Comment accompagner ses collaborateurs en cas de cyberattaque
À la suite d’une attaque ayant fortement affecté une organisation et son activité, certains peuvent avoir peur de reprendre l’usage de l’outil informatique. Comment l’expliquer et accompagner les personnes concernées ?
Une attaque cyber peut être vécue à des degrés divers comme une attaque, un attentat ou une prise d’otage dans la vie réelle. Un choc psychologique a lieu, et les contre-mesures à mettre en place doivent être sensiblement les mêmes.
Les effets psychologiques d’une attaque
Les effets d’une cyberattaque sur les individus ont tendance à être ignorés. En effet, les équipes de gestion de crise tendant à concentrer leurs actions sur l’organisation à mettre en œuvre pour réparer une infrastructure IT, pour communiquer à la presse, pour évaluer l’impact financier… Mais l’humain est quasi systématiquement sorti de l’équation. Pourtant, souvent, il est aussi une victime. Et les effets d’une attaque, d’un phishing, d’une ingénierie sociale peuvent être dévastateurs sur les individus qui ont servi de vecteur ou qui ont cédé par peur de représailles.
En regardant de plus près les effets possibles, on arrive très souvent aux mêmes conclusions que lorsqu’une personne est cambriolée : la sensation de violation de l’intimité revient de manière quasi systématique. Non seulement notre ordinateur ou notre téléphone ont été visités, souvent pillés, et parfois détruits, mais en plus ils vont être confisqués dans le cadre de l’enquête. Et ce sentiment de violation se renforce d’un sentiment de vulnérabilité.
Dans le cadre de l’ingénierie sociale par exemple, l’attaquant a réussi à soutirer des informations après une enquête, après avoir fouillé partout pour tout apprendre de nous. Il a trouvé la faille, il nous a manipulés en utilisant toute une série de biais cognitifs.
Prendre en compte sans tarder
Certaines victimes vont ressentir de la honte, de la gêne, car elles ont été bernées, et elles ont permis à des malfaiteurs de réaliser leur attaque. Certaines feront preuve de colère même, avec l’envie de se faire justice elles-mêmes. Selon les personnalités, les réactions peuvent être multiples. D’autres seront terrorisées, envahies du sentiment d’avoir mal fait, d’avoir mal agi, d’avoir commis une faute grave avec peut-être une sanction à la clé. Et évidemment, pour beaucoup, la peur d’être à nouveau victime est omniprésente.
C’est un sujet qu’il est indispensable de traiter au plus vite. Une cyberattaque peut être vécue comme un réel traumatisme selon les personnalités. Nous avons vu le ressenti de chacun, mais il existe en parallèle toute une série de réactions différentes comme le stress, les réminiscences, les cauchemars, les insomnies, l’irritabilité, la peur et l’angoisse, la violence, la dépendance.
Chez certaines personnes ces symptômes vont s’effacer avec le temps, pour d’autres c’est l’inverse, ils vont s’accentuer. Et au même titre qu’ont été créées des équipes d’accompagnement à la communication, à la posture, etc. au sein des cellules de crise cyber, il faut créer des cellules d’accompagnement psychologiques pour les victimes au sein des mêmes cellules de crise.
Comment accompagner ?
Il est difficile de produire une liste de conseils, du genre « to do list », mais voici quelques pratiques qui me semblent importantes :
- limiter le nombre d’entretiens afin d’éviter le défilé d’intervieweurs qui contraignent la victime à reparler de son traumatisme de nombreuses fois ;
- définir un point de contact unique qui sera l’interlocuteur de référence pour la victime et qui saura répondre à ses questions, sans que cette dernière n’ait à recommencer à expliquer la situation plusieurs fois ;
- définir qui seront les intervieweurs et faire le nécessaire pour éviter que la notion hiérarchique ne prenne le dessus et bloque la victime. Faire en sorte que les personnes qui seront en lien direct avec la victime soient circonscrites à un ou des représentants des ressources humaines, un collègue, une personne du service médical…
- former les intervieweurs à ce genre de situation afin qu’ils sachent utiliser les bonnes méthodes au plus vite. Ils devront adapter leur discours en fonction de la victime et il est important d’éviter tout stress supplémentaire. Les ressources humaines doivent savoir rassurer sur le fait que l’entreprise reste en soutien de son collaborateur. Les enquêteurs vont devoir faire preuve de tact, de douceur et de compréhension. En aucun cas ils ne doivent juger. La patience est de mise. Il faut être à l’écoute, répondre dans un langage clair à toutes les questions que se pose la victime. Il n’est pas question d’avoir là un langage trop technique, jargon informatique ou juridique.
- ne pas laisser dans le flou, être transparent et communiquer. Les victimes doivent être rapidement conseillées et rassurées. Rassurées sur le fait qu’elles sont victimes et non accusées. Conseillées sur les démarches à suivre dans le cas où une action en justice devrait être ordonnée.
- mettre en place un soutien et un suivi psychologique, juridique, financier, mais aussi technique. De nombreuses victimes ne savent pas ce qui s’est réellement passé et veulent savoir, veulent comprendre comment ne plus tomber dans le piège. Et puis parfois, il faut les aider à récupérer leurs données, et c’est très souvent compliqué techniquement.
On le voit au travers de tous ces points, une cyberattaque engendre de plus en plus souvent une sorte de choc post-traumatique qui peut être dévastateur sur les victimes. Certaines auront énormément de mal à retourner travailler en sachant qu’à leur poste, elles sont vulnérables. Il est, je pense, indispensable de prendre cette dimension en compte, et de la traiter avec la plus grande bienveillance. Plus rien n’est anodin dans notre monde.