La première difficulté rencontrée par un dirigeant d’entreprise est celle d’évaluer le retour sur investissement d’une stratégie.
Or, la rapide diversification des menaces digitales constitue un véritable challenge tant pour les entreprises que pour les Assureurs. Sans pouvoir décrire le phénomène dans sa totalité, mon but est d’éclairer les raisons d’une certaine impréparation face aux risques numériques.
En 2015, DELL offrait une perspective intéressante permettant de se faire une idée du ROI d’une stratégie de prévention numérique. La conclusion est sans appel : la mise en œuvre des mesures avancées de sécurité informatique comporte un coût, mais au regard de l’impact potentiel d’une attaque informatique, l’investissement est plus que justifié (5 $ pour un firewall contre 860 273 $ pour une perte consécutive à une brèche). Alors, pourquoi cette conclusion semble-t-elle ne pas faire l’unanimité ?
La réponse tient tout à la fois au fait que nous sommes émotifs et à ce que l’économie comportementale appelle les biais cognitifs, c’est à dire une prédisposition de notre cerveau à distiller, par le biais de raccourcis cognitifs, plusieurs informations complexes afin de faciliter une prise de décision dans un environnement incertain pouvant être composé de risques de type Low Frequency - High Consequences. A ce propos, les travaux de Daniel KAHNEMAN et Amos TVERSKY sur l’économie comportementale sont d’excellentes références.
A titre d’exemple, on peut citer l’heuristique de disponibilité, à partir de quoi on peut expliquer des décisions d’investissement et de désinvestissement des dirigeants face aux solutions de sécurité. En effet, la récente exposition à un malware modifiera votre perception du risque : une fois le danger passé, vous relâcherez votre vigilance et vos investissements fléchiront également.
Un autre biais digne d’intérêt est l’aversion aux pertes, à savoir donner plus d’importance aux pertes immédiates plutôt qu’aux gains potentiels. Traduit différemment, une prime d’assurance est souvent perçue comme une dépense sur le court terme plutôt qu’un gain sur le long terme. Sous certaines latitudes, l’Assureur est perçu comme un partenaire, sous d’autres comme un « percepteur ».
Enfin, en dépit des statistiques, s’imaginer inatteignable par un malware polymorphique nouvelle génération sous couvert de ne posséder aucune donnée constitue aujourd’hui un biais d’excès de confiance (d’optimisme) grave conditionnant vos choix en matière d’investissements en cyber sécurité.
En conclusion, il semble important de rappeler que l’erreur est presque toujours humaine !