Secu
Cyberattaque de Marseille : six mois d’enfer et un traumatisme toujours aussi présent !
Par Thierry Derouet, publié le 21 février 2025
Les chiffres sont implacables : en 2024, les cyberattaques ont explosé en France, impactant des milliers d’entreprises et de collectivités. Mais au-delà des dégâts financiers, une autre conséquence reste sous-estimée : le traumatisme vécu par les responsables IT et leurs équipes. Jérôme Poggi, RSSI de la ville de Marseille, témoigne de la cyberattaque qui a paralysé la ville en 2020.
Marseille, mars 2020. Le téléphone de Jérôme Poggi sonne à 7 h 31. D’habitude, à cette heure matinale, c’est une urgence classique. Mais cette fois, la voix à l’autre bout du fil est différente, tendue : « On n’a plus de système d’information. »
D’abord, l’incrédulité. Une panne électrique ? Une erreur humaine ? Mais à 10 h 31, plus de doute possible. Jérôme Poggi tape un message sur la messagerie interne : « Compromission confirmée. » En une seconde, le monde bascule. 1300 serveurs à terre, 400 applications hors service, l’état civil paralysé, des milliers d’agents sans outils de travail. Marseille vient d’être frappée par une cyberattaque massive, à la veille du premier tour des élections municipales.
Ce jour-là, Jérôme Poggi est entré dans un tunnel dont il ne ressortira pas avant six mois. Privé de sommeil, absorbé par la reconstruction du système d’information, il devient un zombie agressif. Comme lui, des dizaines de RSSI en France traversent des crises qui laissent des traces bien au-delà du numérique. Pourtant, qui se soucie du traumatisme de ceux qui éteignent les incendies cyber ? C’est ce que Jérôme Poggi est venu rappeler lors de la table ronde organisée par Cybermalveillance.gouv.fr. Un chaos auquel s’ajoute une gestion de crise harassante. « Pendant six mois, j’étais un zombie agressif, complètement absorbé par la reconstruction du SI. Aucun accompagnement psychologique. Juste du stress et de l’épuisement. »
50 % des responsables cyber encore soumis à un stress permanent
Un témoignage (voir ci-dessous la totalité de l’intervention) qui fait écho aux réalités vécues par de nombreux RSSI et responsables IT. Une étude menée par le CESIN en 2024 révèle que 50 % des responsables cyber sont encore soumis à un stress permanent, et un quart d’entre eux à un stress intense. « Nous sommes comme des gardiens de but qui attendent le penalty », illustre Odile Duthil, Directrice cybersécurité du groupe Caisse des Dépôts. Elle note une légère amélioration pour les RSSI récemment arrivés en poste, mieux formés à la gestion du stress, mais la pression demeure. « On est en première ligne, en permanence sous tension. Et pourtant, ce n’est pas un sujet que les entreprises adressent réellement. »
Le tabou du stress et du traumatisme post-cyberattaque doit tomber. « Un chef d’entreprise victime d’un ransomware a décidé de fermer son entreprise et de ne plus jamais travailler avec des salariés », rapporte Franck Gicquel, de Cybermalveillance.gouv.fr. Un exemple parmi d’autres qui illustre la violence psychologique que peut générer une cyberattaque. « La sidération est un vrai problème, et elle doit durer trois secondes, pas trois semaines », insiste Odile Duthil, qui milite pour la mise en place systématique d’exercices de gestion de crise, impliquant les directions métiers. « Il faut entraîner les équipes à basculer immédiatement en mode gestion de crise, comme on le fait pour les incendies ou les crises sanitaires. Ça évite l’effet tunnel et l’effondrement. »
On ne sait pas comment gérer l’après-cyberattaque
Mais la prévention ne suffit pas. Que se passe-t-il après une attaque ? « Moi, j’attends toujours un accompagnement psychologique », lance Jérôme Poggi. Le retour à la normale n’existe pas vraiment. « Même cinq ans après, dès qu’un incident survient, le palpitant monte, la mémoire traumatique revient », confie-t-il. « On a eu des burn-out, des collègues devenus agressifs… Moi, j’ai été un zombie, puis un zombie agressif. »
Odile Duthil partage ce constat : « Les entreprises ont des référents risques psychosociaux, mais dans la réalité, on ne sait pas comment gérer l’après-cyberattaque. La formation sur l’accompagnement post-crise est inexistante. » Une prise en charge psychologique des équipes IT, des dirigeants et des collaborateurs exposés à l’impact d’une cyberattaque devrait être une norme, au même titre que la reconstruction des systèmes d’information.
Anticiper, sensibiliser et accompagner : trois leviers encore sous-exploités. Les entreprises commencent à renforcer leur préparation technique, mais la dimension humaine reste un angle mort. La création d’un réseau d’entraide entre RSSI, la diffusion des bonnes pratiques et l’intégration des risques psychosociaux dans les plans de continuité d’activité sont autant de pistes à explorer. « On doit partager nos expériences, nos échecs, nos solutions. Parce que la prochaine attaque n’est pas une question de si, mais de quand », conclut Jérôme Poggi.
À LIRE AUSSI :
Récit d’une cyberattaque : Jérôme Poggi, Responsable de la Sécurité des Systèmes d’Information de la Ville de Marseille témoigne
“Le 14 mars à 7 h 31, j’ai reçu un premier appel. Ce sont des horaires et des dates qu’on n’oublie pas. À ce moment-là, nous étions la veille du premier tour des élections municipales de 2020. Pour une collectivité, c’est déjà une période de stress intense, mais ce coup de fil a fait monter la tension d’un cran supplémentaire. « On n’a plus de système d’information », m’a-t-on annoncé.
Au début, on se dit que c’est un problème électrique, une panne passagère. Mais très vite, à 10 h 31 précises, j’ai dû écrire un message terrible sur notre messagerie : « Compromission confirmée ».
C’est un moment terrible pour un RSSI. C’est là qu’on prend conscience que, malgré toutes les mesures prises auparavant, tout tombe en une fraction de seconde. Nous étions officiellement une victime. La réaction initiale est un mélange de dénis et d’incrédulité. « Ce n’est pas possible, on a tout fait correctement. » Mais l’évidence s’impose : si, c’est bien une attaque.
Une gestion de crise intense
Il a fallu organiser la riposte et enclencher la cellule de crise. Nous étions quinze experts en interne, appuyés par un prestataire de cinq personnes travaillant en 24/24 pendant trois semaines. En tout, il nous a fallu trois mois pour restaurer l’essentiel du système, et six mois pour récupérer 90 % de notre SI.
La ville de Marseille, c’est 400 applications, 1300 serveurs, et 400 sites physiques. Pendant le confinement, il fallait récupérer et rallumer les postes un par un.
Le désastre était total : plus aucun système ne fonctionnait. Plus d’état civil. Plus d’actes de naissance. Plus de déclarations de décès. Or, chaque jour, nous devions envoyer à l’INSEE les données des naissances et décès. Pendant plusieurs jours, Marseille est devenue une « zone blanche » : aucune naissance, aucun décès enregistré. Et c’est là que les théories du complot ont commencé à fleurir.
Certaines personnes ont imaginé que le professeur Raoult, à Marseille, « soignait tellement bien » qu’il n’y avait plus de morts. D’autres ont cru que l’équipe municipale avait organisé une fausse cyberattaque pour se maintenir en place plus longtemps.
Des impacts humains et psychologiques profonds
Cette attaque a eu des répercussions immenses sur nous tous. J’ai mis six mois à m’en remettre. J’étais devenu un zombie. Mon quotidien, c’était : lever, café, ordinateur, repas rapide, ordinateur, coucher tard. 7 jours sur 7. J’étais épuisé, irritable, agressif. Ma femme m’a vu changer.
Nous avons eu des cas de burn-out parmi les équipes. Certains agents étaient en état de sidération. D’autres ont dû gérer des situations ubuesques, comme ce cimetière immense qui ne pouvait plus retrouver l’emplacement des concessions funéraires. Imaginez les familles, en plein Covid, auxquelles on disait : « On ne sait pas où est la tombe de votre proche. »
Les leçons tirées
Depuis, nous avons tout revu. Nous faisons des exercices de crise réguliers. Y compris des tests surprises un vendredi à 16 h ou un samedi à 7 h. Car les cybercriminels ne prennent pas de week-end.
Nous avons mis en place un réseau de partage avec d’autres collectivités. En cas d’attaque, nous échangeons immédiatement les indices de compromission.
Enfin, nous avons dû réapprendre à nous protéger, mais aussi à nous reconstruire psychologiquement. Car une cyberattaque, ce n’est pas juste une affaire technique. C’est un traumatisme humain profond.”
