So, security is two different things: it's a feeling, and it's a reality. And they're different. You could feel secure even if you're not. And you can be secure even if you don't feel it. Really, we have two separate concepts mapped onto the same word. And what I want to do in this talk is to split them apart -- figuring out when they diverge and how they converge. And language is actually a problem here. There aren't a lot of good words for the concepts we're going to talk about. So if you look at security from economic terms, it's a trade-off.
La sécurité, c'est donc deux choses différentes: c'est une impression et c'est une réalité. Et c'est différent. Vous pouvez vous sentir en sécurité même si vous ne l'êtes pas. Et vous pouvez être en sécurité même si vous n'en avez pas l'impression. Nous avons vraiment deux concepts distincts rattachés au même terme. Et ce que je veux faire pendant cette conférence, c'est les séparer -- comprendre quand ils diverent et comment ils convergent. Et le langage est en fait un problème ici Il n'y a pas beaucoup de mots adéquats pour les concepts dont nous allons parler ici. Alors si vous regardez la sécurité en termes économiques, c'est un échannge.
Every time you get some security, you're always trading off something. Whether this is a personal decision -- whether you're going to install a burglar alarm in your home -- or a national decision, where you're going to invade a foreign country -- you're going to trade off something: money or time, convenience, capabilities, maybe fundamental liberties. And the question to ask when you look at a security anything is not whether this makes us safer, but whether it's worth the trade-off. You've heard in the past several years, the world is safer because Saddam Hussein is not in power. That might be true, but it's not terribly relevant. The question is: Was it worth it? And you can make your own decision, and then you'll decide whether the invasion was worth it. That's how you think about security: in terms of the trade-off.
Chaque fois que vous obtenez une certaine sécurité, vous donnez toujours quelque chose en échange. Que ce soit une décision personnelle -- que vous installiez une alarme chez vous -- ou une décision nationale -- où vous allez envahir un pays étranger -- vous allez donner quelque chose en échange, que ce soit de l'argent ou du temps, des commodités, des compétences, peut-être des libertés fondamentales. Et la question à poser quand on considère la sécurité de quelque chose n'est pas de savoir si ça nous protège mieux, mais si oui ou non l'échange vaut la peine. Ces dernières années, vous avez entendu dire que le monde est plus sûr parce que Saddam Hussein n'est pas au pouvoir. il se pourrait que ce soit vrai, mais ce n'est pas terriblement pertinent. La question est, est-ce que ça valait le coup? Et vous pouvez décider par vous-même, et ensuite vous déciderez si l'invasion en valait la peine. C'est de cette façon qu'on réfléchit à la sécurité -- en termes d'échange.
Now, there's often no right or wrong here. Some of us have a burglar alarm system at home and some of us don't. And it'll depend on where we live, whether we live alone or have a family, how much cool stuff we have, how much we're willing to accept the risk of theft. In politics also, there are different opinions. A lot of times, these trade-offs are about more than just security, and I think that's really important. Now, people have a natural intuition about these trade-offs. We make them every day. Last night in my hotel room, when I decided to double-lock the door, or you in your car when you drove here; when we go eat lunch and decide the food's not poison and we'll eat it.
Maintenant c'est souvent qu'il n'i a ni raison ni tort ici. Certains d'entre nous ont des système d'alarme chez eux, et d'autres non. Et ça dépend de là où nous habitons, si nous habitons seul ou en famille, de la quantité de trucs chouettes que nous avons, du degré de risque de vol que nous acceptons. En politique aussi, il y a des opinions différentes. Souvent, ces échanges concernent plus que la sécurité, et je pense que c'est vraiment important. Et les gens ont une intuition naturelle envers ces échanges. Nous en faisons tous les jours -- la nuit dernière, dans ma chambre d'hôtel, quand j'ai décidé de fermer la porte à double tour, ou vous dans votre voiture en venant ici, quand nous allons déjeuner et que nous estimons que la nourriture n'est pas du poison et que nous la mangeons.
We make these trade-offs again and again, multiple times a day. We often won't even notice them. They're just part of being alive; we all do it. Every species does it. Imagine a rabbit in a field, eating grass. And the rabbit sees a fox. That rabbit will make a security trade-off: "Should I stay, or should I flee?" And if you think about it, the rabbits that are good at making that trade-off will tend to live and reproduce, and the rabbits that are bad at it will get eaten or starve. So you'd think that us, as a successful species on the planet -- you, me, everybody -- would be really good at making these trade-offs. Yet it seems, again and again, that we're hopelessly bad at it.
Nous faisons sans cesse ces échanges plusieurs fois par jour. Souvent nous ne le remarquons même pas. lls font partie de la vie; nous le faisons tous Toutes les espèces le font. Imaginez un lapin dans un champ, qui mange de l'herbe, et le lapin va voir un renard. Ce lapin fera un échange de sécurité: "Je reste ou je m'enfuis?" Et si vous y réfléchissez, les lapins qui sont bons avec les échanges, auront tendance à vivre et à se reproduire, et les lapins qui sont mauvais seront mangés ou mourront de faim. Alors vous pourriez penser que nous, en tant qu'espèce prospère sur la planète -- vous, moi, tout le monde -- nous sommes vraiment bons en ce qui concerne ces genres d'échanges. Pourtant il semblerait, encore et encore, que nous soyons désespérément mauvais à cela.
And I think that's a fundamentally interesting question. I'll give you the short answer. The answer is, we respond to the feeling of security and not the reality. Now, most of the time, that works. Most of the time, feeling and reality are the same. Certainly that's true for most of human prehistory. We've developed this ability because it makes evolutionary sense. One way to think of it is that we're highly optimized for risk decisions that are endemic to living in small family groups in the East African Highlands in 100,000 BC. 2010 New York, not so much. Now, there are several biases in risk perception. A lot of good experiments in this. And you can see certain biases that come up again and again. I'll give you four.
Et je pense que c'est une question fondamentalement intéressante. Je vous donnerai la réponse courte. La réponse est, nous réagissons à l'impression de sécurité et pas à la réalité. Et la plupart du temps, ça marche. La plupart du temps, l'impression et la réalité sont la même chose. C'est certainement vrai pendant la plus grande partie de la préhistoire. Nous avons développé cette capacité parce qu'elle a du sens du point de vue de l'évolution. Une manière de considérer ça est que nous sommes grandement optimisés pour les prises de risques qui sont endémiques à la vie en petits groupes familaux sur les plateaux de l'Afrique de l'Est en 100 000 avant J.-C. -- en 2010 à New York, pas tellement. Maintenant, il y a plusieurs tendances dans la prise de risque. Beaucoup de bonnes expériences là dedans. Et vous pouvez voir que certaines tendances reviennent sans cesse. Alors je vais vous en donner quatre.
We tend to exaggerate spectacular and rare risks and downplay common risks -- so, flying versus driving. The unknown is perceived to be riskier than the familiar. One example would be: people fear kidnapping by strangers, when the data supports that kidnapping by relatives is much more common. This is for children. Third, personified risks are perceived to be greater than anonymous risks. So, Bin Laden is scarier because he has a name. And the fourth is: people underestimate risks in situations they do control and overestimate them in situations they don't control. So once you take up skydiving or smoking, you downplay the risks. If a risk is thrust upon you -- terrorism is a good example -- you'll overplay it, because you don't feel like it's in your control.
Nous avons tendance à exagérer les risques rares et spectaculaires et à minimiser les risques courants -- donc prendre l'avion par rapport à conduire. L'inconnu est perçu comme étant plus risqué que le familier. On pourrait citer comme exemple les gens qui ont peur d'être kidnappé par des inconnus, alors que les données montrent que les enlèvements par des parents sont bien plus courants. Il s'agit des enfants. Troisièmement, les risques personnifiés sont perçus comme étant plus grands que les risques anonymes -- donc Ben Laden fait plus peur parce qu'il a un nom. Et le quatrième est que les gens sous-estiment les risques dans les situations qu'ils contrôlent et les surestiment dans les situations qu'ils ne contrôlent pas. Donc une fois que vous vous mettez à faire du parachute ou à fumer, vous minimisez les risques. Si un risque vous tombe dessus -- le terrorisme était un bon exemple -- vous le surévaluerez, parce que vous n'avez pas l'impression de le contrôler.
There are a bunch of other of these cognitive biases, that affect our risk decisions. There's the availability heuristic, which basically means we estimate the probability of something by how easy it is to bring instances of it to mind. So you can imagine how that works. If you hear a lot about tiger attacks, there must be a lot of tigers around. You don't hear about lion attacks, there aren't a lot of lions around. This works, until you invent newspapers, because what newspapers do is repeat again and again rare risks. I tell people: if it's in the news, don't worry about it, because by definition, news is something that almost never happens.
il y a un tas d'autre tendances, ces tendances cognitives, qui affectent nos prises de risque. il y a l'heuristique de disponibilité, ce qui signifie en gros que nous estimons la probabilité de quelque chose en fonction de la facilité d'en concevoir des exemples. Vous pouvez donc imaginer comment ça fonctionne. Si vus entendez beaucoup parler d'attaques de tigres, il doit y avoir beaucoup de tigres dans le coin. Vous n'etendez pas beaucoup parler d'attaques de lions, il n'y a pas beaucoup de lions dans le coin. Ça fonctionne jusqu'à ce qu'on invente les journaux Parce que ce que font les journaux est qu'ils répètent encore et encore des risques rares. je dis aux gens, si c'est dans les infos, ne vous en inquiétez pas. Parce que par définition, les informations sont des choses qui n'arrivent presque jamais.
(Laughter)
(Rires)
When something is so common, it's no longer news. Car crashes, domestic violence -- those are the risks you worry about. We're also a species of storytellers. We respond to stories more than data. And there's some basic innumeracy going on. I mean, the joke "One, two, three, many" is kind of right. We're really good at small numbers. One mango, two mangoes, three mangoes, 10,000 mangoes, 100,000 mangoes -- it's still more mangoes you can eat before they rot. So one half, one quarter, one fifth -- we're good at that. One in a million, one in a billion -- they're both almost never.
Quand quelque chose est si courant, ce n'est plus de l'information -- les accidents de voiture, la violence domestique -- voilà les risques dont on se préoccupe. Nous sommes aussi une espèce de conteurs. Nous réagissons aux histoires plus qu'aux données. Et ce qu'il se passe, c'est une ignorance numérique élémentaire. Je veux dire, la plaisanterie "Un, Deux, Trois, Beaucoup" est assez vraie. Nous sommes vraiment bons avec les petits chiffres. Une mangue, deux mangues, trois mangues, 10 000 mangues, 100 000 mangues -- c'est toujours plus de mangues que vous ne pouvez manger avant qu'elles pourrissent. Donc un demi, un quart, un cinquième -- là nous sommes bons. Un sur un million, un sur un milliard -- dans les deux cas, c'est presque jamais.
So we have trouble with the risks that aren't very common. And what these cognitive biases do is they act as filters between us and reality. And the result is that feeling and reality get out of whack, they get different. Now, you either have a feeling -- you feel more secure than you are, there's a false sense of security. Or the other way, and that's a false sense of insecurity.
Donc nous avons du mal avec les risques qui ne sont pas très courants. Et ce que ces tendances cognitives font, est qu'elles agissent comme des filtres entre la réalité et nous. Et le résultat est que l'impression et la réalité ne collent pas, ils diffèrent. Et vous avez soit une impression -- vous vous sentez plus en sécurité que vous ne l'êtes. C'est une fausse impression de sécurité. Ou le contraire, et c'est une fausse impression d'insécurité.
I write a lot about "security theater," which are products that make people feel secure, but don't actually do anything. There's no real word for stuff that makes us secure, but doesn't make us feel secure. Maybe it's what the CIA is supposed to do for us. So back to economics. If economics, if the market, drives security, and if people make trade-offs based on the feeling of security, then the smart thing for companies to do for the economic incentives is to make people feel secure. And there are two ways to do this.
J'écris beaucoup sur "le théâtre de la sécurité", et ce sont les produits qui rassurent les gens, mais qui en fait ne font rien. Il n'y a pas de monde réel pour les choses qui nous mettent en sécurité, mais ne nous en donnent pas l'impression. C'est peut-être ce que la CIA est sensée faire pour nous. Revenons donc à l'économie. Si l'économie, si le marché conduit la sécurité, et si les gens font des échanges d'après l'impression de sécurité, alors la chose intelligente à faire pour les entreprises pour que les motivations économiques permettent aux gens de se sentir plus en sécurité. Et il y a deux manières de le faire.
One, you can make people actually secure and hope they notice. Or two, you can make people just feel secure and hope they don't notice. Right? So what makes people notice? Well, a couple of things: understanding of the security, of the risks, the threats, the countermeasures, how they work. But if you know stuff, you're more likely to have your feelings match reality. Enough real-world examples helps. We all know the crime rate in our neighborhood, because we live there, and we get a feeling about it that basically matches reality. Security theater is exposed when it's obvious that it's not working properly.
Une, vous pouvez mettre vraiment les gens plus en sécurité et espérer qu'ils le remarquent. Ou deux, vous pouvez donner aux gens seulement une impression de sécurité et espérer qu'ils ne s'en aperçoivent pas. Alors qu'est-ce qui fait que les gens le remarquent? Et bien deux ou trois choses : comprendre la sécurité, les risques, les menaces des contre-mesures, comment elles fonctionnent. Mais si vous savez des trucs, vos impressions sont plus susceptibles de coller à la réalité. Avoir assez d'exemples dans le monde réel vous aide. Et nous connaissons tous le taux de criminalité dans notre quartier, parce que nous y vivons, et que nous en avons une impression qui en gros colle à la réalité. Le théâtre de sécurité est exposé quand il est évident qu'il ne fonctionne pas correctement.
OK. So what makes people not notice? Well, a poor understanding. If you don't understand the risks, you don't understand the costs, you're likely to get the trade-off wrong, and your feeling doesn't match reality. Not enough examples. There's an inherent problem with low-probability events. If, for example, terrorism almost never happens, it's really hard to judge the efficacy of counter-terrorist measures. This is why you keep sacrificing virgins, and why your unicorn defenses are working just great. There aren't enough examples of failures. Also, feelings that cloud the issues -- the cognitive biases I talked about earlier: fears, folk beliefs -- basically, an inadequate model of reality.
Bon, alors qu'est-ce qui fait que les gens ne remarquent pas? Et bien une mauvaise compréhension. Si vous ne comprenez pas les risques, vous ne comprenez pas les coûts, vous êtes susceptibles de ne pas faire les bons échanges, et votre impression ne colle pas à la réalité. Pas assez d'exemples C'est un problème inhérent aux évènements de faible probabilité. Si, par exemple, le terrorisme ne se produit presque jamais, il est vraiment difficile de juger l'efficacité de nos mesures anti-terrorisme. C'est pourquoi on continue à sacrifier des vierges, et pourquoi vos défenses de licorne fonctionnent parfaitement. Il n'y a pas assez d'exemples d'échecs. Aussi, les impressions qui rendent les problèmes confus -- les tendances cognitives dont j'ai parlé plus tôt, les peurs, les croyances populaires, en gros un modèle inadéquat de réalité.
So let me complicate things. I have feeling and reality. I want to add a third element. I want to add "model." Feeling and model are in our head, reality is the outside world; it doesn't change, it's real. Feeling is based on our intuition, model is based on reason. That's basically the difference. In a primitive and simple world, there's really no reason for a model, because feeling is close to reality. You don't need a model. But in a modern and complex world, you need models to understand a lot of the risks we face.
Alors permettez-moi de compliquer les choses. J'ai l'impression et la réalité. Je veux ajouter un troisième élément. Je veux ajouter un modèle. L'impression et le modèle dans nos têtes, la réalité c'est le monde extérieur. Il ne change pas: il est réel. Donc l'impression se fonde sur notre intuition. Le modèle se fonde sur la raison. C'est en gros la différence. Dans un monde primitif et simple, il n'y a pas de raison pour un modèle. Parce que l'impression est proche de la réalité. On n'a pas besoin d'un modèle. Mais dans un monde moderne et complexe, on a besoin de modèles pour comprendre bon nombre des risques auxquels nous sommes confrontés.
There's no feeling about germs. You need a model to understand them. This model is an intelligent representation of reality. It's, of course, limited by science, by technology. We couldn't have a germ theory of disease before we invented the microscope to see them. It's limited by our cognitive biases. But it has the ability to override our feelings. Where do we get these models? We get them from others. We get them from religion, from culture, teachers, elders.
Il n'y a pas d'impression vis à vis des microbes. Il vous faut un modèle pour les comprendre. Donc ce modèle est une représentation intelligente de la réalité. Il est bien sûr limité par la science, par la technologie. Nous ne pouvions pas écrire une théorie microbienne de la maladie avant d'avoir inventé le microscope pour les voir. Il est limité par nos tendances cognitives. Mais il a la capacité de l'emporter sur nos impressions. Où trouvons-nous ces modèles? Nous les trouvons chez les autres. Nous les trouvons dans la religion, la culture, chez les enseignants, chez nos aînés.
A couple years ago, I was in South Africa on safari. The tracker I was with grew up in Kruger National Park. He had some very complex models of how to survive. And it depended on if you were attacked by a lion, leopard, rhino, or elephant -- and when you had to run away, when you couldn't run away, when you had to climb a tree, when you could never climb a tree. I would have died in a day. But he was born there, and he understood how to survive. I was born in New York City. I could have taken him to New York, and he would have died in a day.
Il y a deux ans, j'étais en Afrique du Sud en safari. Le pisteur avec qui j'étais a grandi dans le parc national Kruger. Il avait des modèles très complexes de façon de survivre. Et ça dépendait de si vous étiez attaqué par un lion, ou un léopard, ou un rhinocéros, ou un éléphant -- et quand vous deviez fuir, et quand vous deviez grimper à un arbre -- quand vous pouviez ne jamais grimper à un arbre. Je serais mort dans la journée, mais il était né là, et il comprenait comment survivre. Je suis né à New York City. J'aurais pu l'emmener à New York, et il serait mort dans la journée.
(Laughter)
(Rires)
Because we had different models based on our different experiences. Models can come from the media, from our elected officials ... Think of models of terrorism, child kidnapping, airline safety, car safety. Models can come from industry. The two I'm following are surveillance cameras, ID cards, quite a lot of our computer security models come from there.
Parce que nous avions différents modèles fondés sur nos différentes expériences. Les modèles peuvent venir des medias, de nos élus. Pensez aux modèles de terrorisme, d'enlèvement d'enfant, de sécurité aérienne, de sécurité automobile. Les modèles peuvent venir de l'industrie. Les deux que je suis sont les caméras de surveillance, les cartes d'identités, un bon nombre de nos modèles de sécurité informatique viennent de là.
A lot of models come from science. Health models are a great example. Think of cancer, bird flu, swine flu, SARS. All of our feelings of security about those diseases come from models given to us, really, by science filtered through the media. So models can change. Models are not static. As we become more comfortable in our environments, our model can move closer to our feelings.
Beaucoup de modèles viennent de la science. Les modèles de santé sont un excellent exemple. Pensez au cancer, à la grippe aviaire, la grippe porcine, le SRAS. Toutes nos impressions de sécurité vis à vis de ces maladies viennent de modèles qu'on nous donne, vraiment, par la science filtrée par les médias. Donc les modèles changent. Les modèles ne sont pas statiques. Alors que nous sommes plus à l'aise avec nos environnements, notre modèle peut se rapprocher de nos impressions.
So an example might be, if you go back 100 years ago, when electricity was first becoming common, there were a lot of fears about it. There were people who were afraid to push doorbells, because there was electricity in there, and that was dangerous. For us, we're very facile around electricity. We change light bulbs without even thinking about it. Our model of security around electricity is something we were born into. It hasn't changed as we were growing up. And we're good at it. Or think of the risks on the Internet across generations -- how your parents approach Internet security, versus how you do, versus how our kids will.
Et on pourrait prendre pour exemple si on remonte à 100 en arrière quand l'électricité est devenue courante pour la première fois, elle a généré beaucoup de peurs. Je veux dire qu'il y avait des gens qui avaient peur de sonner aux portes ; parce qu'il y avait de l'électricité dans les sonnettes, et que c'était dangereux. Pour nous, nous sommes à l'aise avec l'électricité. Nous changeons les ampoules sans même y réfléchir. Notre modèle de sécurité vis à vis de l'électricité est une chose dans laquelle nous sommes nés. Il n'a pas changé alors que nous grandissions. Et nous sommes bons là-dedans. Ou sinon, pensez aux risques sur internet entre générations -- comment vos parents abordent la sécurité d'internet, par rapport à ce que vous faites, par rapport à comment vos enfants le feront.
Models eventually fade into the background. "Intuitive" is just another word for familiar. So as your model is close to reality and it converges with feelings, you often don't even know it's there. A nice example of this came from last year and swine flu. When swine flu first appeared, the initial news caused a lot of overreaction. Now, it had a name, which made it scarier than the regular flu, even though it was more deadly. And people thought doctors should be able to deal with it. So there was that feeling of lack of control. And those two things made the risk more than it was.
Les modèles finissent par se fondre dans le décor. Intuitif est synonyme de familier. Donc quand notre modèle est proche de la réalité, et qu'il converge avec les impressions, vous ignorez souvent qu'il est là. Et un bon exemple nous est venu l'an dernier avec la grippe porcine. Quand la grippe porcine est apparue pour la première fois, l'information initiale a provoqué beaucoup de réactions excessives. D'abord la maladie avait un nom, ce qui la rendait plus effrayante que la grippe traditionnelle, même si elle était plus mortelle. Et les gens pensaient que les médecins devraient pouvoir s'en occuper. Il y a donc eu un sentiment de manque de contrôle. Et ces deux choses
As the novelty wore off and the months went by, there was some amount of tolerance; people got used to it. There was no new data, but there was less fear. By autumn, people thought the doctors should have solved this already. And there's kind of a bifurcation: people had to choose between fear and acceptance -- actually, fear and indifference -- and they kind of chose suspicion. And when the vaccine appeared last winter, there were a lot of people -- a surprising number -- who refused to get it. And it's a nice example of how people's feelings of security change, how their model changes, sort of wildly, with no new information, with no new input. This kind of thing happens a lot.
ont fait que le risque semblait plus important qu'il n'était. Quand l'effet de nouveauté s'est estompé et que les mois ont passé, il y a eu une une certaine tolérance, les gens s'y sont habitués. Il n'y a pas eu de nouvelles données, mais il y a eu moins de peur. En automne, les gens pensaient que les médecins auraient déjà dû résoudre le problème. Et il y a eu un genre de tournant -- les gens devaient choisir entre la peur et l'acceptation -- en fait entre la peur et l'indifférence -- ils ont choisi la méfiance. Et quand le vaccin est apparu l'hiver dernier, il y a eu beaucoup de gens -- un nombre surprenant -- qui ont refusé de se faire vacciner -- et c'est un bon exemple de la façon dont les impressions de sécurité des gens changent, comment leurs modèles changent, de façon irraisonnée sans nouvelles informations, sans nouvel apport. Ce genre de chose se produit souvent.
I'm going to give one more complication. We have feeling, model, reality. I have a very relativistic view of security. I think it depends on the observer. And most security decisions have a variety of people involved. And stakeholders with specific trade-offs will try to influence the decision. And I call that their agenda. And you see agenda -- this is marketing, this is politics -- trying to convince you to have one model versus another, trying to convince you to ignore a model and trust your feelings, marginalizing people with models you don't like. This is not uncommon. An example, a great example, is the risk of smoking. In the history of the past 50 years, the smoking risk shows how a model changes, and it also shows how an industry fights against a model it doesn't like.
Et je vais apporter une complication supplémentaire. Nous avons l'impression, le modèle, la réalité. J'ai une vision très réaliste de la sécurité. Je pense qu'elle dépend de l'observateur. Et la plupart des décisions de sécurité ont des gens impliqués très différents . Et les actionnaires qui ont des échanges spécifiques essaieront d'influencer la décision. Et j'appelle ça leur programme. Et vous voyez un programme -- c'est du marketing, c'est de la politique -- essayez de vous convaincre que vous avez un modèle par rapport à un autre, essayez de vous convaincre d'ignorer un modèle et de vous fier à vos impressions, marginaliser les gens qui ont des modèles que vous n'aimez pas. Ce n'est pas rare, Un exemple, un très bon exemple, c'est le risque du tabac. Dans l'histoire de ces 50 dernières années, le risque du tabac montre comment un modèle change, et il montre aussi comment une industrie combat un modèle qu'elle n'aime aps.
Compare that to the secondhand smoke debate -- probably about 20 years behind. Think about seat belts. When I was a kid, no one wore a seat belt. Nowadays, no kid will let you drive if you're not wearing a seat belt. Compare that to the airbag debate, probably about 30 years behind. All examples of models changing. What we learn is that changing models is hard. Models are hard to dislodge. If they equal your feelings, you don't even know you have a model. And there's another cognitive bias I'll call confirmation bias, where we tend to accept data that confirms our beliefs and reject data that contradicts our beliefs. So evidence against our model, we're likely to ignore, even if it's compelling. It has to get very compelling before we'll pay attention.
Comparez ça au débat sur le tabagisme passif -- probablement avec 20 ans de retard. Pensez aux ceintures de sécurité. Quand j'étais enfant, personne ne mettait de ceinture de sécurité. Aujourd'hui, pas un enfant ne vous laissera conduire si vous n'attachez pas votre ceinture de sécurité. Comparez ça au débat sur l'airbag -- probablement avec 30 ans de retard. Ce sont tous des exemples de modèles qui changent. Ce que nous apprenons c'est qu'il est difficile de changer les modèles. Les modèles sont difficiles à déloger. S'ils correspondent à vos impressions, vous ne savez même pas que vous avez un modèle. Et il y a une autre tendance cognitive que j'appellerais une tendance de confirmation, quand nous tendons à accepter des données qui confirment ce que nous croyons et à rejeter des données qui contredisent ce que nous croyons. Donc nous sommes susceptibles d'ignorer les preuves qui contredisent notre modèle, même si elles sont flagrantes. Elle doivent être vraiment flagrantes avant que nous y prêtions attention.
New models that extend long periods of time are hard. Global warming is a great example. We're terrible at models that span 80 years. We can do "to the next harvest." We can often do "until our kids grow up." But "80 years," we're just not good at. So it's a very hard model to accept. We can have both models in our head simultaneously -- that kind of problem where we're holding both beliefs together, the cognitive dissonance. Eventually, the new model will replace the old model.
Les nouveaux modèles qui durent sur de longues périodes sont difficiles. Le réchauffement planétaire est un excellent exemple. Nous sommes très mauvais avec les modèles qui couvrent 80 ans. Nous pouvons aller jusqu'à la prochaine récolte. Nous pouvons souvent aller jusqu'à ce que nos enfants grandissent. Mais 80 ans, nous ne sommes pas bons avec ça. C'est donc un modèle très difficile à accepter. Nous pouvons avoir les deux modèles simultanément en tête, ou ce genre de problème où nous prenons ensemble ces deux choses en quoi nous croyons, ou la dissonance cognitive. Au final,
Strong feelings can create a model.
le nouveau modèle remplacera l'ancien.
September 11 created a security model in a lot of people's heads. Also, personal experiences with crime can do it, personal health scare, a health scare in the news. You'll see these called "flashbulb events" by psychiatrists. They can create a model instantaneously, because they're very emotive. So in the technological world, we don't have experience to judge models. And we rely on others. We rely on proxies. And this works, as long as it's the correct others.
Des impressions fortes peuvent créer un modèle. Le 11 septembre a créé un modèle de sécurité dans la tête de beaucoup de gens. Aussi, les expériences personnelles avec le crime peuvent le faire, les peurs pour la santé personnelle, une alerte de santé dans les informations. Vous verrez que les psychiatres les appellent des évènements flash. ils peuvent créer un modèle instantannément, parce qu'ils génèrent beaucoup d'émotion. Donc dans le monde technologique, nous n'avons pas l'expérience pour juger les modèles. Et nous comptons sur les autres. Nous comptons sur des intermédiaires. Je veux dire, ça marche tant qu'il s'agit de corriger les autres.
We rely on government agencies to tell us what pharmaceuticals are safe. I flew here yesterday. I didn't check the airplane. I relied on some other group to determine whether my plane was safe to fly. We're here, none of us fear the roof is going to collapse on us, not because we checked, but because we're pretty sure the building codes here are good. It's a model we just accept pretty much by faith. And that's OK.
Nous comptons sur les agences gouvernementales pour nous dire quels produits pharmaceutiques sont sûrs. Je suis venu en avion ici hier, je n'ai pas vérifié l'avion. j'ai compté sur un autre groupe pour déterminer si mon avion était sûr pour voler. Nous sommes ici, aucun de nous n'a peur que le toit s'effondre sur nous, pas parce que nous avons vérifié, mais parce que nous sommes sûrs que les codes de constructions sont bons ici. C'est un modèle que nous nous contentons d'accepter plutôt par foi. Et c'est bien.
Now, what we want is people to get familiar enough with better models, have it reflected in their feelings, to allow them to make security trade-offs. When these go out of whack, you have two options. One, you can fix people's feelings, directly appeal to feelings. It's manipulation, but it can work. The second, more honest way is to actually fix the model. Change happens slowly. The smoking debate took 40 years -- and that was an easy one. Some of this stuff is hard. Really, though, information seems like our best hope.
Maintenant, ce que nous voulons c'est que les gens se familiarisent suffisemment avec de meilleurs modèles -- qui reflètent leurs impressions -- pour leur permettre de faire des échanges de sécurité. Et quand ils ne collent pas, vous avez deux options. La première, vous pouvez changer les impressions des gens, un appel direct aux impressions. C'est de la manipulation, mais ça peut marcher. La deuxième, plus honnête, est en fait de modifier le modèle. Le changement se produit lentement. Le débat sur le tabac a pris 40 ans, et c'était facile. Certains de ces trucs sont difficiles. Je veux dire que les informations semblent être notre meilleur espoir.
And I lied. Remember I said feeling, model, reality; reality doesn't change? It actually does. We live in a technological world; reality changes all the time. So we might have, for the first time in our species: feeling chases model, model chases reality, reality's moving -- they might never catch up. We don't know. But in the long term, both feeling and reality are important.
Et j'ai menti. Rappelez-vous quand j'ai dit impression, modèle, réalité. J'ai dit que la réalité ne change pas. En fait, si. Nous vivons dans u monde technologique ; la réalité change tout le temps. Il se pourrait donc que nous ayons -- pour la première fois dans l'histoire de notre espèce -- l'impression qui court derrière le modèle, le modèle derrière la réalité, la réalité bouge -- ils pourraient ne jamais se rattrapper. Nous ne le savons pas. Mais sur le long terme, l'impression et la réalité sont toutes deux importantes.
And I want to close with two quick stories to illustrate this. 1982 -- I don't know if people will remember this -- there was a short epidemic of Tylenol poisonings in the United States. It's a horrific story. Someone took a bottle of Tylenol, put poison in it, closed it up, put it back on the shelf, someone else bought it and died. This terrified people. There were a couple of copycat attacks. There wasn't any real risk, but people were scared. And this is how the tamper-proof drug industry was invented. Those tamper-proof caps? That came from this. It's complete security theater. As a homework assignment, think of 10 ways to get around it. I'll give you one: a syringe. But it made people feel better. It made their feeling of security more match the reality.
Et je veut conclure avec deux histoires courtes pour illustrer cela. 1982 -- je ne sais pas si les gens se souviendront de ça -- il y a eu un épidémie de courte durée d'empoisonnements au Tylenol aux Etats-Unis. C'est une histoire horrible. Quelqu'un a pris une bouteille de Tylenol, a mis du poison dedans, l'a refermée, l'a remise dans le rayon. Quelqu'un d'autre l'a acheté et est mort. Ça a terrifié les gens. Il y a eu deux ou trois attaques par des imitateurs. Il n'y avait pas vraiment de risque réel, mais les gens étaient terrifiés. Et c'est comme ça que l'industrie du médicament scellé a été inventée. Ces bouchons scellés, c'est de là qu'ils viennent. C'est du théâtre de sécurité complet. Et en guise de devoir à la maison, réfléchissez à 10 manières de le contourner. Je vous en donne un, une seringue. Mais ça a rassuré les gens. Ça a rapproché leur impression de sécurité de la réalité.
Last story: a few years ago, a friend of mine gave birth. I visit her in the hospital. It turns out, when a baby's born now, they put an RFID bracelet on the baby, a corresponding one on the mother, so if anyone other than the mother takes the baby out of the maternity ward, an alarm goes off. I said, "Well, that's kind of neat. I wonder how rampant baby snatching is out of hospitals." I go home, I look it up. It basically never happens.
La dernière histoire, il y a quelques années, une de mes amies a eu un bébé. Je suis allé la voir à l'hôpital. Il s'avère que maintenant, quand un bébé naît, ils lui mettent un bracelet avec une puce RFID, en mettent un qui correspond à la mère, pour que si quelqu'un d'autre que la mère emmène le bébé hors de la maternité, un alarme se déclenche. J'ai dit, "C'est chouette. Je me demande à quel point l'enlèvement de bébés est en augmentation en dehors des hôpitaux." Je rentre chez moi, je vérifie. Ça n'arrive quasiment jamais.
(Laughter)
Mais si vous y réfléchissez,
But if you think about it, if you are a hospital, and you need to take a baby away from its mother, out of the room to run some tests, you better have some good security theater, or she's going to rip your arm off.
si vous êtes un hôpital, et que nous devez enlever un bébé à sa mère, le sortir de la pièce pour faire des examens, il vaut mieux que vous ayez un bon théâtre de sécurité, ou elle va vous arracher le bras.
(Laughter)
(Rires)
So it's important for us, those of us who design security, who look at security policy -- or even look at public policy in ways that affect security. It's not just reality; it's feeling and reality. What's important is that they be about the same. It's important that, if our feelings match reality, we make better security trade-offs.
C'est donc important pour nous, qui concevons des systèmes de sécurité, qui examinons la politique de sécurité, ou même la politique publique de manières qui affectent la sécurité. Il ne s'agit pas que de sécurité, il s'agit d'impression et de réalité. Ce qui est important est qu'elles soient en gros équivalentes, il est important que, si nos impressions collent à la réalité, nous faisons de meilleurs échanges de sécurité.
Thank you.
Merci.
(Applause)
(Applaudissements)