1. L'illusion de l'évaluation déclarative
Pendant des décennies, la maturité cyber des entreprises a été mesurée par la capacité des collaborateurs à restituer des connaissances théoriques lors de QCM (le e-learning classique). Or, les faits sont têtus : un cadre dirigeant peut obtenir 100% à son examen de sécurité le lundi, et autoriser un virement frauduleux de 5 millions d'euros le mardi suite à un appel d'ingénierie sociale (Vishing). Pourquoi ? Parce que la faille n'est presque jamais un manque de savoir technique. La vulnérabilité réside dans notre architecture mentale : dans un contexte d'urgence, d'ambiguïté ou de pression d'autorité, notre instinct (le Système 1 décrit par Daniel Kahneman) court-circuite notre analyse rationnelle (le Système 2).
Pour mesurer la véritable robustesse comportementale d'une organisation sans tomber dans l'évaluation psychologique de la personne, Open C Future a modélisé une doctrine stricte : L'Arc Cognitif. Cette méthode décompose la résilience en trois niveaux distincts, séquentiels et non interchangeables (N1, N2, N3).
2. Niveau 1 : Le Savoir (La Reconnaissance)
Dans la doctrine OCF, le savoir ne désigne pas une expertise technique approfondie. Le Niveau 1 (N1) évalue exclusivement une tâche perceptive : la capacité à reconnaître des objets, des signaux faibles, des contextes ou un vocabulaire du risque. Le participant sait-il identifier un email non sollicité, un cadenas manquant, ou l'incohérence d'une demande du support IT ?
À ce stade, le dispositif ne demande aucune justification. L'objectif est de s'assurer qu'il n'y a pas de "cécité cognitive" élémentaire. Si l'individu ne perçoit pas le signal de danger, toute évaluation de sa compréhension ultérieure devient factice et projective. L'échec au N1 n'est pas une sanction morale, c'est un indicateur de fragilité méthodologique qui invalide la suite du test.
3. Niveau 2 : La Compréhension (L'Interprétation)
Une fois les éléments reconnus, le Niveau 2 (N2) évalue la capacité à les mettre en relation pour produire une lecture intelligible de la situation. Comprendre consiste à qualifier une situation (normale, atypique, à risque) en explicitant ses mécanismes sous-jacents, sans pour autant orienter l'action.
C'est le domaine d'intervention privilégié de l'IA Coach de la plateforme CybCert. Isolée de tout pouvoir de notation (Architecture Dual-Core), cette IA adopte une posture de maïeutique socratique. Elle ne donne pas les réponses, elle questionne l'utilisateur pour le forcer à verbaliser son raisonnement analytique ("Pourquoi ce changement de RIB vous paraît-il suspect ?"). Le Niveau 2 stabilise le sens. Cependant, comprendre intellectuellement un mécanisme ne garantit en rien la capacité à s'y soustraire lorsque le stress monte.
4. Niveau 3 : L'Action (La Décision sous contrainte)
Le Niveau 3 (N3) est la clé de voûte de la certification. Ce n'est pas un catalogue de bonnes pratiques ; c'est un instrument de métrologie mesurant la trajectoire d'action sous contrainte. Sans le N3, l'arc cognitif resterait un exercice scolaire.
Le participant est plongé dans une scénarisation immersive multimédia où l'incertitude est structurante et où la décision devient inévitable (l'inaction prolongée étant elle-même un choix mesurable). C'est ici qu'opère la Télémétrie Forensique : le système observe le délai de réaction (impulsivité), la perte de focus, et les choix opérés. L'IA Juge analyse ensuite froidement comment les éléments reconnus (N1) et compris (N2) sont ignorés, déformés ou contournés sous la pression.
5. Les 6 Tensions Décisionnelles Systémiques
Pour générer ces immersions de Niveau 3 de manière industrielle sans tomber dans le "test technique", OCF a modélisé 6 familles de tensions qui placent le système mental en déséquilibre profond :
- L'Illusion de maîtrise : La confiance excessive et aveugle dans un dispositif technique ou une procédure ("L'antivirus a validé la pièce jointe"), empêchant d'interroger la vulnérabilité réelle.
- La Dissonance hiérarchique : Le conflit majeur entre une instruction verticale d'autorité (l'ordre urgent d'un N+1 ou du PDG) et une procédure formelle de sécurité. L'individu ose-t-il escalader son doute ?
- La Dette invisible : L'arbitrage pragmatique privilégiant l'efficacité immédiate (contourner le VPN pour livrer le client à temps), qui crée silencieusement une vulnérabilité différée majeure.
- La Crise médiatique : La tension entre la gestion opérationnelle interne d'un incident et sa soudaine exposition publique ou réputationnelle sur les réseaux sociaux.
- Le Point de bascule : La capacité du collaborateur à identifier le seuil temporel critique où l'accumulation d'indices contradictoires impose de passer de l'inertie à l'alerte.
- La Chaîne invisible : L'incapacité à percevoir qu'une interaction locale et anodine (ex: avec un sous-traitant de rang 2) peut se propager de manière systémique à l'ensemble de l'entreprise étendue.
Conclusion : En articulant ces trois niveaux d'observation, l'Arc Cognitif d'OCF ne juge pas des personnalités. Il qualifie des capacités humaines contextualisées. En mesurant avec précision l'écart entre la culture déclarée en temps de paix et l'action réelle sous le feu de l'ingénierie sociale, le dispositif transforme l'intuition du risque en une science gouvernable.