Désorganisation des équipes, préjudices financiers, fuite de données… Les cyberattaques sont souvent associées à cet éventail de déconvenues. Pourtant, au-delà de ces impacts tangibles, elles s’accompagnent également de préjudices psychologiques bien réels, mais encore trop souvent tus ou sous-estimés. La cyber malveillance laisse en effet des traces profondes, et pas seulement sur les serveurs ou les systèmes informatiques. Ces « blessures invisibles » méritent d’être reconnues et traitées avec la même attention que tout autre traumatisme. Car pour que la résilience numérique soit pleinement efficace, elle doit impérativement légitimer la souffrance des victimes et intégrer leur accompagnement psychologique.
Une violence psychologique largement sous-estimée
Les cyberattaques sont devenues une menace systémique. Elles représentent même le risque n°1 pour les entreprises en 2025(1). Des entreprises qui renforcent leur cybersécurité, soumises à un cadre réglementaire de plus en plus strict. Mais intègrent-elles le suivi psychologique des victimes dans leur arsenal préventif ? Pas toujours.
Car si elles sont indéniables, les conséquences techniques, financières et opérationnelles s’accompagnent également de répercussions psychologiques, trop souvent sous-évaluées. Parfois même par les victimes elles-mêmes, que la honte et la culpabilité poussent au silence.
Et pourtant. Une cyberattaque n’est ni un accident, ni une panne. Il s’agit d’un véritable acte offensif malveillant, d’une agression volontaire, d’une intrusion. Marie-Odile Crinon, administratrice du Clusif – association de la cybersécurité en France, reconnue d’utilité publique – parle de « violation de la vie privée, une sorte de cambriolage ».
Reconnaître les cyberattaques comme des agressions, c’est changer le regard sur les victimes et légitimer la souffrance des individus. Ainsi, pour organiser au mieux la résilience numérique, l’accompagnement des victimes est un volet crucial. Pour Annick Rimlinger, Directrice sûreté-sécurité, cyber & data protection, chez Aéma Groupe, « dans l’entreprise, les impacts potentiels doivent être pensés en amont de la crise pour accompagner et soutenir les équipes, mais aussi l’écosystème ».
Faire face à la malveillance doit aussi passer par davantage de transparence au sein des organisations. Le silence post-attaque pouvant être non seulement délétère pour les équipes, mais aussi un frein à la gestion des cybercrises.
Des blessures invisibles… aux effets durables
Sidération, honte, stress, colère ou anxiété durable… A titre individuel, les conséquences d’actes de cyber malveillance peuvent prendre de nombreuses formes pour les victimes. Mais ce n’est pas tout. L’impact se révèle également très concret pour le collectif humain : tensions au sein des équipes, perte de confiance, fragilisation de l’organisation, voire de tout l’écosystème. Parfois sur le long terme.
Car une cybercrise ne se cantonne pas au jour J, et peut même durer très longtemps. Restaurer le système d’information, comprendre, investiguer… Ce travail complexe, souvent réalisé sous pression, peut prendre des jours, des semaines, voire des mois. Et au cœur de la tempête, ce sont les directions informatiques qui trinquent. Une étude menée par le CESIN et Advens entre 2022 et 2024 confirme cette réalité : 52 % des responsables cyber interrogés se sentent en permanence sur le qui-vive(2).
Ce n’est pas Jérôme Poggi qui dira le contraire. Lors d’un colloque inédit sur les répercussions psychologiques des cyberattaques organisée en février 2024 par Aéma Groupe – avec le soutien de Cybermalveillance.gouv.fr(3) et France Victimes(4) – le RSSI(5) de la ville de Marseille est revenu sur la cyberattaque massive qui a paralysé sa ville en 2020. Un cauchemar qui a duré six mois, pendant lesquels il dit être devenu « un zombie agressif, gérant tant bien que mal le combo stress/manque de sommeil/reconstruction du système » d’information. Un témoignage édifiant qui met en lumière l’absence de soutien organisationnel et de suivi psychologique des responsables cyber.
Pour Pascal Michard, Président d’Aéma Groupe, « les cyberattaques nécessitent un protocole post-traumatique semblable à celui mis en place pour les conseillers bancaires victimes d’un braquage ». L’objectif ? Lever le tabou du stress généré par la cyber malveillance.
LA CYBERATTAQUE DE MARSEILLE EN CHIFFRES CLÉS
Date de la cyberattaque : mars 2020
Ampleur des dégâts : 1 300 serveurs et 400 applications hors services, l’état civil paralysé, des milliers d’agents sans outil de travail
Pour gérer la crise : 15 experts en interne, appuyés par une équipe de prestataires de 5 personnes, travaillant 24h/24 pendant 3 semaines
Durée de la crise : 3 mois pour restaurer l’essentiel du système et 6 mois pour récupérer 90 % de la SI
Déculpabiliser et accompagner pour reconstruire
Alors comment ne pas faire du volet humain l’angle mort des cyber crises ? La préparation et la sensibilisation semblent être les premiers fondamentaux. Campagnes de prévention, exercices et mises en situation, ateliers… En étant préparées à la survenue d’une cyberattaque, les équipes sont plus à même d’aller au-delà du choc psychologique et de la sidération, et ainsi de gagner en réactivité.
L’autre point clé en cas de cyber crise ? Éviter le piège du bouc émissaire. Rechercher à tout prix le coupable ne résout rien et contribue à alimenter le chaos. Car la personne qui a cliqué sur le mauvais lien est aussi une victime, comme chacun peut le devenir. Comme le rappelle Pascal Michard, « l’erreur individuelle est souvent le reflet d’une défaillance collective ». D’où l’importance non seulement de sensibiliser régulièrement les équipes, mais aussi de communiquer en toute transparence. Pendant, mais aussi et surtout après la crise. Passer sous silence une cyberattaque et ses conséquences revient à minimiser son impact auprès des équipes, et à invisibiliser leurs souffrances. Nommer les choses, les décrire et les expliquer – tant d’un point de vue technique qu’humain – c’est tout simplement raconter l’histoire collective de l’entreprise. Parfois même l’occasion de faire bloc.
Enfin, l’accompagnement psychologique des victimes est le dernier pan capital de la résilience numérique. Briser le silence et comprendre l’épuisement des victimes est crucial dans la gestion des cyber crises. Basée sur la solidarité et la prévention, Aéma Groupe a même fait de la cybersécurité un pilier de sa culture d’entreprise et multiplie les actions et les prises de paroles sur le sujet.
En attendant que les bonnes pratiques se démocratisent au sein de chaque structure, des initiatives permettent aux victimes de se faire entendre. À l’image du dispositif Cyber17 lancé fin 2024 et initié par Cybermalveillance.gouv.fr. Cet équivalent numérique du 17 est une plateforme numérique qui accueille les victimes, qualifie la menace et prodigue des conseils. Son grand atout ? La possibilité d’échanger de vive voix avec un policier ou un gendarme : un rôle humain plus que nécessaire pour que les victimes osent enfin mettre des mots sur leurs blessures invisibles.
———
(1) Donnée issue d’une étude de l’ANSSI (Agence nationale de la sécurité des systèmes d’information)
(2) Résultats de l’enquête portant sur un échantillon de 330 répondants, dont 60 % de RSSI et 20 % de Directeurs Cybersécurité. Membres du CESIN, ils sont issus d’entreprises françaises (tous secteurs et tailles d’entreprises) et d’organismes publics.
(3) Cybermalveillance.gouv.fr est une plateforme qui informe, sensibilise et assiste les victimes de cyber malveillances. Aéma Groupe en est un partenaire.
(4) France Victimes est un réseau associatif professionnel au service des victimes et du lien social
(4) Responsable de la Sécurité des Systèmes d’Information
