Speaker #0Aujourd'hui je te raconte une histoire sur un vieux biais cognitif, le biais d'observabilité, et surtout, comment ce biais peut te piéger dans ton SMSI. Alors accroches-toi, on remonte le temps, en pleine seconde guerre mondiale, avec un nom que tu ne connais peut-être pas, Abraham Wald. Tu sais, cette image d'un avion vu du dessus avec des points rouges partout, c'est lui. Et c'est pas juste une anecdote de guerre, c'est une leçon vitale pour la cybersécurité d'aujourd'hui. Mais promis, on quitte vite la seconde guerre mondiale pour revenir à la troisième. notre cyberguerre avec nos phishing, nos KPIs et notre cher ami l'ISO 27001. Bonjour à toi et bienvenue dans Compliance Without Coma, le podcast où la cybersécurité ne rime jamais avec somnolence. J'ai découvert ce biais il y a 25 ans quand je bossais encore chez Sun Microsystems. On a suivi une formation de Kepner & Tregoe sur l'analytique troubleshooting. Autant te dire que ça nous a secoué. On croyait être bon, mais on s'est fait démonter proprement. Le formateur nous a laissé nous planter pour mieux nous faire apprendre. Depuis, une phrase me reste, « Think beyond the fix » . En français, c'est « Va au-delà de la solution » . Et je m'en sers tout le temps, à la fois en implémentation, en audit. Et je ne me contente pas du symptôme, mais j'essaye toujours de remonter jusqu'à la vraie cause. Dr House, tu vois le genre. Flashback vers la deuxième guerre mondiale. Pendant la guerre, les alliés analysaient les avions qui revenaient de mission. Ils repéraient les zones les plus touchées, avec des points rouges partout, et l'idée logique au départ, c'était de renforcer ces zones. Mais Abraham Wald, mathématicien, a dit non. Il a retourné la table. Il a expliqué, ces zones abîmées, ce sont celles qui ont résisté. Les avions sont rentrés malgré les impacts, les zones sans impact, c'est peut-être là que les autres se sont fait abattre. Boum, le biais du survivant. Si les alliés avaient renforcé les zones rouges, ils auraient blindé des parties qui n'ont pas besoin de l'être et alourdi leurs avions pour rien. Erreur stratégique. Alors quelle est l'application du biais du survivant au phishing ? Tu vois où je veux en venir. Dans ton analyse d'incidents de phishing, tu comptes quoi ? Les mails reçus ? Les signalements ? Les clics ? Les incidents avérés ? Tu vois les points rouges ? Mais quid de ceux qu'on ne voit pas ? Des collaborateurs qui n'ont rien signalé, qui ont cliqué, puis rien dit. C'est ça le vrai danger. Moi, je ne considère pas tous les mails de phishing comme des incidents. Sinon, tu noies ton tableau de bord. Par contre, je m'intéresse à ceux qui ont touché leur cible. À ceux qui ont généré une action. Un clic, une fuite, un doute. Et surtout, je traque les serial clickers. Ceux qui cliquent, toujours, et encore, et encore. Par curiosité, négligence, automatisme. Même s'ils ne sont que deux dans la boîte. Il suffit à créer un chaos. Donc, on va prendre des mesures intelligentes. Le vrai enjeu, c'est pas juste mesurer. C'est interpréter intelligemment ce qu'on mesure. Un collègue qui signale un phishing, bravo, mais c'est pas un incident. Mais c'est une donnée précieuse. Tu peux en faire un KPI. Hop, phishing reporté. Et suivre la tendance. Mais attention. Est-ce qu'on parle de baisse ou du progrès ? Peut-être que les gens ne signalent plus. Pas qu'il y a moins d'attaques. Je préfère parfois parler de KGI, pour Key Goal Indicator. Il anticipe un risque avant qu'il ne se réalise. Par exemple, s'il n'y a plus personne qui signale, c'est peut-être que plus personne ne les voit. Et fais attention au storytelling. Quand tu parles à ta direction, fais gaffe. Tu leur dis, on a bloqué 50 phishings, mais un est passé. Ils peuvent te dire, ok, 2% de perte, ça va, on accepte le risque. Mais ce un-là, il peut te poser un ransomware. te coûter un week-end ou un mois de CA. Le problème, c'est pas la quantité, c'est l'impact. Donc, pose-toi toujours la question, est-ce que je renforce là où ça brille, ou là où ça craque vraiment ? On arrive tout doucement à la conclusion, et donc le biais du survivant, c'est se concentrer sur ce qui a survécu, et oublier ce qui n'a jamais atteint le radar. C'est une erreur logique, c'est du biais d'échantillonnage, et ça fausse toutes les conclusions. Alors, toi, tu fais quoi ? Du wald ? Ou tu continues à blinder là où ça brille ? En tout cas, n'oublie pas, N'oublie pas que la clause 9.1 de l'ISO 27001 parle de surveillance, mesure, analyse et évaluation. Et bam, cadeau, c'est obligatoire, car elle fait partie des clauses 4 à 10 du SMSI. Si tu es arrivé jusqu'ici, bravo, tu vois, tu ne t'es pas endormi, tu as mérité un petit bonus. J'ai glissé un mot secret quelque part dans cet épisode, c'est mon CTF à moi. Je te donne un petit indice. Qui est à l'origine du biais du survivant ? Tu l'as trouvé ? Top ! Poste un commentaire sur mon post LinkedIn avec ce mot secret. ou partout où tu vois la référence au poste sur les réseaux sociaux. Insta, TikTok et oui, on est également sur YouTube maintenant. Ça te donne plus de chances de gagner. La roue aura plus de poids sur ton nom. Tu peux également glisser un message en DM si tu veux la jouer secret. Un participant sera tiré au sort fin juillet 2025 pour gagner un court track cert essential de ton choix. Bon, tu as le choix entre 8. Ou un goodies compliance without coma si tu ne veux pas de certification. Je ferai le tirage au sort en toute transparence. Avec tous les noms, la répartition des voix, vos nombres de votes et un clic honnête. Imagine ce podcast n'a pas l'effet escompté et t'es tout seul. Bam, tu gagnes. Alors, tu joues ? Rappelle-toi. La cybersécurité, ce n'est pas qu'une question de pare-feu, c'est aussi une question d'angle mort. Et de petites surprises cachées dans un podcast. Partage cet épisode à ton analyste préférée, like, mets-moi 5 étoiles partout, ça m'aide et ça permet au podcast de continuer à se propager. Merci d'avoir écouté Compliance Without Coma, le podcast où la cybersécurité c'est concret, vivante et sans somnifère, même pendant une canicule.
