L’attaque est cyber, mais son impact psychologique n’a rien de virtuel
En cas de cyberattaque, l’urgence est au règlement de la crise et à la survie économique de la structure. Mais ces attaques, souvent vécues comme très violentes, ont un impact psychologique réel, trop peu évoqué.
Dans ce grand amphi d’Océanopolis à Brest, mi-octobre, la voix d’Olivier Ropars, directeur général de Rest, une entreprise de constructions métalliques dans la région de Carhaix est calme et posée.
Il n’a pas véritablement été victime de ce que l’on désigne habituellement comme une cyberattaque. Mais son entreprise a été victime d’une arnaque au président qui a entraîné un virement de 100 000 euros, à destination de la Hongrie. Celui-ci a heureusement été stoppé par les gendarmes du Finistère, suite à une réaction ultra rapide du PDG, alors en vacances dans les Pyrénées.
« Ça aurait pu nous faire mettre la clef sous la porte », explique Olivier Ropas, joint ultérieurement. « 100 000 euros dans la trésorerie d’une PME de 30 personnes, c’est énorme. Notre comptable était anéantie, culpabilisait, et m’a proposé sa démission dans la foulée », explique-t-il. « Je l’ai évidemment refusée, en disant que c’était fait, que ça aurait pu arriver à n’importe qui, que l’urgent était de résoudre le problème et de l’éviter à l’avenir. Mais pendant des semaines, elle en a parlé en interne. Elle se sentait mal, coupable, et elle était traumatisée », se souvient-il.
Une attaque cyber, un traumatisme durable ?
Traumatisée. Le mot est lancé. C’est la première fois, dans une conférence cyber, que l’on parle des conséquences psychologiques d’une attaque. Et elles sont loin d’être anodines.
Cécilia Jourt-Pineau connaît bien le sujet. Elle aussi était présente à cette table ronde et se félicite que dans les conférences cyber on commence à en parler. Parce que c’est un vrai sujet, aussi important pour la suite des évènements et la culture de l’entreprise que sa survie économique.
« Les personnes directement responsables, comme celles ayant cliqué sur des éléments malveillants, peuvent ressentir une intense culpabilité, honte. »
Cécilia Jourt-PineauCy Mind
Dans les témoignages qu’elle a recueillis, ceux-ci sont particulièrement édifiants : « pendant plusieurs jours, je ne pouvais plus m’arrêter de pleurer ; je me sentais minable, mais ensuite, je crois que ce sentiment s’est transformé en une saine colère, qui m’a donné la rage de me battre jusqu’au bout pour récupérer mes données ». Ou encore celui-ci : « j’avais peur que cela puisse se reproduire. Oui, j’étais terrifiée à l’idée que ceux qui nous avaient fait cela savaient que nous étions vulnérables et probablement faciles d’accès… ».
Une attaque cyber est parfois vécue comme un viol de l’intégrité de l’entreprise
Comme l’analyse Cécilia Jourt-Pineau, les termes employés ne sont pas neutres : terreur, colère, crise de larmes… « L’analogie entre une cyberattaque et un cambriolage, voire un viol, est parfois utilisée pour décrire le fort impact émotionnel ressenti. La notion de “violation de données” reflète cette idée que la confidentialité et l’intimité ont été compromises, souvent de manière intrusive et violente. Ces termes employés mettent en lumière l’effraction psychologique ressentie par les individus et les organisations victimes de cyberattaques », précise-t-elle.
« Les personnes directement responsables, comme celles ayant cliqué sur des éléments malveillants, peuvent ressentir une intense culpabilité, une honte, et même développer des symptômes similaires à un stress post-traumatique. De même pour celles qui ont été plus indirectement liées à l’attaque », ajoute-t-elle.
« Les comportements varient, et comme dans toute crise, révèlent les tempéraments profonds. »
Stéphanie LedouxAlcyconie
Peu d’études existent sur ce sujet. Cécilia Jourt-Pineau mentionne des chiffres issus d’un travail mené par l’Université de Portsmouth en 2020 sur l’impact psychologique des attaques cyber. Selon les résultats de cette étude, 75 % des cybervictimes ont ressenti du stress, 52 % de la peur.
« À 6 mois, il reste des séquelles physiques et/ou mentales importantes : 60 % ont souffert de troubles du sommeil, et 45 % ont développé des troubles d’attaque de panique », précise Cecilia Jourt-Pineau.
« Une crise cyber, c’est violent »
Ce n’est donc absolument pas anodin. « Une crise cyber, c’est violent », argumente de son côté Stéphanie Ledoux, PDG d’Alcyconie, qui a vu un certain nombre de comportements typiques de l’urgence et de la crise aiguë se manifester aussi lors d’une attaque cyber. « Il y a souvent une phase de déni (ça n’a pas pu nous arriver à nous/ça n’est pas possible), suivie d’une prise de conscience. Dans ces cas-là, le rôle de l’équipe qui accompagne est de guider la cellule de crise avec un maximum de lucidité, mais aussi d’offrir une oreille attentive pour permettre aux équipes d’exprimer leurs sentiments, leur ressenti. C’est parfois violent comme vécu, même si on se défend d’être des psychologues. Les comportements varient, et comme dans toute crise, révèlent les tempéraments profonds », raconte Stéphanie Ledoux.
« Des émotions extrêmes se succèdent, voire se télescopent, y compris au sein de l’équipe dirigeante. »
Anne-Gervaise VendangeIn_Cognita
« J’ai vu des dirigeants apathiques, déconnectés de la réalité, en état de sidération totale, avant d’être capables de réagir. Il y a les agités, incapables de tenir en place, qui tournent en rond dans une salle, en essayant de trouver une solution, ceux qui p… les plombs… », détaille-t-elle.
Anne-Gervaise Vendange, elle-même psychopraticienne clinicienne, qui travaille avec David Corona et leurs équipes au sein de In_Cognita sur la négociation et gestion de crise, notamment cyber, le constate aussi : « des émotions extrêmes se succèdent, voire se télescopent, y compris au sein de l’équipe dirigeante. C’est vécu comme un évènement traumatique et il faut, sans se laisser submerger par elles, que les émotions puissent ressortir à ce moment-là. Elles sont un indicateur ou un messager. Ne pas en tenir compte dans la gestion de crise est une erreur », explique-t-elle.
Si ces entreprises qui accompagnent se défendent d’être des « psy de crise », elles constatent quelques points communs : « c’est lorsque l’entreprise commence à réagir – en général avec la phase de dépôt de plainte – que les équipes redeviennent plus combatives, parce qu’elles arrêtent de subir et sont dans l’action », commente Anne-Gervaise Vendange.
La préparation, la réactivité, la maturité sont fondamentales.
« Mais comme pour toute crise, le fait de savoir que cette étape existe, et de l’avoir préparée, est fondamental », souligne Stéphanie Ledoux.
« La réactivité et la maturité des entreprises sur ce sujet sont, une fois l’attaque passée, cruciales pour une gestion la moins douloureuse possible, et pour le fait d’envisager le retour à la normale, qui est aussi en soi une phase critique », reprend Anne-Gervaise Vendange.
La prise de conscience et en compte de ces impacts doit être utilisée en résolution de crise, estime Cécilia Jourt-Pineau : « la gestion de ces crises sur le temps long peut représenter un défi considérable sur les plans professionnel et personnel, nécessitant une prise de conscience des impacts émotionnels et la mise en place de mesures de soutien appropriées ».
Le degré de maturité des entreprises est bien sûr différent, mais Stéphanie Ledoux se souvient d’une entreprise où on lui avait indiqué ne pas vouloir connaître l’identité des personnes qui avaient laissé passer l’attaque, pour ne pas être tenté de les stigmatiser et d’en faire des boucs émissaires. Une attitude que Stéphanie Ledoux avait jugé très « responsable et mature ».
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
