Dans la tête d’un cyberattaquant : le théâtre de l’illusion, le vol du temps, et le dernier clic

Dans la tête d’un cyberattaquant, il n’y a pas d’abord une faille : il y a une scène. Un faux rôle, une urgence, une autorité, et ce moment où la victime fait « volontairement » ce qu’elle n’aurait jamais fait à froid. Lors d’une table ronde organisée par Cybermalveillance.gouv.fr (avec Aéma Groupe et France Victimes), les intervenants décortiquent la mécanique qui transforme une manipulation en “remise volontaire”.

On croit souvent que « dans la tête d’un cyberattaquant », on va trouver des outils. En réalité, on tombe sur un scénario. L’attaquant n’entre pas par effraction : il installe un décor crédible, distribue les rôles, accélère le tempo… et attend que quelqu’un fasse le geste à sa place. C’est précisément ce qu’a donné à voir la table ronde de l’événement « Cyber : les chemins de la manipulation », organisé le 19 février 2026 à la Maison de la Chimie à Paris, autour d’une idée simple : le cybercrime n’est plus seulement une affaire de systèmes, il touche l’intime, le psychologique, le réel. 

L’attaque n’est pas un piratage, c’est une « remise volontaire »

Laurent Verdier, directeur de la sensibilisation de Cybermalveillance.gouv.fr, commence par un détour qui casse d’emblée le folklore du « hacker génial » : le Code pénal. « La manipulation, c’est quand même le socle incontournable, indéboulonnable de l’escroquerie », dit-il, avant de lire l’article 313-1 « parce que chaque mot a son importance ».

Là, son propos devient un mode d’emploi à rebours : « contrairement au vol » ou à l’extorsion, « l’escroquerie, c’est le monde de l’illusion, de la tromperie, de la fausseté », où l’on « théâtralise » une situation « de manière à réaliser une remise volontaire ». Le terme est décisif : la victime ne se fait pas seulement prendre quelque chose, elle est amenée à donner. « La victime… va effectivement aller dans le sens demandé par les attaquants et donc remettre un secret, un code confidentiel, un document interne… un virement, une somme d’argent. »

L’attaquant vise moins une vulnérabilité informatique qu’un consentement fabriqué. Et il sait exactement quel levier activer : autorité, urgence, surcharge mentale — bref, l’entreprise telle qu’elle fonctionne un lundi matin.

Vendre la Tour Eiffel, puis vendre un mail : même mécanique, autres décors

Pour Laurent, Internet n’a pas inventé la manipulation, il l’a industrialisée. Alors, il cite Victor Lustig, « cet escroc tchèque, qui en 1925 a vendu la Tour Eiffel », à coups de faux rôles et de faux documents. Anecdote amusante, leçon redoutable : ce n’est pas l’outil qui fait la fraude, c’est la cohérence du récit. Plus une histoire est crédible, plus les doutes deviennent un « contretemps » pour la victime, qui est alors tentée de se soumettre.

C’est aussi ce qui rend les attaques modernes si efficaces dans les organisations : elles se glissent dans les procédures, elles imitent les codes, elles jouent la politesse pressée (« c’est urgent »), et elles profitent d’un réflexe sain — résoudre vite un problème — pour en faire une faiblesse.

Ce théâtre-là, on le retrouve dans les crises qui laissent des traces après la remise en route des serveurs : la sidération initiale, l’effet tunnel, l’usure. À Marseille, « On n’a plus de système d’information » n’était pas une punchline, mais le début d’un long couloir. (Cyberattaque de Marseille : six mois d’enfer)

L’urgence comme arme, le dirigeant comme cible

Marwan Mery, président d’ADN Group et négociateur de crise, prend la discussion au moment où l’organisation est déjà enfermée dans le rapport de force. « La négo est structurée par le rapport de force, ce qui nous est très défavorable, notamment dans le cadre de ransomware », explique-t-il. Autrement dit : une fois le décor posé, le tempo ne t’appartient plus.

Marwan décrit sa manière de lire l’adversaire : posture, croyances — « la croyance dicte l’action » — profil, vulnérabilités. Un point compte pour le DSI : « on adapte toujours nos éléments de langage. » L’attaquant aussi. Et il n’adapte pas seulement son script : il adapte sa cible.

Ses deux invariants, eux, relèvent de la gouvernance pure.

D’abord : « toujours séparer le décideur du négociateur. » Marwan dit avoir vu « beaucoup de négo où les décideurs étaient engagés directement » avec « une implication émotionnelle très très forte », d’où « beaucoup d’erreurs ». Et il alerte sur un effet mécanique : « quand le hacker parle directement au dirigeant, généralement, il ne veut plus parler après à l’équipe de négociation, donc on crame l’équipe de négo. » Dans la tête de l’attaquant, obtenir un dirigeant, ce n’est pas un trophée : c’est une manière de casser la chaîne de pilotage.

Ensuite : « le gain perçu prévaut toujours sur le gain réel. » Marwan illustre avec une remise, puis tranche : « en négo, on ne cède jamais sans contrepartie », parce que « l’absence de résistance… ne va faire qu’augmenter le niveau d’exigence de l’autre. » Céder trop vite, c’est enseigner à l’adversaire que l’escalade paie.

Cette dimension psychologique n’est pas abstraite : elle est un quotidien pour les équipes cyber, où le stress entretient la vigilance autant qu’il l’érode. (Le stress des RSSI, une réalité…)

Dans l’industrie, le « dernier clic » peut devenir un boulon

Avec Anne Tricaud chez Airbus, la manipulation prend un relief particulier : elle sort de l’IT pour entrer dans le réel. Airbus, c’est « 150 000 salariés » et « une supply chain comptant près de 18 000 fournisseurs ». « C’est un monde gigantesque. » 

La manipulation des employés, bien sûr : phishing, mais aussi terrain, « à la barrière, à l’entrée d’un site ». La manipulation de l’information : crises réputationnelles, désinformation. Mais le point qui frappe, c’est la manipulation des données au moment où l’industrie numérise ses usines. « On parle de fabrication de produits où on met des gens dedans », dit Anne. D’où sa phrase, très « industrie » : « on ne peut pas se permettre de ne pas être précautionneux sur les données qui vont visser les boulons de nos fuselages. »

Et elle nomme une peur d’intégrité que beaucoup de DSI OT reconnaîtront : « la corruption cohérente. » Le sabotage discret, celui qui ne déclenche pas d’alarme : « au final, ça ne va jamais piper », mais « on va le modifier légèrement », et « par force, le fuselage ne tiendra pas. » Le théâtre, ici, ne se joue plus dans un mail : il se joue dans la donnée qui commande la matière.

Casser le décor : rompre le charme, reprendre le temps

Les contre-mesures, dans cet échange, n’ont rien d’une checklist. Elles ressemblent à une hygiène de décision.

Anne explique qu’il faut « se mettre à la place d’un attaquant » pour segmenter les profils : VIP et C-level à part, finance entraînée au deepfake « avec beaucoup d’humour », et surtout les « compagnons » en production. « On les sensibilise en dix minutes. On n’a pas le choix. » Et elle ancre la prévention dans le réel : des sessions à 5 h ou 6 h du matin, parce que c’est là que se gagne — ou se perd — le réflexe face à l’autorité et à l’urgence.

Laurent, lui, propose une clé simple : la victime est placée dans « le tunnel de l’illusion et de la persuasion ». Le plus dur, c’est « de rompre le charme ». Et ce charme se brise rarement seul : sortir de l’isolement, parler à un tiers, reprendre une seconde de recul.

Marwan le résume dans une formule qui devrait entrer dans les playbooks : « pacifier son rapport au temps. » Dans la tête de l’attaquant, le temps est une arme. Dans celle du défenseur, il redevient une ressource.

Cette logique vaut aussi pour les organisations qui n’ont pas de grandes équipes cyber : plus lucides, mais encore désarmées, les TPE-PME sont précisément vulnérables quand l’urgence du quotidien écrase la préparation. (TPE-PME : plus lucides, encore désarmées)

Au fond, « dans la tête d’un cyberattaquant », l’entreprise idéale n’est pas celle qui n’a pas de firewall. C’est celle qui va trop vite : trop vite pour vérifier, trop vite pour demander une confirmation, trop vite pour laisser la cellule de crise respirer. Et c’est peut-être la leçon la plus opérationnelle de cette table ronde : parfois, la meilleure défense commence par une seconde de retard. Juste assez pour faire tomber le décor.

---