Speaker #0Est-ce que tu as peur des requins ? Non ? Bon alors pense à autre chose. Une souris, un rat, une grosse araignée velue, un scorpion, un serpent, un hippopotame. Tu les as ? Bravo ! Et bien figure-toi que l'animal qui tue le plus chaque année, c'est le moustique. Plus d'un million de décès par an, rien qu'en 2024. Paludisme, dingue, fièvre jaune, zika... Le moustique, c'est le vrai serial killer de la planète. Pourquoi je te parle de ça ? Parce que c'est la meilleure entrée en matière pour comprendre nos peurs. Et quand la peur débarque, notre rationalité prend la porte. On peut alors surévaluer un risque ou complètement le sous-estimer. Bonjour à toi ! Et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO. Mais sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice Depape et aujourd'hui, on va parler de ton cerveau, de tes peurs et de la manière dont elles biaisent ton analyse de risque. Alors dis-moi, tu as peur de quoi ? Des requins ? D'un blackout généralisé ? Ça ne s'est pas produit au Portugal cette année. Ou plutôt de l'audit ISO qui t'attend la semaine prochaine ? Parce que oui ! Les scénarios catastrophes, on en invente tous. Certains ne se produiront jamais, d'autres arrivent sans prévenir. Souviens-toi, en 2025, le blackout ibérique, un enchaînement de surtentions, des déconnexions en cascade et un réseau électrique qui ne suit plus, parce qu'on a déployé trop vite du photovoltaïque. Moralité, le risque n'était pas seulement technique, c'était aussi un risque de gouvernance et un manque d'anticipation. Et là, on est déjà dans la continuité d'activité, donc oui, Cyber et continuité, c'est le même combat. Mais revenons à nos animaux. T'as peur des requins, par exemple. Statistiquement, 10 morts par an dans le monde. Mais Spielberg nous a laissé un héritage émotionnel, les dents de la mer. Résultat, l'amidale s'emballe. Et pourtant, l'éléphant tue 10 fois plus. Et l'hippopotame, 50 fois plus. Mais on en parle moins. Donc, ton cerveau ne flippe pas. Moralité, ta perception du risque est biaisée. Pas par les chiffres. par ton vécu, par ce que tu vois et par ce que tu entends dans les médias. Alors, parlons neurosciences. L'amidale, c'est ton détecteur d'incendie, une petite amende dans ton cerveau qui déclenche l'alerte dès qu'un danger surgit. C'est rapide, c'est instinctif, mais parfois ça s'emballe. Le cortex préfrontal, lui, c'est le pompier rationnel. Il analyse, il compare, et il peut dire à ton amidale « Eh oh, calme-toi, c'était juste le frigo, pas un cambrioleur » . En entreprise, c'est pareil. Un incident, une faille, une alerte et certains paniquent. Parce que l'amidale a pris le contrôle. Mais avec de l'entraînement, des drills, des répétitions, tu actives ton préfrontal. Tu gardes ton sang froid et tu prends de meilleures décisions. Tu vois, l'analyse de risque, ce n'est pas si rationnel qu'on voudrait le croire. Deux personnes différentes, deux vécus différents. Et hop, deux évaluations de risque opposées. C'est ce qu'on appelle le biais de perception. Et il ne s'arrête pas là. Souviens-toi du 11 septembre. Personne n'avait imaginé un avion dans une tour. Encore moins deux avions dans deux tours jumelles, en moins de 20 minutes. Depuis ce jour, notre perception du risque aérien a changé. Même si, statistiquement, l'avion reste le moyen de transport le plus sûr. Tu vois, le cerveau retient les catastrophes, les Black Swan, mais il oublie vite l'histoire avec un grand H. Le Covid par exemple. On pensait qu'une pandémie mondiale c'était fini. Et pourtant, grippe espagnole... peste noire, H1N1, l'histoire nous avait prévenu. Alors faisons un détour par la gestion des risques. Savais-tu qu'il y existait trois types de risques ? Les risques négatifs, perte, menace, attaque. Les risques neutres, sans impact, je veux dire, sans impact significatif pour ton business. Et les risques positifs, les opportunités. Et c'est là que ça coince, parce que notre cerveau déteste le mot risque, alors qu'en anglais, on dit take a chance. Prends une opportunité. En français, le risque est perçu de manière négative. Une migration cloud, par exemple. Tu prends un risque technique, mais tu peux gagner en performance et en agilité. Le problème ? On dramatise les risques négatifs et on sous-estime les positifs. D'ailleurs, Kahneman et Tversky l'avaient démontré. Perdre 100 euros, ça fait deux fois plus mal que le plaisir d'en gagner 100. Résultat ? On freine l'innovation, on bloque des projets, juste par peur que ça casse. Et la norme ISO 27005, là-dedans, elle se concentre sur les menaces. C'est utile, on est d'accord. Mais c'est biaisé par construction. Dans l'ISO 31000, sa grande sœur corporate, le risque est une incertitude sur les objectifs. C'est pas forcément négatif, si tu écoutes bien. Et Epios Risk Manager, en France, va encore plus loin. Elle permet d'analyser les scénarios stratégiques, y compris des opportunités. Donc soyons clairs, une bonne analyse de risque, c'est pas une boule de cristal. Tu vas te tromper. Mais c'est pas grave. Tu as le PDCA pour corriger. L'important, c'est d'éviter les éléphants dans le couloir. Les risques énormes qu'on ne peut pas rater, et d'arrêter de courir après les « signes noirs » improbables. Alors voilà ma conclusion. Si tu ne veux pas voir ton amygdale dessinée à ta place, entraîne ton cortex préfrontal. Si tu es ciseau, apprends à parler opportunité, pas seulement menace et risque. Et si tu es entrepreneur, suis ta peur. C'est peut-être là que la magie commence. Merci d'avoir écouté cet épisode de Compliance Without Coma. Abonne-toi, partage-le avec quelqu'un qui a plus peur d'un requin que d'un moustique. Et on se retrouve déjà vendredi prochain.
