Citation
Les auteurs
Jeanne Le Roy
- European Business SchoolOlivier Meier
(olivier.meier@iutsf.org) - UPEC
Copyright
Déclaration d'intérêts
Financements
Aperçu
Contenu
L’impact social d’une cybert-attaque
Selon la dernière étude conduite par Tessian avec le soutien de l’Université de Stanford (2022) nous observons que le simple comportement d’erreur de destinataire dans l’envoi d’un courrier électronique a entrainé la perte d’emploi chez 21% des salariés interrogés. De même, un tiers (29 %) des répondants ont déclaré que leur entreprise avait perdu un client à la suite de l’envoi d’un courriel à la mauvaise personne. Ces statistiques mettent en avant que les comportements à risques cyber qu’ils soient ou non intentionnels ont un impact sur l’ensemble des parties prenantes de l’organisation. Les impacts sociaux d’une cyber-attaque peuvent également être évalués par les interruptions de service qu’elles provoquent. Selon la nature de la violation elle-même, ces interruptions peuvent être étendues ou localisées mais elles sont néanmoins réelles et coûteuses pour les personnes concernées. De manière encore plus généralisée, certaines attaques peuvent s’étendre à l’ensemble des parties prenantes d’une organisations (filiales, clients…). (a) un changement négatif dans la façon dont le public perçoit l’organisation, dans la réputation établie d’une organisation (b) dégradation de la relation avec les clients, avec les fournisseurs (c) Réduction des opportunités commerciales (d) incapacité à recruter le personnel souhaité (e) perte de personnel clé (f) perte ou suspension de l’accréditation ou des certifications temporairement ou définitivement, (g) un changement négatif dans la façon dont la société considère généralement l’organisation (h) perturbation des activités de la vie quotidienne (i) un impact négatif sur le fonctionnement d’une nation (y compris ses services, etc.)… L’attaque de l’entreprise Solarwinds reste à ce jour l’exemple le plus manifeste, en impactant des organisations telles que le Pentagone, Microsoft ou encore Cisco. Elle montre l’ampleur des cyber-attaques dans les conflits géopolitiques et surtout la vulnérabilité des superpuissances nationales, même les mieux dotées. Le piratage Sunburst met également en lumière le caractère insidieux et caché de ces cyber-attaques qui peuvent sommeiller pendant deux semaines, bien cachées par les protections développées par les hackers (favorisant ainsi le déploiement du malware sur le réseau de la victime).
L’impact psychologique d’une cyber-attaque
Les victimes de fraude financière déclarent que l’impact psychologique est plus grave que l’impact financier, quel que soit le type de fraude (Modic et Anderson, 2015). Selon l’identité des attaquants et des victimes, les effets psychologiques des cyber menaces peuvent même rivaliser avec ceux du terrorisme traditionnel. Ainsi, l’examen de la littérature dévoile une palette très large des états psychologique dans lesquels peuvent être plongé les salariés : (a) confusion (b) inconfort (c) frustration (d) inquiétude ou anxiété (e) colère (f) dépression (g) embarrât (h) honte (i) culpabilité (j) perte de confiance en soi (k) faible satisfaction…. (Ferguson-Walter, Major, Johnson et Muhleman, 2021). Par exemple, l’impact du vol d’identité sur une victime peut conduire la personne à être en détresse et à se sentir violée, trahie, vulnérable, en colère et impuissante. La victime peut entrer dans des phases de deuil, souffrir de colère ou de rage. Dans certains cas, les victimes peuvent même se blâmer et développer un sentiment de honte (Woods, Agrafiotis, Nurse et al., 2017). Pour prévenir l’impact psychologique des cyber-attaques il est nécessaire de comprendre les mécanismes cognitifs en jeu lorsqu’un salarié est victime d’une cyber-attaque. A titre d’exemple, nous nous proposons ici d’explorer les mécanismes explicatifs de la peur. Dans la littérature sur la psychologie de la peur, Stekel (1930) fait valoir que la peur est en partie héréditaire, un héritage des siècles, qui a laissé ses traces dans notre cerveau. En conséquence, l’efficacité perçue consiste en l’opinion de l’individu sur la gravité de la menace, tandis que la vulnérabilité perçue consiste en l’attitude de la personne sur ses chances d’y faire face. La théorie de l’auto-efficacité (Bandura,1986) présuppose que la perception de l’inefficacité à gérer les événements possibles crée à la fois des attentes de peur et un comportement d’évitement. Les personnes qui se jugent efficaces dans la gestion des menaces potentielles, peuvent ne pas ressentir de peur et ne pas éviter les menaces. Au contraire, si les personnes se jugent inefficaces dans la gestion des menaces potentielles, elles réagissent avec stress et ne veulent pas avoir de contact avec elles, donc les évitent. Par exemple, à l’occasion d’un incident cybernétique tel qu’une escroquerie par hameçonnage, les individus peuvent estimer qu’ils n’ont pas les compétences ou les connaissances nécessaires pour éviter un tel incident, et donc éviter d’agir ou de prendre des mesures de protection. Ce mécanisme cognitif vient appuyer la nécessité d’investir dans la sensibilisation des risques cyber der d’implémenter une culture des risques cyber qui viendrait renforcer les sentiments d’efficacité des salariés.
L’attaque de ransomware de WannaCry
WannaCry est un ver informatique responsable de l’une des cyberattaques les plus dévastatrices de l’histoire récente. En réfléchissant à l’impact social de l’attaque, WannaCry a infecté plus de 200 000 victimes dans au moins 150 pays. Il s’agissait de membres du public, mais aussi d’organisations de santé, de constructeurs automobiles, d’entreprises de télécommunications, de services de livraison et du secteur de l’éducation. En raison de la nature de l’attaque, les perturbations qu’elle a causées au niveau social ont été assez importantes. Les organisations ont fermé leurs portes (les gens ont été renvoyés chez eux), la production s’est arrêtée (ce qui a entraîné des retards de production) et de nombreuses entreprises ne savaient pas comment rétablir au mieux les services. Dans l’ensemble, les gens ont ressenti une perte de contrôle, car la menace était très répandue et la seule option de récupération – en supposant qu’aucune sauvegarde récente n’ait été effectuée – était de payer la rançon. Au total, ces perturbations ont entraîné des coûts économiques estimés à 8 milliards de dollars dans le monde (Barlyn, 2017). Sur le plan psychologique, en affectant le service de santé national brtitanique, beaucoup ont également pris conscience que les cyberattaques pouvaient désormais entraîner la perte de vies humaines.
L’attaque par déni de service (DoS) duLloyds Banking Group
En janvier 2017, le groupe bancaire Lloyds et d’autres banques du Royaume-Uni ont été victimes d’une attaque par déni de service (DoS) qui a persisté pendant deux jours. Le DoS décrit une attaque au cours de laquelle les systèmes sont bombardés de données ou de demandes illégitimes, et deviennent donc incapables de répondre aux demandes légitimes (par exemple, pour une page web ou l’accès à un service) en temps voulu. Au niveau social et sociétal au sens large, l’attaque a touché des millions de clients de la banque. Selon les rapports, les auteurs ont tenté de bloquer l’accès aux 20 millions de comptes britanniques de la banque (Collinson, 2017). Il en a résulté un impact sur les particuliers et les entreprises, notamment sur leur capacité à se connecter aux systèmes en ligne. Ainsi, certains clients n’auraient pas pu consulter leurs soldes, effectuer des paiements (par exemple, pour le loyer et les factures) et effectuer des virements bancaires (par exemple, pour les transactions ponctuelles nécessaires). Un autre facteur pertinent ici était que ce type d’attaque DDoS visant le secteur bancaire s’était déjà produit dans le passé. Si l’on analyse l’impact psychologique de l’attaque DDoS de Lloyds, on constate que les clients ont été bouleversés et frustrés – il s’agit donc principalement d’une réaction émotionnelle. Comme le rapporte la BBC, un client a exprimé : » Je n’ai pas été en mesure d’accéder au site ou à l’application depuis plus de 36 heures maintenant – est-ce que quelque chose est fait à ce sujet ? » (Peachey, 2017). Cette plainte fait partie d’une série de plaintes formulées sur les médias sociaux à propos de ce problème permanent. Nous voyons ici l’une des principales utilisations des médias sociaux (par exemple, Twitter, Facebook et les plateformes de blogs) aujourd’hui – c’est-à-dire, permettre aux membres du public d’atteindre directement les entreprises (en particulier pour les plaintes) et de faire entendre leur voix publiquement.
Conclusion
Chaque partie prenante peut percevoir ou ressentir le préjudice différemment, et les conséquences des cyber-attaques doivent être évaluées en fonction de leurs points de vue, ce qui entraine l’existence de différentes « lentilles » pour examiner les cyber dommages. Nous nous sommes concentrés sur les impacts sociaux et psychologiques des attaques, car ils sont souvent négligés dans la recherche et la pratique. Il s’agit pourtant de facteurs cruciaux que les organisations doivent prendre en compte pour structurer de manière optimale leurs contrôles de cybersécurité pour minimiser les préjudices. Cela est d’autant plus pertinent que des technologies telles que l’IoT et l’intelligence artificielle (IA) arrivent à maturité et sont largement déployées, et que les organisations cherchent à gérer les risques, que ce soit par des méthodes internes ou par des investissements dans la cyber assurance. Notre examen de la littérature suggère que la majorité des cyber-attaques réussies exploitent des vulnérabilités bien connues et l’inertie des organisations à fournir des politiques de cybersécurité appropriées en raison de la mauvaise perception des risques qui peuvent émerger. Il est donc essentiel que les membres du conseil d’administration obtiennent une estimation précise des dommages directs et indirects causés par les cyber-attaques avant de reconsidérer le paysage des menaces auxquelles leur organisation est confrontée. Nous pensons qu’une taxonomie des préjudices intégrant à la fois les dommages économiques, sociaux et psychologiques serait un premier pas décisif dans cette direction.
Bibliographie
Bandura, A. (1986). Fearful expectations and avoidant actions as coeffects of perceived self-inefficacy.
Barlyn, S. (2017). Global cyber attack could spur $53 billion in losses – Lloyd’s of London. Reuters. Repéré à https://uk.reuters.com/article/uk- cyber-lloyds-report/global-cyber-attack-could-spur-53-billion-in-losses-lloyds-of- london-idUKKBN1A20AH
Collinson, P. (2017). Lloyds bank accounts targeted in huge cybercrime attack. The Guardian. Repéré à https://www.theguardian.com/business/2017/jan/23/lloyds-bank-accounts-targeted- cybercrime-attack
Ferguson-Walter, K. J., Major, M. M., Johnson, C. K., & Muhleman, D. H. (2021). Examining the efficacy of decoy-based and psychological cyber deception. In 30th USENIX Security Symposium (USENIX Security 21) (pp. 1127-1144).
Modic, D., & Anderson, R. (2015). It’s all over but the crying: The emotional and financial impact of internet fraud. IEEE Security & Privacy, 13(5), 99-103.
Peachey, K. (2017). Lloyds online banking problems enter second day. BBC News. Repéré à https://www.bbc.co.uk/news/business-38594058
Stekel, W. (1930). Les états dangoisse nerveux et Leur traitement. In Les états dangoisse nerveux et Leur traitement (pp. 703-703).
Woods D, Agrafiotis I, Nurse JR, et al. (2017). Mapping the coverage of security
controls in cyber insurance proposal forms. JISA, 8.
il ne peut pas avoir d'altmétriques.)