Désengagement des consommateurs
Les risques de cybersécurité ont érodé la confiance des consommateurs. Selon
le rapport de Kapersky de 2021 sur les risques liés à la sécurité informatique des consommateurs, 62 % des consommateurs interrogés craignent que leurs activités en ligne soient constamment suivies par les sites web ou les services qu’ils utilisent. Au cours des 12 derniers mois, 12% des consommateurs ont réalisé que leurs données personnelles ont été partagées ou divulguées à leur insu. Selon l’enquête sur l’utilisation abusive des données réalisée par
Ping Identity, 81 % des personnes cesseraient de s’engager avec une marque en ligne à la suite d’une violation de données. Parmi ces dernières, 25 % cesseraient d’interagir avec la marque. De plus, 63 % des personnes confirment qu’une entreprise est toujours responsable de la protection des données des utilisateurs, même lorsque ceux-ci sont victimes d’escroqueries par hameçonnage ou utilisent des connexions Wi-Fi non cryptées.
Détresse psychologique des salariés victimes
Les utilisateurs sont appelés quotidiennement à prendre de nombreuses décisions liées à la sécurité, ce qui peut être une source d’anxiété. Ces comportements se traduisent de différentes manières : (a) ne pas ouvrir un courriel provenant d’un expéditeur qu’ils ne reconnaissent pas ; (b) ne pas accéder à des pièces jointes inconnues ; (c) télécharger et exécuter uniquement des programmes provenant de sources fiables ; (d) utiliser un logiciel antivirus et plusieurs logiciels de sécurité (par exemple, un pare-feu) ; et (e) créer des sauvegardes régulières. Certaines de ces décisions peuvent ainsi provoquer chez l’utilisateur un sentiment d’anxiété dû à un manque de connaissances sur les implications possibles de décisions incorrectes.
De plus, lorsque les salariés sont victimes de cyberattaques, ils peuvent subir un traumatisme émotionnel. Ils peuvent notamment entrer dans des phases de deuil et de souffrance. Par exemple, les victimes de fraude financière déclarent systématiquement que l’impact émotionnel est plus grave que l’impact financier, tout types de fraude confondus. A titre d’exemple, les salariés victimes des « attaques au président » peuvent s’accuser et développer un sentiment de honte.
Des chercheurs, tels que Gross, Canetti Vashdi (2016), vont jusqu’à établir un parallèle avec les répercussions psychologiques du terrorisme traditionnel.
Perturbation généralisée
Les impacts sociaux d’une cyberattaque peuvent également être évalués par les interruptions de service qu’elles provoquent. Selon la nature de la violation elle-même, ces interruptions peuvent être étendues ou localisées mais elles sont néanmoins réelles et coûteuses pour les personnes concernées. De manière encore plus généralisée, certaines attaques peuvent s’étendre à l’ensemble des parties prenantes d’une organisations (filiales, clients…).
L’attaque de l’entreprise Solarwinds reste à ce jour l’exemple le plus manifeste, en impactant des organisations telles que le Pentagone, Microsoft ou encore Cisco. Elle montre l’ampleur des cyber-attaques dans les conflits géopolitiques et surtout la vulnérabilité des superpuissances nationales, même les mieux dotées. Le piratage Sunburst met également en lumière le caractère insidieux et caché de ces cyberattaques qui peuvent sommeiller pendant deux semaines, bien cachées par les protections développées par les hackers (favorisant ainsi le déploiement du malware sur le réseau de la victime).
En conclusion
En conclusion, chaque partie prenante victime de la cyberattaque peut percevoir ou ressentir le préjudice différemment. L’ensemble des coûts associés à une cyberattaque doit être évalué en fonction des différents points de vue, ce qui entraîne l’existence de différentes « lentilles » pour examiner les cyber dommages.
Cette prise de recul est indispensable si les organisations veulent structurer de manière optimale leurs contrôles de cybersécurité, afin de minimiser les préjudices. Cela est d’autant plus pertinent que des technologies telles que l’internet des objets (IoT) et l’intelligence artificielle (IA) arrivent à maturité et se sont largement déployées dans les organisations.
Références
Gross Michael L. , Canetti D., Vashdi Dana R. (2016), « The psychological effects of cyber terrorism », vol. 72 (5), B
ulletin of the Atomics Scientists.
Leroy J., Meier O. (2021), « Transformer la cybersécurité par la durabilité », Article ASAP, Juin.
Note
(1) Article d’Olivier Meier, Professeur des Universités, réalisé en collaboration avec Jeanne Le Roy, enseignante-chercheuse (Observatoire ASAP), spécialisée dans le champ du comportement organisationnel et de la cybersécurité.