"Que fait-on des Héros ? EPISODE #2 : Les Héros méconnus du monde numérique

"Qu'arrive-t-il aux héros ? EPISODE #2 : Les héros méconnus du monde numérique

Les conséquences psychologiques des cyberattaques

Il s'agit du deuxième épisode d'une histoire liée à des personnes qui, en l'espace de quelques instants, passent du statut d'"employés" à celui de "sauveteurs" dans le sillage immédiat d'une cyberattaque destructrice.

Ce que j'appellerai les "héros"

Quelle fonction au sein d'une entreprise peut devenir un Héros ? Et pourquoi ?

"Le fait est qu'il faut faire les choses avant et après. Il faut faire attention à la sensibilité des gens. Même si on est dans une période de crise, il ne faut pas avoir que des objectifs financiers, des objectifs de restauration ou des objectifs de récupération de clients. Il faut penser au bien-être des équipes, garder le maximum de personnel. Cela ne sert à rien de remettre l'entreprise sur pied si tout le monde s'en va après la crise".

Extrait de l'interview

Au cours de la genèse de mon livre, j'ai analysé des cas où j'ai interrogé des personnes qui avaient été impliquées dans une cyberattaque d'entreprise majeure. J'ai identifié quatre catégories d'individus susceptibles de devenir des héros. Je rappelle qu'être un héros n'est pas forcément une position enviable. Je vais maintenant évoquer le parcours de ces personnes en soulignant les effets sur leur vie personnelle et professionnelle.

Le directeur

Souvent oubliés, les directeurs font pourtant partie des postes les plus touchés par les cyberattaques. En effet, ils ne peuvent se soustraire à leurs responsabilités : c'est à eux qu'il revient d'allouer le budget, de définir les priorités et de créer la culture d'entreprise. De plus, les récentes directives et réglementations européennes, telles que NIS2 et DORA, rappellent avec insistance aux directeurs les fondamentaux déjà décrits dans la norme ISO 27 001. Le rôle de la direction est crucial en matière de cybersécurité. Ils ne peuvent plus se cacher derrière l'excuse "c'est un problème informatique".

J'ai observé deux attitudes diamétralement opposées

Un héros. L'un d'entre eux était un directeur qui était non seulement personnellement impliqué dans la gestion de la crise, mais qui se sentait également émotionnellement engagé et solidaire de ses équipes. Cette personne est comme le capitaine d'un navire prêt à sombrer avec son navire, avec pour seule préoccupation le bien-être de son équipage et la survie de l'entreprise. Contrairement au second profil, il ne cherche pas à se justifier ou à se protéger. Par conséquent, cet individu ressentira des effets personnels pendant la crise, notamment du stress, de l'anxiété et un sentiment de culpabilité. Malheureusement, il aura probablement du mal à accepter, à tort ou à raison, l'impact de la cyberattaque. En conséquence, il démissionnera une fois que tout sera rentré dans l'ordre. Il partira avec le sentiment d'avoir été abusé. Ces événements le marqueront pour le reste de sa carrière

Ce n'est PAS un héros. En revanche, il y a un directeur qui sait qu'il est partiellement ou totalement responsable des mauvais choix qu'il fait. Il s'efforcera avant tout de se protéger des conséquences, tant pour son travail que pour sa carrière. Pendant la crise, il tentera de justifier ses décisions passées. Malheureusement, ce type d'individu restera au bureau même après la crise. Vous les identifierez facilement, car ils réécriront l'histoire à grande échelle.

Le responsable informatique

Un Héros. Celui-ci endurera la douleur, car il en sera entre le marteau et l’enclume. D'après les cas étudiés, sa principale préoccupation est de pouvoir prendre la place qui lui revient. S'il se met en mode gestion de crise, il tombera probablement dans le piège que la communication de crise est presque toujours destructrice. Il fera également partie de l'équipe de secours, mais il sera plus ou moins impliqué dans les décisions stratégiques. Dans certains cas, la direction risque de l'écarter et de le considérer comme un simple exécutant. C'est contradictoire, car c'est lui qui peut le plus contribuer à la prise de décision. Après la crise, les sentiments seront très partagés. D'une part, le sentiment de ne pas avoir été considéré à sa juste valeur, et le fait qu'il soit dans la gestion et ne reçoive pas les mêmes félicitations que les techniciens. Et, d'autre part, qu'on lui a laissé le sale boulot. Il en résulte très souvent une grande frustration, qui conduit à la démission ou à l'épuisement professionnel. C'est dommageable pour la société, car il serait très utile pour la phase d'après-crise et de reconstruction.

Le RSSI

Un Héros. Celui-ci va souffrir. Parce qu'il va être à la fois le marteau et l'enclume. D'après les cas étudiés, sa principale préoccupation va être sa capacité à prendre la place qui lui revient. S'il se met en mode gestion de crise, il tombera probablement dans le piège que la communication de crise est presque toujours destructrice. Il fera également partie de l'équipe de secours, mais il sera plus ou moins impliqué dans les décisions stratégiques. Dans certains cas, la direction risque de l'écarter et de le considérer comme un simple exécutant. C'est contradictoire, car c'est lui qui peut apporter le plus en termes de prise de décision. Il en résultera des sentiments très contradictoires après la crise. D'une part, l'impression de ne pas avoir été considéré à sa juste valeur, le fait qu'il soit dans la gestion et qu'il ne reçoive pas les mêmes félicitations que les techniciens. Et, d'autre part, qu'on lui a laissé le sale boulot. Il en résulte très souvent une grande frustration, qui conduit à la démission ou à l'épuisement professionnel. C'est dommageable pour la société, car il serait très utile pour la phase d'après-crise et de reconstruction.

L'ingénieur informatique ou l'ingénieur en sécurité

Un Héros. Nous pensons immédiatement à lui comme à un héros. Il travaillera jour et nuit, 24 heures sur 24. Il oubliera sa vie de famille. Il ne pourra pas tout leur dire, ce qui aura des effets néfastes. Juste après le choc, il participera au sauvetage de la société. Cependant, il sera confronté à une grande déception, surtout si la gestion de la crise n'est pas correctement coordonnée. Il devra faire face à de lourdes conséquences en raison des changements soudains de direction et des changements constants. En outre, il subira le double effet kiss cool du sauveur présumé responsable (et coupable). Son engagement inébranlable augmentera, mais il sera également perçu comme un coupable possible.

Le consultant externe examinera également leurs compétences techniques. Il lui sera facile d'identifier ce qui n'a pas été fait correctement avant la crise. J'ai observé chez ces personnes que le stress et l'anxiété causés par la crise se transforment souvent en une sorte de traumatisme. Les conséquences sont un épuisement professionnel, des cauchemars récurrents et parfois des problèmes de santé physique. Plus de la moitié des personnes interrogées ont été victimes d'un épuisement professionnel ou ont quitté leur emploi dans les six mois qui ont suivi la crise.

Restez à l'écoute pour le prochain épisode.

Et n'oubliez pas : "Considérez la cybersécurité comme une hygiène personnelle - si vous l'ignorez, tôt ou tard, les choses deviendront vraiment désordonnées et commenceront à sentir mauvais !"

Didier

Pour en savoir plus, consultez mon livre : Guide de survie aux cyberattaques en entreprise et à leurs conséquences psychologiques. Que fait-on des héros ?