Mécanismes de Défense : Comprendre le Biais Défensif en cyber

Home / Cybersécurité

Mécanismes de Défense : Comprendre le Biais Défensif en cyber

Aujourd’hui je voulais vous parler du biais défensif, souvent comparé au biais d’attribution, mais il n’en est rien.

I-Définition

Le biais défensif est un mécanisme d’autoprotection psychologique par lequel les individus ont tendance à protéger leur estime de soi et leur image personnelle en attribuant la responsabilité des événements négatifs à des facteurs externes, plutôt qu’à eux-mêmes. Nous trouvons inconfortable de penser que les événements se produisent par hasard ou par accident.

Parton d’un exemple, vous êtes responsable d’un accident ; votre réaction : « c’est dû aux conditions de la route, l’Etat n’a pas fait son travail de réfection de la voirie. » Résultat : on attribue l’accident à un facteur externe, et non au… hasard ou à sa propre responsabilité.

Ce biais survient lorsqu’une personne minimise sa responsabilité ou rationalise un comportement pour éviter de ressentir de la culpabilité, de la honte ou d’autres émotions négatives.

Le premier à avoir abordé cette crainte est Walster, et ce, en 1966 ; ce n’est pas hier, mais avant-hier ! En d’autres termes, c’est une manière de défendre son ego face à des informations qui pourraient remettre en question sa compétence, son jugement ou ses croyances. Ce biais peut jouer un rôle important dans la manière dont les individus et les groupes ont réagi à des situations stressantes.

La méta-analyse qui suit mettra en lumière les études clés qui ont non seulement confirmé l’existence de ce biais, mais aussi révélé ses nuances et ses implications dans divers contextes émotionnels et sociaux.

I-1-Meta analyse

Alors depuis Walster d’autres études ont fleuri, notamment Shaver[1] qui s’est emparé du sujet et a approfondi la théorie de l’attribution et son lien avec les émotions et la perception de contrôle.

Et il a complété en affirmant que, si on reprend le cas de notre accident, cette fois ci vous êtes témoin :

  • plus le conducteur semble similaire au témoin, moins il est susceptible de blâmer le conducteur
  • plus un événement est susceptible de se produire, moins les témoins sont susceptibles de blâmer les conducteurs
  • plus l’accident est grave, moins le témoin sera susceptible de blâmer le conducteur (confirmé par une autre série d’etudes[2])

Finalement pour lui, les gens pourraient essayer de se défendre contre la culpabilité plutôt que contre le hasard. 

Comprendre pourquoi les individus adoptent ce mécanisme de défense est crucial pour saisir la complexité de nos actions en cyber. Dans cette optique, il est essentiel d’explorer les raisons sous-jacentes à ce comportement.

II-Mais Pourquoi ?

Si vous pensez que le conducteur ou la situation vous ressemble, vous êtes moins susceptible d’attribuer l’accident au conducteur, mais pourquoi donc ? Les gens prévoient que: s’ils se trouvaient dans une situation similaire, ils ne voudraient pas être blâmés. Ne faites pas à autrui ce que l’on aimerait pas que l’on nous fasse !

Ce petit mécanisme de défense agit en fonction de plusieurs éléments, en voici quelques-uns :

  • L’égo

On va se protéger et protéger l’image de soi et pour réduire les sentiments de vulnérabilité ou de peur.

Nous avons un besoin fondamental de nous voir de manière positive, plutôt que d’assumer une responsabilité, un échec, on va rejeter la faute sur un facteur externe.

On retrouve ce concept dans la théorie de l’auto-affirmation de Steele[3]. Dans cette théorie, le sujet va s’engager dans des stratégies défensives pour minimiser la menace perçue.

Ce mécanisme permet de maintenir une image positive, même face à des événements négatifs.

  • Distanciation /L’identification

Nous allons avoir tendance à blâmer les victimes pour leur situation malheureuse afin de se distancer de la possibilité de connaître le même sort.

Ce processus permet à une personne de réduire le sentiment de vulnérabilité face à des événements qu’elle craint pour elle-même.

Si je reprends mon exemple ; lorsqu’une personne est témoin d’un accident de voiture, elle pourrait attribuer l’accident à un comportement négligent ou irresponsable du conducteur, tel que l’envoi de SMS en conduisant, pour se rassurer que cela ne lui arriverait pas.

Une théorie illustre ce propos et se nomme : la théorie du monde juste de Melvin Lerner (1980). Selon l’auteur nous avons tendance à blâmer les victimes de circonstances négatives pour maintenir l’idée que les événements tragiques ou injustes ne se produisent pas sans raison. Nous préférons croire que le monde est ordonné et prévisible.

Le côté sombre survient, hé oui il y a toujours une part d’ombre en nous. Si nous pensons que les victimes ont mérité leur sort, cela nous permet de penser que nous pouvons éviter un destin similaire en suivant les “bonnes” règles de conduite.

Pour l’identification, c’est un peu l’inverse qui se produit. Plus nous voyons une correspondance entre nous et la personne concernée, plus nous aurons tendance à atténuer les jugements négatifs ou blâmer les facteurs externes.

Voyons un exemple : Si un conducteur prudent est témoin d’un accident impliquant une autre personne qui semble tout aussi prudente, il sera moins enclin à blâmer l’autre conducteur. Il pensera que c’est dû au sol glissant, a la pluie, aux extraterrestres, mais pas à son inattention !

In finé, nous minimisons la responsabilité personnelle. On protège ainsi notre égo. Il semblerait que la boucle soit bouclée.

Vous l’avez compris d’un côté on accuse, on blâme (distanciation) On se protège de la peur que des événements similaires nous arrivent, de l’autre on minimise(identification). Cela nous protège du sentiment d’inconfort lié à l’idée que quelque chose de négatif pourrait nous arriver aussi.

En découle de la distanciation, une identification à la victime. Plus l’identification est étroite, plus l’attribution est forte et vice versa.

Les concepts de distanciation et d’identification jouent un rôle central en façonnant la manière dont les individus interprètent et expliquent les événements négatifs, tant pour eux-mêmes que pour les autres.

Ces deux mécanismes jouent un rôle crucial dans la manière dont les individus traitent la culpabilité, la responsabilité et la vulnérabilité personnelle.

  • Besoin de contrôle

L’être humain a besoin de contrôler les évènements qui lui arrivent, le biais défensif permet de maintenir ce contrôle. Le maintien d’un sentiment de contrôle est un mécanisme psychologique fondamental qui aide les individus à se sentir en sécurité.

Si je reprends mon exemple : si nous croyons qu’un accident de voiture est dû à la négligence de l’autre conducteur, ici, nous allons nous convaincre que tant que nous sommes vigilants, il ne peut rien nous arriver. Les événements néfastes ne sont pas dus au hasard, mais plutôt à des causes identifiables et modifiables.

  • La crainte de la dissonance

La fameuse dissonance cognitive introduite par Festinger, est aussi à l’origine de ce biais de défense.

Pour expliquer ce concept rien de mieux … qu’un exemple, encore :), vous voilà cette fois athlète de haut niveau, un rugbyman, fort, persévérant. Lors de la coupe du monde, vous avez fait une erreur fatale qui va vous couter la victoire. Une passe en avant ! Malédiction ! Cette erreur de débutant, entre en conflit avec la perception de vous-même , avec tout ce que l’on vous a appris,  ce qui provoque une dissonance cognitive.

Le biais défensif va intervenir ici, pour atténuer ce biais. Il va vous protéger de cet inconfort de plusieurs façons, en minimisant votre responsabilité dans un premier temps, du genre « il a plus aussi, alors forcément le ballon…glisse ». Ensuite vous pourriez attribuer la faute à l’arbitre qui était mal placé, oui je l’avoue cet exemple est un peu tirer par les cheveux, mais tout cela pour dire que vous allez rationnaliser votre échec en attribuant ce même échec a un élément incontrôlable. En faisant cela vous protégez votre estime de vous-même et vos compétences en tant que rugbyman d’une grande équipe en rouge et noir. Enfin , vous pourriez dire que en effet vous avez fait une légère passe en avant , mais c’est exceptionnel monsieur le juge ! Vous gardez ainsi le contrôle.

Cette réinterprétation permet de diminuer la dissonance.

Attention, il y a un mais ! Bien que nous ayons exploré les mécanismes psychologiques derrière le biais défensif, il est essentiel de comprendre que ces réactions ne sont pas uniformes.

III-A quelques variations près

Ces biais varient selon les groupes d’âge et les cultures

  • Dans les cultures collectivistes, par exemple, il y a une plus grande tendance à attribuer les échecs à des facteurs externes ou à des circonstances environnementales.

À l’inverse, dans les cultures individualistes, les individus sont plus susceptibles de blâmer des facteurs internes, comme la négligence ou l’incompétence personnelle, pour leurs erreurs, renforçant ainsi leur image de soi.

Heine et Lehman (1995) ; ont montré que les Japonais, en tant que représentants de cultures collectivistes, sont plus enclins à attribuer les succès à des facteurs externes (comme l’aide d’autrui) et les échecs à des facteurs internes (comme leur propre incompétence), contrairement aux Américains,

Je vous laisse juger si vous avez l’âme d’un individualiste ou pas.

  • Les croyances religieuses et spirituelles peuvent également jouer un rôle dans le biais défensif.

Vous voyez ou je veux en venir ? le Karma ! Les événements négatifs sont le résultat d’actions passées, ce qui peut inciter les individus à blâmer les victimes pour leurs malheurs.

Tsang[1] a trouvé que les individus qui croyaient au karma étaient plus enclins à attribuer les échecs d’autrui à des facteurs internes, suggérant que les croyances religieuses peuvent renforcer la tendance à blâmer les victimes pour leurs malheurs.

  • Les traits de personnalités , interviennent aussi dans ce biais. On revient à nos Big 5 ; narcissisme, l’estime de soi ou l’ouverture d’esprit, peuvent influencer la manière dont une personne manifeste le biais défensif.

Une personne ayant une haute estime de soi peut être moins susceptible de blâmer les autres pour des événements négatifs, cherchant plutôt à rationaliser ses propres erreurs versus une personne plus anxieuse. Cette dernière pourrait avoir tendance à adopter un biais défensif plus marqué, cherchant à se protéger de l’auto-critique en attribuant la responsabilité à des facteurs externes.

  • L’expérience petit scarabée !

Une personne ayant été élevée dans un environnement où l’on valorise la responsabilité personnelle pourrait être plus encline à prendre la responsabilité de ses erreurs.

  • Le contexte

Dans des situations de stress élevé ou d’incertitude, les individus peuvent être plus enclins à chercher des excuses externes pour justifier leurs actions.

Étude de Duffy[2] et l’équité (2014) dans les cultures de travail collectivistes (par exemple, en Asie de l’Est), les employés étaient plus susceptibles de minimiser leurs erreurs pour maintenir l’harmonie dans l’équipe, tandis que dans les cultures individualistes (comme aux États-Unis), les employés avaient tendance à attribuer leurs erreurs à des facteurs externes pour protéger leur image professionnelle.

  • Les émotions

Comment nos émotions influencent-elles la manière dont nous percevons et attribuons la responsabilité dans des situations stressantes ?

On sait que la peur peut entrainer l’évitement, la rationalisation ; la colère peut accentuer notre tendance à attribuer l’erreur à autrui.

La culpabilité va nous faire accepter nos erreurs ; face à la honte , on va se défendre naturellement, et nous pouvons être amenés a rejeter notre responsabilité sur des évènements extérieurs.

IV-Conséquences en Cyber

Le biais défensif peut entraver l’amélioration des pratiques de cybersécurité de plusieurs façons positives et négatives.

IV-1-Sous-estimation du danger

  • Ignorer les signaux d’alerte :

En minimisant les risques ou en rationalisant les erreurs, les organisations ou les individus (futures victimes ou défenseurs)  risquent de manquer des signes avant-coureurs de potentielles failles ou attaques.

Le biais défensif peut provoquer une réaction inadéquate face à la situation. Nous pouvons être amener à blâmer des facteurs externes ou négliger des solutions de remédiation.

Cela peut retarder la résolution de la crise et entraîner des dommages plus graves, tels que la perte de données, exposant les entreprises à des risques de violation de la confidentialité et de conformité réglementaire, de la réputation, ou des coûts financiers, psychologiques.

Cette rationalisation découle de l’illusion de la maîtrise. Nous avons tendance à surestimer notre capacité à contrôler des évènements. Lorsqu’une entreprise est convaincue d’avoir mis en place des mesures de sécurité robustes , il devient plus facile d’ignorer les signaux faibles de menace. Les responsables de la sécurité pensent prévoir et neutraliser toutes les éventualités. Ils s’appuient sur la quantité de ressources investies ou sur des antécédents d’absence d’attaques pour justifier cette sur confiance. Or certains outils de sécurité peuvent avoir des angles morts.

  • Minimiser l’impact de l’incident

Le biais défensif peut aussi nous amener à minimiser les risques, à sous-estimer la gravité d’une situation.

Un exemple, malheureusement trop d’actualité : les employés d’une entreprise qui reçoivent régulièrement des formations sur la cybersécurité, notamment sur la reconnaissance des e-mails de phishing vont etre confiants dans leur capacité à identifier ces menaces, Ils pourront ignorer un e-mail suspect, persuadés qu’ils sont suffisamment vigilants et formés pour éviter de tomber dans le piège. Le fameux « ça ne m’arrivera pas à moi » (biais d’optimisme) Cette confiance excessive dans ses propres compétences crée un biais défensif, qui va les amener à négliger les vérifications élémentaires. Le biais a masqué la réalité du risque.

Et si je poursuis avec ce même exemple ; le salarié en question va vouloir justifier son erreur, et comment va-t-il peut être le faire ? en rejetant la faute sur l’anti-spam qui n’a pas fonctionné, ou encore le process de sécurité bien trop complexe (cela dit ce n’est pas tout à fait faux)

Ici en psychologie on parlera de normalisation à la déviance. Il s’agit de comportements déviants, initialement perçus comme inacceptables ou risqués qui deviennent progressivement tolérés, voire acceptés. Si on fait le parallèle avec la cyber, les alertes de sécurité sont ignorées ou minimisées. Par la répétition de ces comportements, la déviance se “normalise” , exemple, non-respect des politiques de mot de passe, ces règles sont contournées pour des raisons de commodité ; les mise à jour de sécurité, on le fera plus tard, c’est trop long, je ne comprends pas…et puis pourquoi le faire, puisque cela continue à fonctionner !

 Ce décalage entre la perception du risque et la réalité rend l’entreprise vulnérable à des attaques. Cette rationalisation retarde la mise en place de solutions correctives, augmentant ainsi l’exposition aux attaques. Ce refus de responsabilité peut empêcher les améliorations nécessaires et renforcer un sentiment de faux contrôle.

  • Manque d’apprentissage post-incident

En attribuant les échecs à des causes externes, il devient difficile de tirer des leçons de ces incidents, ce qui augmente la probabilité de futures attaques.

Les biais défensifs peuvent rendre ainsi les programmes de sensibilisation à la cybersécurité moins efficaces.

  • Renforcement de la complaisance

Le biais défensif peut créer un faux sentiment de sécurité, où les individus croient qu’ils sont mieux protégés qu’ils ne le sont réellement.

On peut citer le cas Crowdtrike, la sur confiance en l’outil, qui a fait oublier le potentiel risque, en plus de l’impact psychologique de la fatigue de la sécurité. Nous sommes bombardés d’alertes constantes, ce qui provoque une lassitude.

  • Mauvaise gestion de crise

Lorsque les responsables de l’organisation attaquée, doivent communiquer sur l’incident, ils peuvent mal communiquer justement à cause de ce biais, encore lui. En minimisant l’importance de certains risques, ils contribuent à une réponse inadaptée et peuvent également limiter les ressources allouées à la cybersécurité. On parle de communication « top down » le manque de transparence ou l’incapacité à admettre l’ampleur du problème par peur de répercussions peut retarder une réponse adéquate.

En résumé, dans un contexte professionnel, le biais défensif peut entraver la rétroaction constructive et freiner l’apprentissage organisationnel. Les employés peuvent passer à côté de signaux d’alerte ou refuser de reconnaître leurs erreurs, mettant ainsi en péril la sécurité et la performance globale de l’entreprise. Ce biais incite les individus ou les équipes de sécurité à sous-estimer ou à ignorer les menaces potentielles, augmentant leur vulnérabilité face aux cyberattaques.

Sur le plan interpersonnel, le biais défensif peut aussi générer des conflits et des malentendus, chaque partie étant susceptible de préserver une vision biaisée de la situation plutôt que d’assumer ses torts.

IV-2- biais défensif : un Bouclier Psychologique

Le biais défensif n’est pas qu’un obstacle en cyber. En cherchant à éviter la culpabilité ou le blâme, les défenseurs, qu’ils soient responsables de la sécurité ou chefs d’entreprises, sont poussés à prendre des mesures décisives pour contenir une attaque.

  • Il peut les pousser à réagir rapidement pour corriger une situation. En situation de stress, les employés peuvent effectivement surcompenser pour protéger leur réputation ou celle de leur entreprise, cependant on peut être en présence de sur-réaction ou d’investissements trop hâtifs.
  • Les défenseurs chercheront à protéger leur image et éviter que leur responsabilité soit mise en cause, mais aussi celle de l’entreprise ; ce qui peut les inciter à mettre en place rapidement des mesures pour contenir une attaque . Par exemple on peut constater une recrudescence de correctifs ou la mise en œuvre de procédures d’urgence. Plutôt que de minimiser l’incident, ce mécanisme de protection les pousse à renforcer la vigilance et à éviter de futurs échecs.
  • Sous la pression des régulations européennes, telles que le RGPD, où les sanctions sont strictes en cas de failles de sécurité ; la peur du blâme devient une force motrice et peut nous amener à renforcer notre vigilance et à anticiper les attaques, notamment par l’amélioration de nos systèmes défensifs, comme l’utilisation d’ outils, de scan de vulnérabilités , des audits, simulations d’attaques etc. Cette “surcompensation défensive” peut s’avérer bénéfique en amenant les entreprises à anticiper les attaques et à renforcer leur posture de défense. Les entreprises opérant sous la pression doivent souvent non seulement éviter les violations de données, mais aussi prouver qu’elles ont pris toutes les mesures nécessaires pour prévenir ces incidents. Cette obligation de conformité encourage des comportements proactifs.
  • Le biais défensif peut encourager certaines organisations à adopter des politiques plus strictes en matière de cybersécurité, des normes, des obligations auprès de leurs salariés comme la pratique d’une bonne hygiène de sécurité, l’utilisation de VPN, de gestionnaire de mot de passe , etc . Craignant que leurs employés soient à l’origine d’une faille, les responsables de la sécurité peuvent imposer des normes strictes.
  • Paradoxalement, le biais défensif peut parfois mener à une exagération des menaces perçues, cela peut conduire à investir massivement dans des programmes de défense robuste, à renforcer la cybersurveillance, ou à améliorer leurs partenariats. Cette collaboration peut en effet limiter sa responsabilité. Rappelez-vous, face aux incidents on cherchera à ne pas être perçues comme responsable.

Solution

Nous faisons donc des attributions défensives parce qu’il est inconfortable de penser que nous vivons dans un monde chaotique, alors comment se sentir bien dans ses baskets dans ces situations ?

Tout simplement en considérant le chaos (je vous conseille une lecture à ce sujet : L’art subtil de s’en foutre: Un guide à contre-courant pour être soi-même de Mark MANSON) Plutôt que de chercher quelqu’un ou quelque chose à blâmer, envisagez la possibilité qu’il s’agisse simplement d’un événement aléatoire.

Maintenant en cybersécurité, c’est plus complexe ; plusieurs stratégies peuvent être adoptées :

  • On évite les punitions, ça ne marche pas forcément à l’école, alors dans le monde de l’entreprise c’est pareil. Dans un cadre professionnel, il est essentiel de ne pas punir les erreurs. On doit au contraire encourager un sentiment sécuritaire. La peur des répercussions peut inhiber l’apprentissage et la transparence. Encourageons la rétroaction constructive ; la culture de responsabilité partagée. Plutot que de chercher à blâmer, les équipes doivent encourager une approche collective pour identifier et résoudre les vulnérabilités. La rétroaction doit être perçue comme bienveillante. NAMASTE !
  • Vive la transparence, osons ! osons parler, osons critiquer. Encourageons à poser des questions critiques sur les processus en place et à remettre en question les hypothèses. En cyber, osons fournir des rapports clairs sur les vulnérabilités. Vives les KPI, les normes claires , assurons-nous qu’elles sont communiquées et comprises par tous les employés.
  • L’après crise ; les feedbacks doivent être menés de manière constructives, sans se concentrer sur la culpabilité individuelle. Après un incident, les retours d’expérience doivent être orientés vers l’apprentissage plutôt que la culpabilité. On évite la stigmatisation. Après le piratage de 2017 (WannaCry), par exemple, Microsoft a intensifié ses efforts pour former ses employés à la cybersécurité.
  • Sensibilisons à l’importance de reconnaitre ses erreurs (ça va aussi dans la sphère privée) Les dirigeants vont devoir jouer un rôle actif en promouvant une culture de sécurité et en montrant l’exemple. Oui eux aussi sont des êtres humains. Voyons ces erreurs comme des opportunités d’apprentissage. (Cette fois je vous conseille ce livre : “Cybersecurity Culture: A Leadership Imperative” par Marissa A. P. Shapiro)
  • Sensibilisons …aux biais défensifs, la première étape pour surmonter ce biais est de reconnaître son existence

En résumé, le biais défensif est un mécanisme de protection psychologique qui peut affecter la prise de décisions et les interactions sociales. En étant conscient de ce biais et en mettant en place des stratégies pour le contrer, il est possible d’améliorer la communication, la sécurité et la performance tant au niveau personnel qu’organisationnel. Bien que le biais défensif puisse constituer un obstacle à la communication et à la performance, il est possible de le gérer grâce à des stratégies ciblées. En promouvant une culture d’apprentissage, de transparence et de responsabilité partagée, les organisations peuvent améliorer leur sécurité et leur efficacité.

La reconnaissance du biais défensif ne se limite pas à l’amélioration des interactions au sein de l’organisation, elle pave aussi la voie à des réflexions plus profondes sur la prise de décision dans des domaines juridiques, politiques et éducatifs.

La mise en œuvre de ces stratégies peut engendrer des effets bénéfiques sur l’ensemble de la vie organisationnelle, contribuant ainsi à la création d’un environnement plus sain et plus performant.

Nathalie Granier- Octobre 2024

[1] Tsang, J.-A. (2006). “The role of belief in a just world in the relationship between religion and victim blaming.” Journal of Social Issues

[2] Duffy, M. K., Scott, K. L., & Shaw, J. D. (2014). “The role of justice in the relationship between workplace incivility and employee outcomes.” Journal of Organizational Behavior

[1] https://psycnet.apa.org/record/1970-06696-001

[2] https://psycnet.apa.org/record/1982-03578-001

[3] Steele, C. M. (1988). The Psychology of Self-Affirmation: Sustaining the Integrity of the Self. Advances in Experimental Social Psychology