La Bible de la Sécurité?
Par Véronique Rabuteau le dimanche 6 juillet 2008, 10:03 - Communauté - Lien permanent
C'est dimanche, d'où mon titre, doublé de mon sentiment accru au fur et à mesure de ma traduction de Bruce Schneier "Sécurité et comportement humain".
A ce stade (après quelques heures passées dans la pensée de l'auteur!), mon cerveau de mammifère évolué bouillone dangereusement. Il est attelé à la triple tache de tenter de traduire un langage - parfois spécialisé - de comprendre la portée de ce qu'il traduit en même temps, et de découvrir toutes sortes de notions en parallèle!! Certains outils d'aujourd'hui sont plus difficiles à manier que d'autres!
Sur cette partie, il y aurait encore beaucoup de choses à dire. J'attendrais d'avoir fini cette traduction et pris un peu de temps à tête "reposée" avant d'y revenir.
La partie centrale du texte porte sur l'heuristique (en anglais heuristics); bien connue des mathématiciens (algorithme), cette notion a aussi d'autres sens plus large en sciences, et je pense que l'intérêt de l'analyse de Bruce Schneier est qu'il prend en compte plusieurs dimensions.
Le danger de ce type de démarche est bien connu: à trop vouloir étreindre...mais, d'une part, je ne crois pas que ce soit le cas, d'autre part - comme dirait l'auteur - le "gain potentiel "apporté par cette approche est bien plus intéressant pour nous!!
Hier soir, en regardant un épisode de la nouvelle saison de la série "Numbers" qu'elle ne fut pas ma surprise de constater que:
1. Certaines des méthodes d'investigation dans le film semblaient tout droit sorties de ce type d'analyses;
2. D'y entendre le terme "heuristique"!
Bon, il est vrai que ça va dans le sens de la "crédibilité" grand public de la série (un génie des mathématiques qui aide son frère à mener des enquêtes pour le FBI.....), tout se joue sur la fascination et la non compréhension des mathématiques, enrobées ici pour le spectateur à grands traits "scientifiques" du style "éclairs de génie"(en clair: on ne comprend rien, mais c'est génial et...ça marche); mais c'est vrai aussi qu'un producteur de films de fiction pourrait tout à fait tirer partie des analyses données par Schneier pour construire des scénarios redoutablement efficaces!! A bon entendeur...
Je retourne quant à moi à la lecture d'un roman policier découvert hier "Meurtres au potager du roy" de Michèle Barrière (Agnès Viénot Ed.2008). Passionnant! Ou il est question de jardins, de recettes de cuisine anciennes, d'épices et d'intrigues(!), et je vous laisse découvrir le texte de Bruce Scheier.
Risque et Heuristique (l'auteur donne de nombreuses références; je ne les indique pas ici; pour ceux que cela intéresse, je pourrai les joindre en annexe au dernier billet).
La première, et la plus commune, des grandes aires qui font que notre perception du risque diverge de sa réalité, c’est la perception du risque. La sécurité est un compromis et si nous estimons mal la gravité du risque, nous ferons le mauvais compromis. Nous pouvons le faire de deux façons bien sûr : nous pouvons sous-estimer certains risques, comme celui lié aux accidents de voiture. Ou bien, nous pouvons surestimer certains risques, comme celui d’un étranger entrant subrepticement la nuit chez nous pour kidnapper nos enfants.
Le fait que nous puissions mal estimer le risque tient à quelques systèmes heuristiques spécifiques du cerveau.
__La Théorie du Prospect/ Prospect Theory__
Voici une expérience qui illustre une paire particulière de systèmes heuristiques (ref). Les sujets sont divisés en deux groupes. L’un d’eux a le choix entre ces deux alternatives :
- Alternative A : un gain de 500$ - Alternative B : 50% de chance de gagner 1.000 $
L’autre groupe a le choix suivant :
- Alternative C : une perte assurée de 500$ - Alternative D : 50% de chance de perdre 1.000$
Ces deux compromis ne sont pas les mêmes, mais ils sont très proches. L’approche économique (traditional economics) permet de prédire que la différence ne fait pas de différence. Cette approche est basée sur ce que l’on nomme la « théorie de l’utilité », qui permet de prédire que les gens font des compromis en fonction d’un calcul qui leur permet de projeter la perspective de leurs gains ou de leurs pertes.
Les alternatives A et B ont la même résultat attendu : + 500$. Et, les alternatives B et C ont la même résultat escompté : -500$. La théorie de l’utilité prédit que les gens vont choisir les alternatives A et C et B et D avec le même taux de probabilité. A la base, certains sont prêts à tenter leur chance et d’autres à choisir la sécurité. Le fait que l’un est un gain et l’autre une perte, n’affecte pas les mathématiques, et donc, n’affecte pas les résultats.
Mais les résultats de l’expérience contrecarrent cela : quand un gain est en jeu la majorité (84%) choisi l’alternative A (sécurité du gain) de 500$ contre l’alternative B (choix à risque). Mais, quand les gens doivent faire face à la perspective d’une perte, la majorité (70%) choisi l’alternative D (perte risquée) contre la C (perte assurée). Les auteurs de l’étude expliquent cette différence en développant ce qu’ils appellent « théorie du prospect ».
Contrairement à la théorie de l’utilité, la théorie du prospect reconnaît un choix subjectif des valeurs dédiées aux gains et aux pertes.
En fait, les humains mettent en jeu dans ce type de compromis une paire de systèmes heuristiques. Le premier est « qu’un tient vaut mieux que deux tu l’auras » (un gain assuré est préférable à la possibilité hasardeuse d’un gain supérieur). Et, le second est qu’une perte assurée est pire que l’éventualité d’une perte supérieure. Bien sûr, tout cela n’est pas soumis à des règles infaillibles - si le choix consiste entre la possibilité de gagner à coût sûr 100$, à côté de 50% de chance de gagner 1.000.000 $, seul un fou prendra l’option 100$ - mais, toutes choses étant égales par ailleurs, ces systèmes affecteront la façon dont nous faisons des compromis.
Du point de vue de l’évolution la meilleure stratégie de survie – toutes choses étant égales par ailleurs bien sûr – est d’accepter de petits gains plutôt que de risquer de les perdre pour de plus grands, et risquer des pertes importantes plutôt que d’admettre de petites pertes. Les lions chassent du gibier jeune ou blessé car l’investissement que cela leur demande pour les tuer est moins grand. Des proies adultes et en bonne santé seraient certainement une meilleure nourriture, mais le risque est bien plus grand de devoir se passer de déjeuner. Et même un maigre repas permettra au lion d’attendre le lendemain. Survivre aujourd’hui est plus important que la possibilité d’avoir de la nourriture pour le lendemain. En terme d’évolution il est préférable de risquer une grosse perte plutôt que d’accepter une petite. Ces systèmes heuristiques sont tellement bien ancrés dans nos esprits que nous les utilisons parfois inconsciemment (…).
(d’autres exemples sont donnés dans le texte d'origine à l’appui de cette théorie)
(…) Que donne la théorie des prospects en terme de compromis sécuritaires ? Bien que je n’aie trouvé aucun travaux de recherche qui étudie explicitement si ces compromis s’effectuent via les mêmes schémas que les schémas économiques, il me semble raisonnable in fine qu’ils le font au moins en partie. Ceci étant posé, la théorie des prospects implique deux choses.
La première est que les gens seront plus enclins à choisir des compromis en matière de sécurité qui leur laissent conserver quelque chose à laquelle ils sont accoutumés - un mode de vie, un niveau de sécurité, une fonctionnalité dans un produit ou un service – plutôt que de risquer de les perdre (than they were willing to risk to get it in the first place). La seconde c’est que lorsqu’ils considèrent les choses d’un point de vue de gain de sécurité, ils auront plutôt tendance à accepter une augmentation du gain plutôt qu’une chance d’un gain plus important ; mais, en considérant les choses du point de vue d’une perte de sécurité, ils accepteront plus facilement le risque d’une perte plus importante que la certitude d’une petite.
__Autres facteurs de biais au Risque/ Other Biases that Affect Risk__
Nous avons d’autres systèmes heuristiques et d’autres biais aux risques. L’un des plus communs est appelé « biais optimiste » : nous avons tendance à croire que nous ferons mieux que les autres dans une même activité. C’est ce qui fait par exemple que nous pensons que les accidents de la route n’arrivent qu’aux autres, et que nous pouvons, dans le même temps, avoir un comportement à risque en conduisant tout en nous plaignant du comportement des autres au volant. C’est ce qui fait que nous pouvons ignorer les entreprises spécialisées dans la sécurité tout en lisant que d’autres sociétés ont fait l’objet d’attaques. C’est ce qui fait que nous pensons pouvoir réussir là où d’autres ont échoué. Fondamentalement, les animaux ont évolué en sous-estimant la perte. Car ceux qui en ont fait l’expérience ont tendance à ne pas survivre, et ceux qui restent ont une expérience inverse qui tend à leur prouver que la perte n’arrive pas et que donc, ils peuvent prendre des risques. En fait, certains ont même avancé que nous avons un « baromètre à risque » qui recherche le niveau optimal de risque eut égard aux facteurs extérieurs (ref).
Via cette analyse, si quelque chose est prévu pour réduire le risque - la législation sur les ceintures de sécurité par exemple - les gens compenseront en conduisant de manière plus risquée. Et ce n’est pas seulement parce que nous pensons que les mauvaises choses ne peuvent pas nous arriver que nous croyons – toutes choses étant égales par ailleurs - que les bonnes issues ont plus de chance de se produire que les mauvaises.
Ce biais a été régulièrement illustré par de nombreuses expériences, mais je pense que celle qui suit est particulièrement simple et élégante. On montre des cartes aux sujets, l’une après l’autre, chacune avec un côté qui porte le dessin d’un visage souriant et l’autre un visage grimaçant. Les cartes sont mélangées et le sujet doit simplement deviner qu’elle visage est représenté sur la carte suivante avant qu’elle ne soit retournée. Pour la moitié des sujets, le deck proposé était constitué de 70% de visages souriants contre 30% de visages grimaçants. Les gens qui ont fait ce test avec ce deck ont eu des réponses très pertinentes sur la nature du visage à deviner ; ils ont eu 68% de réponses correctes. L’autre moitié a fait le test avec un deck constitué de 30% de visages souriants et 70% de visages grimaçants. Ceux là ont été beaucoup moins performants : ils n’ont eu de bonnes réponses que dans seulement 58% des cas. La préférence des sujets pour les visages souriants a diminué leur attention.
Une expérience plus réaliste a été menée au Collège Cook : on a demandé à des étudiants de comparer sur une population de même sexe dans le même collège (au sens américain du teme, ndt) la chance que des évènements donnés avaient de leur arriver. On leur a fourni une liste de 18 événements positifs et 24 évènements négatifs (comme obtenir un travail après leurs examens, développer un problème d’alcoolisme, etc). Finalement ils ont estimés qu’ils avaient 15% de plus de chances que les autres d’expérimenter des choses positives et 20% de moins que les autres d’expérimenter des choses négatives.
La littérature sur le sujet nourri aussi des discussions sur ce que l’on appelle « biais de contrôle », c'est-à-dire le fait que les gens soient plus enclins à accepter des risques dont ils pensent qu’ils ont quelque contrôle sur eux. Pour moi ceci est simplement une expression du biais « optimiste », et ce n’est pas un autre biais.
Un autre biais est celui que l’on nomme « heuristique de l’affect » qui dit en substance qu’il y a une évaluation automatique affective – je l’ai également trouvé sous le nom de « la quotation émotionnelle d’une attitude » - qui est la base de beaucoup de jugements et de comportements.
Par exemple, une étude portant sur la réaction des gens à 37 différentes causes publiques a montré une très forte corrélation entre 1) l’importance de l’issue, 2) le fait que cela étaye des solutions politiques, 3) le montant des dons que les gens voulaient faire et, 4) la satisfaction morale liée à ces dons.
La réaction émotionnelle était un bon indicateur de la façon dont ces différentes décisions ont été prises. Pour en revenir à la sécurité, l’heuristique « affect » indique qu’un bon sentiment global envers une situation tend à une perception diminuée du risque et un mauvais sentiment global tend à augmenter la perception du risque (…)
(d’autres expériences sont données dans le texte d'origine)
Un autre biais est celui qui fait que nous sommes plus sensibles aux risques impliquant des gens. Cf le psychologue Daniel Gilbert, à nouveau (ref).
Nous sommes des mammifères sociaux dont les cerveaux sont extrêmement spécialisés pour penser aux autres. Comprendre ce que les autres s’apprêtent à faire- ce qu’ils savent et ce qu’ils veulent, ce qu’ils font et ce quelles actions ils envisagent - a été crucial pour la survie de notre espèce et nos cerveaux ont développé une obsession à ce sujet. Nous pensons aux autres et à leurs intentions ; nous parlons d’eux ; nous le recherchons et nous nous en souvenons.
Dans une expérience, 24 occurrences de risques susceptibles d’arriver dans des parcs naturels d’état étaient présentés : les risques générés par les autres , comme se faire voler son portefeuille et autres marques de vandalisme, et des risques naturels, comme heurter un daim avec sa voiture sur la route. Ensuite, on demandait aux personnes quels étaient les risques qui demandaient plus d’attention de la part des officiels en charge des parcs. Rationnellement le risque qui va causer un plus grand dégât devrait être celui qui demande le plus d’attention, mais les personnes interrogées ont répondu uniformément en signalant les risques causés par les autres plutôt que ceux occasionnés par les daims. Même lorsque les éléments présentés montraient que le risque d’une collision avec un daim est plus important. Ce n’est que lorsque que les chercheurs présentèrent les dommages causés par les daims comme beaucoup plus importants que les autres que les sujets interrogés décidèrent d’y accorder plus d’attention.
Les gens sont également beaucoup plus sensibles aux risques susceptibles de toucher leurs enfants. Cela fait également sens dans l’évolution. Il y a deux règles de base en matière de stratégie de sécurité adoptée par les formes de vie pour propager leurs gènes. La première, et la plu simple, est d’en produire beaucoup et d’espérer que quelques uns vont survivre. Les homards par exemple peuvent pondre de 10.000 à 20.000 œufs à la fois. Seulement 1 pour 20 vivront jusqu’à 4 semaines, mais c’est suffisant. L’autre option consiste à produire peu mais en y accordant une attention accrue. C’est ce que font les humains et c’est ce qui fait que notre espèce mette autant de temps à atteindre la maturité (les homards en revanche grandissent très vite). Mais cela signifie aussi que nous sommes particulièrement attentifs aux menaces potentielles contre nos enfants, les enfants en général, et même les petites créatures.
Il y a beaucoup de travaux de recherche sur les gens et les biais au risque. Le psychologue Paul Slovic semble avoir fait sa carrière de leur étude (ref). Mais la plupart des recherches restent anecdotiques et quelques fois les résultats semblent se contredire. J’aimerais beaucoup avoir connaissance d’études qui ne portent pas uniquement sur des systèmes heuristiques particuliers, mais plutôt sur comment les gens gérent les contradictions des systèmes heuristiques. Je serai aussi vivement intéressé par des travaux de recherche qui s’intéressent à la façon dont ces systèmes affectent nos comportements dans le contexte d’une forte réaction à la peur : quand ces systèmes peuvent prendre la pas sur l’amygdale* et quand ils ne le peuvent pas.
A suivre: Probabilité et Heuristique...
- voir le billet "Risque et Cerveau."
Commentaires
Et bien nous regardions toutes les deux la même série au même moment (enfin jusqu'à Lost...) et nous avons pensé la même chose.
Oui! Quel "Lost"? Je n'ai même pas vu qu'il y avait une diffusion (mais j'ai déjà tout vu sur internet
)
Tu as lou pé L O S T ?? c'est reparti pour tout l'été le smedi à 22h30 pour 2 épisdes !! Je trépigne déjà en attendant samedi prochain
... quel récit passionnant ! Il étaye bcq de choses concernant la gestion du ou des risques... Merci Véro, je vais suivre la suite avec grande attention...
Bonne fin de we
@ Bon, je ne te dirai surtout pas la suite Natahlie
@Merci Sylve, c'est vrai que toi tu es une spécialiste IRPP, un métier que devrait apporter beaucoup dans ce domaine. Bonne semaine (ns sommes lundi matin au moment où je te réponds).
En lisant ta présentation, j'ai pensé à la série NTIS où Aby, la scientifique est en danger. Pour se protéger, elle s'enferme durant 6 heures dans un ascenseur. Selon les statistiques, Elle a 6 chance sur 1000 d'être agressée en ce lieu. Elle a ainsi multiplié par 1000 c'est chance de survie.
Le rapprochement "système informatique" et psychologie est très intéressant. Cela me fait penser à la psychologie cognitive qui est spécialisée dans l'étude du raisonnement humain. Je retrouve par exemple la déduction qui est un processus qui nous permet de faire des choix. Les syllogismes sont identiques à nos méthodes de raisonnement. Pourtant, les résultats peuvent être différent. Cela est dû au fait que nous donnons un sens à nos prémisses contrairement à la logique formelle.
Le raisonnement humain s'appuie sur la quantité et la qualité de l'information que possède un individu. Les expériences présentées ont souvent des résultats différents. Pour que la mesure soit juste, il faudrait être sûr que tout le monde possède les mêmes informations. Ce qui est très difficile à trouver pour un échantillon qui doit être au moins de 100 sujets pour que l'étude soit fiable.
En tout cas merci pour ce travail de traduction, tu as beaucoup de courage. Et j'apprends des choses intéressantes.