Loi de Goodhart
« Quand une mesure devient une cible, elle cesse d'être une bonne mesure » — le piège du taux de clic comme KPI de sécurité.
La loi de Goodhart est le principe, popularisé sous la forme « quand une mesure devient une cible, elle cesse d’être une bonne mesure ». Elle vient de l’économiste britannique Charles Goodhart dans son article de 1975, « Problems of Monetary Management: the U.K. Experience », où il observait que toute régularité statistique tendait à se briser dès lors que les décideurs l’utilisaient comme variable de pilotage. La formulation moderne synthétique vient de l’anthropologue Marilyn Strathern (1997), mais le mécanisme reste celui de Goodhart.
En cybersécurité, la loi explique pourquoi le taux de clic en simulation de phishing, pris seul, est un KPI traître. Dès qu’on note les équipes dessus, la métrique s’améliore sans que la sécurité réelle ne progresse :
- Les collaborateurs reconnaissent les templates de l’éditeur et arrêtent de cliquer sur ceux-là — sans être moins vulnérables au vrai tradecraft attaquant.
- L’IT marque les IPs de simulation comme de confiance, les mails passent les filtres et paraissent plus évidents.
- Les managers préviennent leurs équipes avant la fenêtre de campagne.
- Les simulations s’allègent au fil du temps pour garder la métrique au vert.
Aucune de ces actions ne réduit le risque réel de compromission ; toutes améliorent le chiffre affiché. La métrique a cessé de mesurer ce qu’elle prétendait mesurer dès qu’elle est devenue la cible.
L’approche résistante à Goodhart consiste à suivre un panier de signaux comportementaux qu’un attaquant devrait tous défaire, plus des signaux qui bougent en sens inverse quand quelqu’un truque l’un d’eux :
- Taux de signalement (les gens qui remontent la simulation, pas seulement ceux qui ne cliquent pas).
- Temps de signalement (plus rapide est mieux ; un seul signaleur véloce peut alerter le SOC avant que le reste de la boîte ne clique).
- Comportement en incident réel — ce qui se passe pendant une vraie tentative, pas seulement en simulation.
- Preuve comportementale sur les surfaces SaaS — partages publics, octrois OAuth, dismissals MFA — qu’on ne peut pas truquer par reconnaissance de template.
Pour un RSSI, l’heuristique pratique : si un chiffre part en slide COMEX, au moins trois chiffres devraient l’alimenter, et au moins un d’entre eux devrait résister au truquage des autres.
Termes liés
- KPI comportementalIndicateur ancré sur ce que les collaborateurs font réellement dans le temps, plutôt que sur les complétions e-learning ou le taux de clic d'un test de phishing.
- Preuve comportementaleArtefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.
- Ligne de base comportementaleLecture pré-intervention de ce que font réellement les collaborateurs dans le SaaS, l'identité et la messagerie — référence pour mesurer tout changement de comportement ultérieur.
- Écart savoir-comportementÉcart documenté entre ce que les collaborateurs savent en matière de cybersécurité et ce qu'ils font réellement au moment de la décision.
- NudgePetite intervention contextuelle qui oriente une personne vers le choix le plus sûr sans restreindre sa liberté — l'unité de travail de la cybersécurité comportementale.