, ils n’y parviennent que dans une faible mesure. Afin de pallier cette lacune, les organisations pensent souvent rationaliser leurs choix en faisant appel à des chiffres."

Exemple de facteur de risque (2/2)

"Biais de l’énaction
Nous construisons nous-mêmes, par nos actions et nos croyances, notre environnement. Nous le « mettons en scène » et avons tendance à considérer comme « vrai » ce qui semble « marcher » dans notre représentation du monde (« Je ne vois que ce que je crois »). Mais ce qui « marche » peut être faux, ou seulement partiellement vrai."

Transposition de ces facteurs aux domaines étudiés

L’objectif de la présente étude est d’obtenir une méthode opérationnelle.

Il faut donc maintenant instancier ces facteurs de risques aux trois domaines choisis

>> des listes de questions

Exemple d'instanciation (1/2)

"Rationalité limitée
Les individus et les groupes ont l’intention d’être rationnels, mais en raison de leurs capacités cognitives limitées, ils n’y parviennent que dans une faible mesure. Afin de pallier cette lacune, les organisations pensent souvent rationaliser leurs choix en faisant appel à des chiffres."

>> "Est-on prêt à décider sans disposer de toutes les informations (ce qui revient à assumer que le choix ne sera pas tout à fait rationnel) ?"

Exemple d'instanciation (2/2)

"Biais de l’énaction
Nous construisons nous-mêmes, par nos actions et nos croyances, notre environnement. Nous le « mettons en scène » et avons tendance à considérer comme « vrai » ce qui semble « marcher » dans notre représentation du monde (« Je ne vois que ce que je crois »). Mais ce qui « marche » peut être faux, ou seulement partiellement vrai."

>> "Comment ce qui est considéré comme « vrai » est-il devenu une certitude ?"

Simulation d'application

On reprend les cas / problèmes observés et, on vérifie si l'une (ou plusieurs) des questions de nos listes aurait pu permettre de l'éviter.

Exemple de simulation d'application (1/2)

"Parfois, dans l’urgence de la gestion d’une crise ou d’un incident majeur, des décisions sont prises sur la base de fausses informations ou d’hypothèses erronées qu’il aurait été souvent aisé de disqualifier (souvent, un technicien aurait pu rapidement alerter sur l’erreur). S’il est essentiel de savoir décider sans disposer de toutes les informations, il est tout aussi vital de pouvoir s’appuyer sur quelques certitudes. Dans la plupart des cas c’est l’urgence et l’enthousiasme à l’idée de tenir une piste qui rend aveugle sur la qualité de ces informations."

Exemple de simulation d'application (2/2)

"La question « Est-on prêt à décider sans disposer de toutes les informations (ce qui revient à assumer que le choix ne sera pas tout à fait rationnel) ? » rappelle l’importance de cet état d’esprit en situation de crise, tandis que la question « Comment ce qui est considéré comme « vrai » est-il devenu une certitude ? » devrait pouvoir alerter sur la nécessaire vigilance quant à la fiabilité des informations qui justifient des actions structurantes."

Conclusion

En synthèse, il nous a semblé que cela fontionnait bien.

Mais le seul juge d'une telle méthode sera la réalité, l'expérimentation.

 

Le mémoire complet:

Memoire_SecEmpiriqueSecu_v4.pdf

Merci

 

@secucrypt

 

iro@cryptosec.org