Qu’est-ce que la théorie du cygne noir ?
Le cygne noir désigne un événement qui a une probabilité très infime de se produire, mais a un impact très élevé s’il se réalise. L’expression tire ces origines du poète romain Juvénal dans l’une de ses satires : « […] un oiseau rare dans le pays, rare comme un cygne noir ».
Cette expression a été ensuite reprise par l’auteur Nassim Taleb, dans son livre « Le Cygne noir : la puissance de l’imprévisible » pour exprimer une théorie selon laquelle on définit « cygne noir » comme un événement imprévisible, très peu probable, mais dont les conséquences sont désastreuses.
Comment définir un cygne noir ?
Un tel événement est caractérisé, selon Nassim Nicholas Taleb, par les trois caractéristiques suivantes :
- L’événement est tellement rare, qu’il n’est pas possible de quantifier correctement la probabilité qu’il se réalise.
- Son impact est très important.
- Avec du recul, nous pouvons, en étudiant l’histoire, trouver des signes avant-coureurs qui auraient pu nous mettre la puce à l’oreille.
Le cygne noir en management du risque…
Initialement destiné à être appliqué dans le secteur financier, un tel principe est déclinable pour la gestion du risque dans n’importe quel secteur d’activité et plus particulièrement en cybersécurité.
Aujourd’hui, lorsque les entreprises évaluent le risque de cybermenace, elles se concentrent uniquement sur les types d’attaques les plus courantes comme : le phishing, le déni de services, les rançongiciels…
En effet, les scénarios qui ont une chance extrêmement faible de se produire, sont souvent négligés, bien que leur impact sur l’entreprise puisse amener celle-ci à la faillite.
Comment se protéger du cygne noir en cybersécurité ?
Il existe des procédés permettant de s’y préparer :
- Bien que nous ne pouvons pas prédire avec certitude qu’un événement de type cygne noir va arriver, nous pouvons estimer la probabilité qu’il se produise et son impact potentiel en construisant un système d’information sécurisé, qui évolue en fonction du paysage des menaces.
- Les organisations doivent aller au-delà des procédés de défense conventionnelle, pour adopter une posture plus dynamique, par exemple, en augmentant sa capacité de détections des menaces via de la « Threat Intelligence » et en réduisant le temps de traitement de la menace, via des processus automatisés.
- En optant pour une cyber-résilience, c’est-à-dire en ayant une entreprise capable de fournir ses objectifs bien qu’elle ait subi une cyberattaque, nous pouvons de facto être moins impacté lorsqu’un tel événement se produira.