Au fil des différents témoignages puissants et émouvants, des prises de parole, de Tables Rondes, l’audience a pu quelque peu mesurer l’ampleur des blessures invisibles des cyberattaques.

Pour rappel :

Le GIP ACYMA Cybermalveillance.gouv.fr est le dispositif national d’assistance aux victimes de cybermalveillance et de sensibilisation des publics aux risques numériques, depuis sa création en 2017.
*Dernière campagne de sensibilisation très remarquée et efficace sur le réseau social LinkedIn : #SaintValentin, Chouchoutez votre Cyber autant que votre partenaire, et sortez couvert, vous serez protégés.

Aéma Groupe est né en janvier 2021 de l’ambition partagée entre la Macif et Aésio Mutuelle de créer le premier Groupe mutualiste de protection Français, avant d’acquérir Abeille Assurances (ex. Aviva France) et de créer Ofi Invest pour placer le Groupe en acteur majeur de l’investissement socialement responsable en France.

La Fédération France Victimes a été créée en 1986 par la volonté de Robert Badinter, pour donner suite à la publication du rapport Milliez qu’il a commandé. Sa mission est de promouvoir et développer l’aide et l’accompagnement des victimes, et toute mesure contribuant à améliorer leur reconnaissance.

Le Colloque :

Le message de l’invitation avait été particulièrement attrayant.
CYBERATTAQUES : PROTEGER ET PREVENIR LES BLESSURES INVISIBLES ?
Les cyberattaques ne sont pas seulement des défis technologiques, elles laissent également des séquelles profondes sur le bien-être psychologique des individus et des professionnels. En réponse à cette problématique croissante qui va de pair avec la numérisation de notre société, cet évènement explorera les effets psychologiques des cyberattaques, à travers deux séquences.

Cécile Desjardins, Journaliste, rédactrice en chef adjointe de l’Opinion, a eu l’honneur de modérer les Tables Rondes, et d’œuvrer pour les différentes prises de parole, tout au long de cet évènement, dont la question centrale était d’envisager des possibilités pour accompagner les victimes sur le plan psychologique.

En ouverture du Colloque, Patrick Brothier, Vice-Président d’Aéma Groupe a affirmé « les dégâts économiques et sociétaux des cyberattaques sont de mieux en mieux connus et appréhendés. Les conséquences sur les personnes doivent l’être tout autant. Ainsi, face au risque d’anxiété, de dépression, voire de stress post traumatique, nous devons bâtir des réponses collectives pour faire connaître et prévenir les blessures invisibles dont on parle encore trop peu ».

Ensuite, des messages clés de Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr, lors d’une discussion avec Cécile Desjardins.

« Il était fondamental de traiter cette problématique des aspects psychologiques largement sous-estimés.
LA HONTE DOIT CHANGER DE CAMP.
On peut tous être victimes avec les modes opératoires que les escrocs peuvent mettre en place. »

L’évènement a continué avec deux séquences.

Séquence 1

Cyberattaques et particuliers : au-delà de la technique, de la perte de données et du coût financier, le choc psychologique.
Avec Elise Bouncer, Psychologue référente de la Fédération France Victimes, Constance Rivals, Adjointe à la cheffe de la plateforme téléphonique d’aides aux victimes de France Victimes, Laurent Verdier, Directeur sensibilisation de Cybermalveillance.gouv.fr, et Olivier Beaudet-Labrecque, Professeur, Responsable de l’Institut de lutte contre la criminalité économique de Neuchâtel en Suisse.

Elise Bouncer a souligné que les cyberattaques et cybermalveillance ont l’aspect particulier de se passer dans une sphère intime, contrairement par exemple à une attaque dans la rue où il est plus facile d’identifier la personne victime et de la secourir ou de faire intervenir la Police. Il est donc nécessaire de commencer par déculpabiliser la personne qui fait état d’une cyberattaque dont elle est seule témoin, notamment en lui posant des questions empathiques pour lui permettre de décrire ce qui lui est arrivé.
Ceci était aussi en réaction à ce qu’évoquait Constance Rivals, sur le fait que certaines personnes qui appellent pour évoquer l’arnaque en cours, ont du mal à se considérer comme victimes au départ de leurs récits, parfois à cause des liens émotionnels établis avec les manipulateurs.

Olivier Beaudet-Labrecque a donné l’exemple d’un changement systémique qui permet de mieux aider les victimes. Depuis la fin 2024, au Royaume-Uni, l’obligation formelle aux Banques de rembourser les victimes de cybercriminalité, sans aucune discussion, même si le cas de négligence grave est encore en discussion. Avec la pression du Royaume-Uni aux pays de G7, le Canada vient d’adopter un texte de loi similaire. Cette obligation peut être une aide au processus de guérison de la victime.
Il évoque aussi le processus de Justice restaurative, et laisse Elise Bouncer préciser cette idée qui permet de créer un espace sécurisé de dialogue entre une personne victime et une personne auteur, ayant vécu une même infraction, mais pas forcément dans la même situation. Cela aide à la réhabilitation ou à la réinsertion sociales.

Laurent Verdier a rappelé des statistiques du rapport de l’Agence Nationale de la Cohésion des Territoires (ANCT) : plus de 16 millions de personnes en décrochage ou rupture avec le numérique, et sont des victimes potentiellement plus faciles des cyberattaques. L’ANCT (membre depuis 2022) et Cybermalveillance.gouv.fr, ont conçu une mallette pédagogique pour aider les conseillers ou médiateurs numériques, qui accompagnent et rendent autonomes les citoyennes et citoyens qui sont en décrochage numérique.

Séquence 2

Les impacts et conséquences psychologiques d’une cyberattaque sur les organisations : entreprises, collectivités et services publics.
Échange sur la perception du risque cyber par les entreprises, avec une enquête de Cybermalveillance.gouv.fr par Franck Gicquel, Directeur des partenariats.
Également dans le panel de la Table Ronde, Odile Duthil, Directrice cybersécurité du Groupe Caisse des Dépôts, Jérôme Poggi, Responsable de la Sécurité des Systèmes d’Information de la Ville de Marseille, et Philippe Messika, Directeur d’un Cabinet d’expertise comptable.

Pour commencer, une vidéo a été diffusée, pour rappeler aux TPE et PME de se protéger face aux cyberattaques, en découvrant 5 conseils simples et efficaces sur Cybermalveillance.gouv.fr/antoine

Ensuite, Laurence Breton-Kueny, DRH Groupe AFNOR, a suggéré « soyons solidaires pour réussir ». Son témoignage a porté sur l’importante crise cyber que l’AFNOR a connue en février 2021. Une sévère cyberattaque le 18 février, veille de son départ en vacances, avec la décision du Directeur Général, de faire arrêter l’ensemble du Système d’Information, et de passer sur le système de sauvegarde mis en place par le Plan de Continuité d’Activité.
Le système de paiement a été bloqué pendant environ trois mois.
Les partenaires sociaux ont été solidaires.
La société cyber d’accompagnement a été solidaire, notamment en nettoyant les ordinateurs portables infectés.
Les personnes salariées ont été solidaires.
L’ordinateur souche qui avait été touché en premier était connu, les cinq personnes dont la DRH, qui connaissaient le nom de la personne concernée n’ont jamais révélé cette information, afin de rester solidaires et de protéger cette personne de l’organisation qui avait ouvert une pièce jointe source de la cyberattaque, avec un vers informatique qui est remonté jusqu’au cœur du réseau.
L’AFNOR a fait une fiche de spécifications téléchargeable gratuitement sur son site, à propos de comment sortir d’une cyberattaque.
Plus on se prépare en amont, mieux cela se passera.
Nous faisons des tests de Phishing régulièrement.
Il faut développer la résilience, et un stage avec Boris Cyrulnik a aidé à mieux appréhender cette notion.
Il faut être solidaires en dénonçant les sms frauduleux reçus, en portant plainte.

Franck Gicquel nous a parlé de l’étude avec OpinionWay, orientée TPE et PME.
Des résultats encourageants, avec notamment 6 sur 10 des TPE et PME qui considèrent nécessaire de mobiliser toute l’entreprise sur le sujet cyber, même si les enjeux sont encore largement sous-estimés, et la méconnaissance des impacts, notamment psychologiques ou financiers, est réelle.
L’étude a également constaté un grand défaut de compétences cyber en interne.
Il arrive aussi que leurs prestataires ne soient pas compétents.
Il est à noter que le label expert cyber de Cybermalveiallance.gouv.fr est une aide dont il faut se servir. Cela permet de choisir les partenaires compétents sur le site internet.
Parler du maillon faible entre la chaise et le clavier est une catastrophe, car l’humain doit être le moyen de sécuriser, et non pas être pointé du doigt.

Jérôme Poggi, nous a parlé de la cyberattaque subie par la Mairie de Marseille, le 14 mars 2020, la veille des élections municipales.
Il a accepté de nous livrer un témoignage poignant et saisissant sur un aspect personnel, des conséquences psychologiques graves (stress, nervosité, agressivité, culpabilité etc.) ayant notamment entraîné une mise en arrêt de travail.
La préparation régulière, les exercices de crise prévues et non prévues (par exemple, le Vendredi soir à 16h ou Samedi matin à 7h), la communication interne et externe, sont des mesures à suivre.
Accepter que les cyberattaques puissent nous atteindre, échanger régulièrement avec les autres collectivités, pour progresser ensemble.
Partager les indices de compromission.

Odile Duthil, a souligné qu’il est assez rare d’entendre parler du stress dans la profession des Responsables, Directrices et Directeurs Cyber. Une étude du CESIN (Club des Experts de la Sécurité du Numérique) a été réalisée, et permet de prendre la mesure de la réalité. Elle a été faite en 2022 et en 2024, et s’appelle Cyber Stress.
Une bonne nouvelle, entre 2022 et 2024, le niveau de stress, dans la profession, a diminué, notamment parce que dans les grands groupes, le risque cyber est mieux connu et mieux appréhendé. Les budgets y sont plus confortables, et ce permet notamment de réaliser souvent des campagnes de Phishing.
Cependant, la dernière étude montre que 50% des Responsables cyber restent stressés et 25% très stressés.
Il faut se préparer, effectuer souvent des exercices de crise.
Ne pas négliger la communication interne et externe, en préparant des éléments de langage.

Philippe Messika, a rappelé qu’en tant qu’Expert-Comptable, il avait vécu deux cyberattaques. Et il a aussi tenu à dire qu’il était là aussi pour représenter ses clients très petites entreprises.
En 2024, 6000 Experts Comptables se sont retrouvés à l’arrêt à cause d’une cyberattaque, avec derrière, l’équivalent d’environ 50 000 entreprises, et un problème de responsabilités par rapport aux informations extrêmement sensibles (des éléments bancaires, personnels, des mots de passe, etc.)
Cela a été très violent, avec un stress absolu.
Heureusement que le PRA (Plan de Reprise d’Activité) mis en place a fonctionné les deux fois.
Nous n’avons jamais payé la rançon, car cela peut être le début d’une spirale qui n’en finit pas. Même si nous savons que certaines Compagnies d’Assurance permettent de payer la rançon.
Il est nécessaire d’utiliser les conseils et la liste des prestataires de Cybermalvaillance.gouv.fr

Avant la conclusion, la Présentation du 17Cyber (lancé le 17 décembre 2024), par Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr
C’est un dispositif à l’initiative du Président de la République, après une visite dans un Commissariat de Police en janvier 2022, qui a eu l’idée de la création de l’équivalent numérique du 17, numéro de téléphone de la Police.
Le collectif qui s’occupe de la réponse à incidents s’est organisé pour mettre en place ce 17Cyber. Ministère de l’Intérieur (Police Nationale et Gendarmerie Nationale) et Cybermalveillance.gouv.fr avec l’aide de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) au départ. C’est une plateforme numérique qui accueille les victimes, qualifie la menace, et prodigue des conseils, en proposant notamment une mise en relation avec des prestataires de proximité. La grande nouveauté est cette possibilité d’échanger avec un policier ou un gendarme. Il y a aussi l’aide au dépôt de plainte. Les policiers et les gendarmes peuvent rappeler les victimes, en jouant ainsi le rôle humain nécessaire. 17Cyber.gouv.fr

En conclusion, Jérôme Bertin, Directeur Général de France Victimes, regrette que le monde cyber qui était prometteur et exceptionnellement vecteur d’émancipation, ait maintenant un côté noir et infractionnel, aboutissant à ce qu’il y ait des victimes. Avant des blessures invisibles, il y a d’abord eu des victimes invisibles. Nous n’en sommes qu’au début d’identification des victimes, notamment parce que beaucoup ne font pas appel, ne se manifestent pas, et ne font pas état de leurs traumatismes par rapport aux impacts produits par les cyberattaques subies.
Notre crédo est d’accompagner toutes les victimes traumatisées, via une compétence juridique car la Justice avance, et il faut dénoncer.
Le déferlement de haine envers la femme victime de l’arnaque Brad Pitt a été détestable. La société se doit de soutenir les victimes et non pas de les accabler ou de les blâmer, car toute personne est vulnérable face à ces cyberattaques.
Nous utilisons aussi deux autres piliers pour aider les victimes, le volet psychologique et social.
Nous préconisons notamment la mise en place d’une ordonnance immédiate de rétablissement d’usurpation d’identité, opposable à tout le monde, en cas d’une cyberattaque subie.
Nous œuvrons pour aider à la résilience pour les victimes. Elles ont avant tout besoin de reconnaissance de leur statut de victime, ensuite de récit et de restauration.

Un temps d’échanges à la fin, autour d’un cocktail, a permis de nous remettre de nos émotions.