Back to basic
Commençons par un rappel de ce qu’est un impact.
Il s’agit de l’« Effet produit par quelque chose »(LAROUSSE) « retentissement d’une action, d’un évènement, d’une information, d’un discours, etc. sur quelqu’un ou quelque chose (Wikipedia) ou encore du « résultat d’un incident indésirable »(ENISA)
La plupart des articles d’information sur les cyberattaques ont tendance à mettre en évidence les coûts financiers associés à la cybercriminalité.
Il suffit de regarder les unes des journaux :
Alors il est vrai que la première chose à laquelle on pense lorsqu’une entreprise est victime d’une cyber attaque, c’est le coût que cette dernière va engendrer. On va immédiatement penser au coût de la rançon (payée ou pas) mais il existe d’autres effets plus ou moins directs.
Les organisations se concentrent principalement sur l’impact économique. Les impacts sociaux et psychologiques des attaques, étant souvent négligés.
Or ces éléments doivent être pris en considération par les organisations, car cette dernière doit s’assurer du bien être de ses salariés. De plus ces effets auront un impact à termes sur l’entreprise et sa sécurité.
Quels sont les processus émotionnels déclenchés par une cyberattaque, et quelles caractéristiques de la personnalité sont systématiquement liées à ces dimensions émotionnelles ?
Le processus émotionnel
Une étude menée par l’University of Portsmouth (Victims of computer misuse) a divisé les participants en quatre groupes et chaque groupe a vu une vidéo.
1. Le premier groupe a vu une vidéo sur le traitement des eaux usées
2. le second a vu une vidéo sur une attaque de cybersécurité non mortelle
3. le troisième a vu des images d’une attaque de cybersécurité mortelle
4. le quatrième a vu une vidéo sur une attaque dans un monde “réel”: une attaque terroriste.
Les psychologues ont évalué le niveau de stress des participants.
Les résultats? Les personnes qui ont regardé les vidéos sur les cyberattaques ont ressenti presque le même niveau de stress que celles qui ont regardé la vidéo sur une attaque dans le monde réel.
Cette étude démontre que la cybercriminalité peut avoir un impact émotionnel similaire à la criminalité dans le monde réel comme le cambriolage.
La sensation de violation de l’intimité revient de manière quasi systématique dans tous les témoignages de victimes. Voyons ici la chaîne des émotions.
Les facteurs influençant
•Des facteurs externes
Des soucis financiers, à l’emploi, à la famille et/ou aux relations amicales ou autre, vont intensifier la vulnérabilité.
•Des facteurs intrinsèques
- la charge cognitive
- le stress
- l’effet de la personnalité (extraversion, stabilité émotionnelle, conscience, amabilité et ouverture)
- la conscience
- l’âge
- le sexe
•Des facteurs cognitifs
- l’appréciation de la victime sur sa propre expérience (l’évaluation de l’événement par rapport à ses objectifs, ses besoins et ses valeurs)
- les stratégies d’adaptation
- Des facteurs sociaux
- le soutien social, est essentiel pour permettre une adaptation positive après un cybercrime
- l’influence interculturelle
•Des facteurs liés au crime
L’impact émotionnel et psychologique à la suite d’une attaque cyber peut varier de léger à sévère , selon les victimes. Selon l’importance, la nature et l’ampleur perçues on peut s’attendre à des conséquences psychologiques à court terme qui peuvent évoluer vers des bouleversements psychologiques à long terme.
Les symptômes émotionnels peuvent inclure un sentiment de dépression, de tristesse, d’anxiété, de culpabilité, de honte, de démoralisation, de colère mais encore de trahison, d’ impuissance et donc vulnérabilité.
Tous ces symptômes couramment signalés sont similaires a des troubles de stress aigu et de TSPT (stress post traumatique).
Quels sont les autres effets d’une attaque cyber sur l’individu ?
Impact social
A ces symptômes mentaux et sociaux s’ajoutent des transformations physiques.
Impact physique
Autres impacts
Comment accompagner les victimes ?
Avant l‘attaque
- sensibiliser sur la façon de détecter et d’arrêter divers types de cyberattaques.
- informer les employés de nouvelles cyberattaques
- sensibiliser aux biais cognitifs et techniques de manipulation.
- mettre en place un climat favorable ( limiter le stress, le bruit, etc)
- former les RH ou personnes susceptibles d’être en contact avec les futures victimes aux basiques de la psychologie- Empathie, communication, soutien émotionnel, capacité à gérer ses émotions et à établir des relations interpersonnelles positives , gestion positive du stress, respect des valeurs et des différences culturelles.
- mettre en place des plans de protection (identification des besoins de soutien, interlocuteur, plan de crise…)
Après l’attaque
- rassurer, reconnaitre le statut de victime
- limiter le nombre d’entretiens afin d’éviter le défilé d’intervieweurs qui contraignent la victime à reparler de son traumatisme de nombreuses fois
- définir un point de contact unique qui sera l’interlocuteur de référence pour la victime
- éviter que la notion hiérarchique ne prenne le dessus et bloque la victime
- former les intervieweurs à ce genre de situation afin qu’ils sachent utiliser les bonnes méthodes
- ne pas laisser dans le flou, être transparent et communiquer
- mettre en place un soutien et un suivi psychologique personnalisé, juridique, financier, mais aussi technique.
- Proposer une « désintoxication numérique » (peut être une bonne méthode ponctuelle pour la santé mentale du salarié)
Et bien sûr à un niveau général :
- Respecter le rythme de la victime lorsqu’elle partage son expérience .
- Encourager l’expression
Au niveau législatif, il est impératif d’accompagner la victime dans l’explication des procédures pénales, l’informer sur:
- les services de soutien existants,
- les droits,
- les procédures de plainte,
- le déroulement de la procédure pénale
Veiller à ce que, à tout moment de la procédure pénale, la victime ait accès à des informations sur ses droits…le tout dans un langage…simple !
————————–
Je finirai en rappelant que ;
- Pour les accompagnants que ce soit l’entreprise, ou le cercle privé :
la capacité d’écoute, la capacité de transmettre des informations et des messages clairs et faciles à comprendre est primordiale. La communication et l’empathie sont fondamentales tout au long du processus.
- Pour les victimes :
- Identifier vos sentiments, votre ressentie
- Mettez en avant vos compétences
- Ne vous culpabilisez pas
- Assurez-vous d’être bien accompagné (vie professionnelle, personnelle, un suivi psychologique, juridique, financier, mais aussi technique.)
Nathalie Granier- Novembre 2022
—————————————
➡️https://www.lemagit.fr/tribune/Comment-accompagner-ses-collaborateurs-en-cas-de-cyberattaque
—————————————
Sources:
https://www.ncbi.nlm.nih.gov/pmc/articles/PMC5370589/#:~:text=By%20inducing%20stress%20and%20anxiety,these%20effects%20are%20more%20pronounced
https://www.researchgate.net/publication/341179636_VICTIMS_OF_COMPUTER_MISUSE_EXECUTIVE_SUMMARY
https://www.ieee-security.org/TC/SPW2012/proceedings/4740a086.pdf
https://www.lemagit.fr/etude/Recit-comment-Manutan-sest-sorti-de-la-cyberattaque-du-21-fevrier?s=09
https://www.ncbi.nlm.nih.gov/pmc/articles/PMC5370589/#:~:text=By%20inducing%20stress%20and%20anxiety,these%20effects%20are%20more%20pronounced
https://journals.sagepub.com/doi/full/10.1177/21582440211061556