Cyberattaques : quel impact sur la santé mentale des salariés ?

Que se passe-t-il dans la tête d’un collaborateur victime d’une cyberattaque ? 

Jeanne Chevallier : Il y a d’abord une forme de sidération. Une cyberattaque, c’est une intrusion malveillante et intentionnelle dans un espace privé que l’on pensait inviolable. Sur l’échelle des traumas, on peut la rapprocher d’un cambriolage. Outre un état de stress, les collaborateurs sont en proie à de l’anxiété, de la colère. Une étude de l’Université de Stanford de 2020 révèle que 45% des employés victimes d’une cyberattaque ont ressenti un sentiment de culpabilité et de responsabilité, même lorsque celle-ci était due à des failles systémiques et non une erreur individuelle.

Et dans les semaines qui suivent l’évènement ?

Cécilia Jourt-Pineau : Une étude de l’Université de Portsmouth montre une proportion nettement plus élevée des troubles du sommeil jusqu’à 6 mois après la phase de stress aiguë. A cela s’ajoutent des effets physiques et psychiques : prise ou perte de poids, difficultés à se concentrer, anxiété, sentiment de vulnérabilité au travail, peur de se connecter…

JC : Parmi les victimes d’une cyberattaque, certaines vont développer des symptômes de stress post-traumatique, avec une anxiété résiduelle traduite par une hyper-vigilance (crainte d’une nouvelle intrusion), des réminiscences (on se « refait le film »), des attitudes d’évitement face à l’outil informatique. Sur le terrain, les managers constatent que certains salariés se replient sur eux-mêmes quand d’autres feront preuve d’irritabilité, voire d’agressivité. 

Existe-t-il un facteur « âge » ? 

JC : Les moins de 35 ans font preuve d’un niveau d’anxiété plus important car ils craignent pour la suite de leur carrière, d’être associés à l’entreprise « hackée »… On observe d’ailleurs, parmi cette population, une hausse du turn over dans les mois qui suivent l’attaque. Les séniors redoutent davantage les nouveaux protocoles de sécurité. Le fait de devoir absorber cette surcharge de travail en urgence rajoute du stress au stress, et présente un risque d’épuisement.

CJP : Les plus âgés peuvent aussi être des tuteurs de résilience, comme le montre le cas du CHU de Rouen, victime d’une attaque en 2019. Du jour au lendemain, les infirmières ont été obligées de faire les prescriptions et les conversions sans logiciel, à la main. Les plus anciennes, qui avaient appris à travailler avec un carnet et un crayon, ont formé les plus jeunes. Grâce à elles, la continuité des soins a pu être assurée.

« Basé sur le chantage, le ransomware est particulièrement traumatisant »

Certains types d’attaques ont-ils un potentiel plus traumatique que d’autres?

JC : Basé sur le chantage psychologique, le ransomware crée un sentiment de panique très violent. Le phishing a la particularité de mettre sous les feux des projecteurs une seule personne : celle par qui le virus s’est introduit dans le système. Les attaques DDoS (Distributed Denial of Service) vont générer de la frustration face à une incapacité de mener à bien des tâches quotidiennes, de l’anxiété face à l’incertitude de la durée de l’attaque et une forte pression sur l’IT, tenus de restaurer les services le plus rapidement possible.

Avez-vous quelques exemples d’attaques et de leurs conséquences au niveau des équipes ?

CJP : En 2014, Sony Picture Entertainment a été victime d’une cyber attaque suivie par une hausse de l’absentéisme et une baisse de la productivité. En 2017, c’est au tour de la société Maersk d’être la proie d’un ransomware avec une explosion des heures supplémentaires. Lorsque Yahoo a été victime d’un vol de données en 2013, un important turn over a été constaté dans les mois suivants, suite à la perte de confiance d’une partie des salariés.

Quelles actions de prévention peuvent être proposées ? 

CJP : Les programmes de sensibilisation permettent d’implémenter une culture du droit à l’erreur afin de ne pas bloquer la communication en cas de problèmes. Lors d’une attaque, l’écoute neutre et bienveillante réalisée par des professionnels externes entraîne une meilleure résilience collective : reconnaître l’événement, ne pas sous-estimer sa gravité et libérer la parole. Insérer une brique « human impact » dans les plans de gestion de crise est essentiel.

Le « syndrome du sauveur » : un risque pour les équipes IT

Quel peut être le rôle des RH ?

JC : Essentiellement la reconnaissance de l’impact de telles attaques sur la santé de leur collaborateur. Cela passe avant tout par une disponibilité d’écoute, de l’empathie, de la compréhension, face aux préoccupations des victimes. Certaines entreprises mettent en place des congés exceptionnels et/ou permettent une adaptation des heures de travail dans les semaines qui suivent l’attaque, afin de faciliter la « digestion » de cet évènement. 

CJP : Les RH doivent être très vigilants au respect du temps de travail dans les jours qui suivent l’attaque. La cellule IT peut avoir le sentiment de porter l’avenir de l’entreprise sur les épaules, et endosser un rôle de sauveur… au risque de s’épuiser. Attention, aussi, aux managers qui, sous l’effet du stress, mettent trop de pression. Enfin, les salariés n’étant plus en capacité de travailler car le système est bloqué, ils peuvent craindre de ne pas être payés. Il faut communiquer, expliquer, rassurer.

Comment voyez-vous se développer la situation ces prochaines années ? 

JC : Dans la mesure où nous évoluons dans un monde de plus en plus connecté, nous sommes exposés à une menace croissante, avec une exposition de plus en plus fréquente. Le but sera d’en limiter les impacts, comme pour n’importe quel risque.

CJP : La cybersécurité n’est pas qu’une affaire de geeks. Il est nécessaire d’initier une démarche holistique incluant les RH, le service juridique, les équipes IT… Des pays comme le Canada ont une longueur d’avance en matière de prise en charge des attaques cybers. Inspirons-nous de leur expérience.