Impact psy d’une cyber attaque et au-delà !

Home / Cybersécurité

Impact psy d’une cyber attaque et au-delà !

On a vu de nombreux papiers sur les biais cognitifs en cyber, « LE sujet »

(Avril 2022- https://ti-p.fr/blog/les-biais-cognitifs-dans-tous-leurs-etats-1-5/ )

Maintenant c’est au tour de l’impact psychologique des cybers attaques.

(point abordé pour ma part en novembre 2022 : https://ti-p.fr/blog/effets-psychologiques-dune-cyberattaque/

Moi je souhaite aller un peu au-delà, puisque que ça c’est fait, vu et revu…et qu’en cyber on m’a dit « faut être devant » 😉

J’aborderai donc :

  1. Quel est l’impact psychologique au-delà de la victime elle-même ?
  2. Qu’est ce qui fait que l’impact est plus ou moins violent ?
  3. Pourquoi les victimes éprouvent-elles ces symptômes ?
  4. Une solution ?

Petit rappel et surtout autres questionnements :

Que se passe-t-il si un salarié lambda, victime d’un phishing n’est pas équipé, ou n’a pas les ressources nécessaires pour faire face à une situation de crise ? Au mieux on prend en charge le patient zéro ? OK c’est déjà super …si cela est le cas…(j’abuse des points de suspension, je ne le vois pas encore dans les REX, dans les livres blanc traitant du sujet…)

Qu’en est-il de la considération de l’ individu, du salarié, du PDG, du patron de pme, avec ses rôles spécifiques, ses missions ?

Allez, je vais même au-delà, s’intéresse-t-on aux collègues de la victime, aux clients mécontents qui vont créer du mal être en retour à la personne qui subira et devra traiter ce mécontentement ? ; et les analystes/défenseurs dans tout ça ? oui eux même qui vont redoubler de vigilance, d’activité, d’être en veille 24h/24 et 7j/7, n’est-ce pas source de stress, n’y a-t-il pas un impact ? Alors oui ce ne sont pas des victimes directes et pourtant, cela va forcément toucher, toucher les personnes elles même et l’organisation, la production, l’ambiance de travail etc

Eh oui car l’impact mental des attaques s’étend de la victime du crime à ceux chargés d’y mettre un terme. L’a-t-on envisagé ? abordé ?

Attention je n’ai pas terminé ma liste de doléance,  je poursuis,

Quel est l’impact pour une victime collatérale, un patient dans un hôpital ? Quels sont les dommages psychologiques et sociétaux –politiques même ?

Politique ? Qu’est-ce que ça vient faire là ?  Il ne faut pas oublier que les cyberattaques peuvent causer des niveaux élevés de dangers psychologiques, des causes de la violence politique, de terrorisme.

Exemple, rien de mieux qu’un exemple, Colonial Pipeline, ça parle aux personnes issues du monde cyber, cette attaque colossale a perturbé la distribution de carburant aux Etat Unis entrainant des pénuries dans le pays. Oui et alors ? eh bien on a constaté une forte baisse de confiance dans la capacité du gouvernement américain à défendre une nation face à un tel préjudice.

Et si demain on subit le fameux : cyber-Armageddon, le ‘cyber-Pearl Harbor’, ou la cyber apocalypse ! oui on a des gens qui sont inspirés pour donner des noms qui font peur.

En attendant si cela arrive et …cela arrive déjà on le voit actuellement. Voici quelques Unes qui donnent à reflechir:

–“Le Siaap (Syndicat interdépartemental pour l’assainissement de l’agglomération parisienne) a annoncé, le 18 novembre 2023, qu’il subissait une « cyberattaque d’ampleur »”

–“Le 15 janvier 2021, un pirate informatique a réussi à entrer dans le système de gestion d’une usine municipale de distribution de l’eau qui desservait certains coins de la baie de San Francisco”

–“L’opérateur public nucléaire ukrainien dénonce une cyberattaque russe « sans précédent » contre son site”

–“Un groupe de hackers infiltre un laboratoire nucléaire américain”

avec les conflits géopolitiques ou l’eau, les énergies, le gaz sont directement touchés dans ces pays en guerre ; Leon Panetta*, prédit que le monde sera « confronté à la possibilité d’une détresse psychologique ressentie par les civils (qui) peut également influencer la prise de décision en matière de politique étrangère »

Ah on rigole moins là.

Les cyberattaques quand elles touchent un organisme d’état vont forcément modifier l’opinion publique et avec elle, le choix des électeurs. Intéressant de se pencher sur la question quand on sait que 2024 est l’année des élections dans le monde. (année record, 68 pays passent aux urnes)

Qu’est ce qui fait que l’impact est plus ou moins violent ?

Connaissez-vous la théorie de l’hypothèse/vitre brisée ? (https://fr.wikipedia.org/wiki/Hypoth%C3%A8se_de_la_vitre_bris%C3%A9e ) Après avoir été victime d’un cybercrime, la perception du monde de la victime est violée, ce qui entraîne des émotions négatives.

Ces émotions négatives sont particulièrement graves selon différents paramètres, je vous en donne quelques-uns :

  • L’impact est plus violent, après avoir été victime d’une cybercriminalité centrée sur la personne, car la confiance interpersonnelle est perturbée. 
  • L’impact psychologique augmenterait lorsque la victime connait le cybercriminel et avait de nombreux contacts avec celui-ci avant le crime. Ce peut être cette personne derrière un écran qui prendra le temps nécessaire pour vous mettre en confiance en usant de bonnes techniques d’ingénierie sociale.
  • L’intensité et la gravité des symptômes sont spécifiques au type d’infraction. Par exemple  « les crimes financiers connaissent des niveaux de détresse comparables à ceux des victimes de crimes violents »
  • Je vous passe les paramètres psychologiques et culturels qui feront qu’une victime vivra son trauma différemment.

Je poursuis ma réflexion, cette fois, pourquoi les victimes éprouvent-elles ces symptômes ?

C’est bien d’énumérer les symptomes, mais en comprende la source c’est quand même utile.

  • Les gens éprouvent une peur accrue à la suite de cyberattaques en raison d’un sentiment d’impuissance face à des systèmes extrêmement complexes
  • La faible expertise du domaine joue aussi son rôle.  Je vous invite à lire les études de Gomez et Villar datant de 2018 ou de Kostyuk et Wayne 2021 qui mentionnent que le manque d’expertise du domaine entraine une augmentation des symptômes de stress.
  • Autre élément, la difficulté à identifier le responsable d’une attaque, ce manque de certitude quant à l’identité d’un cyberattaquant peut amplifier les perceptions sur l’étendue du risque ( Kaminska 2021 ). 
  • Autre point important que l’on a vu plus haut dans le cas de l’attaque du colonial pipeline,  cette croyance que les autorités gouvernementales ne peuvent pas nous protéger efficacement contre les cyberattaques, intensifie le sentiment de cyber-fatalisme

Allez dernière question pour la route

Et maintenant on fait quoi ? quelle est la solution ?

Au-delà du : avant, pendant et après crise vu aussi ici : https://ti-p.fr/blog/effets-psychologiques-dune-cyberattaque/

De mon point de vue il faut prendre le problème de deux manières :

Au niveau individuel

Favoriser:

  • l’auto-efficacité individuelle ou processus de mentalisation
  • travailler sur le développement des compétences de restructuration cognitive

Oula quesaco ? Il s’agit de mettre en place une stratégie d’adaptation, on parle de coping axé sur le problème et de coping axé sur les émotions. 

  • coping axé sur le problème

passe par la résolution de la cause directe du piratage, donc via l’auto-éducation et la modification de l’ environnement numérique. L’objectif étant de donner le sentiment aux victimes de retrouver un sentiment de contrôle sur leur environnement 

  • coping axé sur les émotions

là il s’agit de travailler la réévaluation cognitive de l’événement et la recherche de soutien. Favoriser l’expression des émotions, des ressenties. Mobiliser les défenses, comme le clivage, l’intellectualisation.

De manière purement plus « psy», la victime devra être accompagnée dans chacune des phases de reconstruction, c’est comme un deuil, un trauma. Certaines personnes ont besoin d’être accompagnées par des spécialistes. Il faudra de l’écoute, de la patience, de l’empathie. Sécuriser, respecter la personne si elle ne veut pas parler, respecter son rythme, ses silences, ne pas juger, normaliser ses réactions, adopter des attitudes de validation et d’acceptation.

La phase de choc passé, il y aura le déni, faire réaliser à la victime cette phase, ensuite viendra la colère, il faudra la canaliser, elle est reconstructrice mais il faut savoir la maitriser. Ensuite la tristesse, dans cette phase il est impératif d’être présent auprès de la victime, ou d’être en veille, de ne pas l’isoler, viendra ensuite la résignation, l’acceptation et la reconstruction.

L’accompagnant devra aider la victime dans sa capacité de résilience

Au niveau collectif

  • réduire la stigmatisation

Les médias évoquent de plus en plus ce sujet, et quelque part, cela aide à déculpabiliser ou à éliminer la stigmatisation que subissent les victimes. La sensibilisation encore une fois est au cœur du sujet

  • promouvoir une prise de conscience générale des impacts psychologiques du piratage informatique…c’est un peu ce que nous faisons là.

Voilà ma réflexion du jour, que je souhaitais partager et qui devra évidement être approfondie ; comprendre l’impact d’une cyber attaque à un niveau individuel est tout aussi important que comprendre les risques organisationnels.

Il ne faut jamais oublier que toutes formes de crime laissent aux victimes au sens large des cicatrices psychologiques durables qui vont s’intensifier surement avec l’essor de l’intelligence artificielle, (quand on utilise la voix de votre enfant par IA pour simuler un kidnapping, quel est l’impact psychologique subi par les parents?) mais ça c’est une autre histoire, un autre article…

* Chef de cabinet du président Bill Clinton entre 1994 et 1997, directeur de la Central Intelligence Agency (CIA) entre 2009 et 2011.

Nathalie Granier- Janvier 2024