Les biais cognitifs qui nous empêchent d'agir
En matière de cybersécurité, les biais cognitifs menacent la survie de l’entreprise et empêchent une réelle prise de conscience des enjeux.
C’est paradoxal quand on sait que 60 % des TPE et PME déposent leur bilan dans les six mois après une cyberattaque.
En matière de cybersécurité, les biais cognitifs menacent la survie de l’entreprise et empêchent une réelle prise de conscience des enjeux.
Selon les observations, les dirigeants ne sont pas encore prêts à investir dans leur propre cybersécurité.
C’est paradoxal quand on sait que 60 % des TPE et PME déposent leur bilan dans les six mois après une attaque*.
Alors pourquoi les dirigeants ne prennent-ils pas les décisions qui sont conformes à leurs propres intérêts?
Dans cet article, nous vous expliquerons certaines des raisons psychologiques qui poussent les dirigeants à faire preuve d’inertie et à ne pas investir dans leur propre cybersécurité.
Les biais cognitifs qui menacent les entreprises
1. L’aversion à la perte
L’aversion à la perte consiste à accorder plus d’importance à une perte qu’à un gain. Imaginons un dirigeant qui a le choix entre investir 30 000 € dans le développement commercial ou dans la cybersécurité.
Dans la première situation, il investit pour obtenir un gain, alors que, dans la deuxième situation, il investit pour éviter une potentielle attaque.
Dans le deuxième cas, le dirigeant considère la dépense comme une perte au même titre qu’une prime d’assurance.
Ce premier biais active le second biais.
2. Le biais de surconfiance
Le biais de surconfiance amène les dirigeants à sous-estimer les probabilités que leur entreprise soit victime d’une cyberattaque. On entend souvent :
“ Cela n’arrive qu’aux autres ! ”
Pire encore, lorsque nous présentons les probabilités, nous entendons souvent :
“ On trouvera bien une solution si un jour cela arrive ”
Il y a une sorte de fuite en avant.
3. Le biais de confirmation
Ce biais renforce les deux premiers. Le dirigeant va sélectionner les informations qui confirment ses propres croyances.
Récemment, un dirigeant nous a dit, juste après avoir vu un article de presse : « les cyberattaques ne concernent que les grands groupes » ainsi que « je ne connais personne dans mon entourage qui a été victime d’une cyberattaque ».
Ce biais renforce l’optimisme du dirigeant et confirme son inertie.
4. La disponibilité mentale
Cette fois-ci, ce n’est pas un biais de raisonnement, mais un biais lié à la disponibilité mentale du dirigeant.
Un chef d’entreprise doit gérer au quotidien de nombreux risques qui peuvent affaiblir son entreprise, comme les risques associés au développement commercial, les risques psychosociaux liés au management et tous les facteurs externes tels que les effets de la guerre ou encore de la COVID.
Par exemple, un chef d’entreprise nous expliquait que sa priorité était de gérer la démotivation de ses salariés et les différents départs.
La cybersécurité n’est qu’un défi de plus qui paraît lointain et sur lequel il n’aurait pas de prise directe.
5. Le biais de l’affect
Ce biais explique en grande partie l’absence d’intérêt des dirigeants d’entreprise pour la cybersécurité.
Il faut avoir en tête qu’un humain prend des décisions à partir de ce qu’il ressent et de ses émotions. Une cyberattaque est vécue comme une menace émotionnelle lointaine et probabiliste.
Concernant les enjeux cyber, les dirigeants ne ressentent pas d’émotion immédiate comme c’est le cas avec les urgences quotidiennes, par exemple celles liées au développement commercial, lequel a un impact direct sur la croissance de leur entreprise.
Ce biais explique pourquoi les entreprises les plus fragiles n’investissent pas dans leur cybersécurité.
C’est particulièrement irrationnel lorsqu’on sait qu’une entreprise fragilisée est quasiment sûre de faire faillite à la suite d’une attaque.
En conclusion
Les biais cognitifs jouent un rôle majeur dans la négligence des dirigeants face à la cybersécurité.
Les entreprises sont menacées par ces biais qui les empêchent de prendre conscience des risques réels et de l'importance d'investir dans leur protection.
Pour surmonter ces obstacles, il est nécessaire d'améliorer la prise de conscience en faisant visualiser les conséquences, en évitant une communication trop rationnelle, et en utilisant des histoires concrètes et émotionnelles.
En adoptant ces stratégies, les dirigeants de TPE et PME seront plus enclins à investir dans leur cybersécurité, protégeant ainsi leur entreprise contre les cyberattaques potentiellement dévastatrices.
Romain Bouvet
Romain Bouvet Docteur en Psychologie Sociale & Cognitive. Associé chez CYBCO. J'aide les entreprises à l'aide des connaissances scientifiques en neurosciences et en psychologie sociale & cognitive. En parallèle, je dirige plusieurs entreprises dans divers secteurs différents (cybersécurité, cabinet de conseil en management)
En savoir plus : https://www.linkedin.com/in/romain-bouvet/
Comments