Et si les collaborateurs n’étaient pas les véritables maillons faibles de la cybersécurité de l’entreprise ? S’il fallait plutôt regarder du côté… de ses dirigeants ? « Ils ont accès à des informations confidentielles, sont mandataires et sont ainsi des cibles privilégiées », rappelle l’étude Dirigeants et hauts-cadres : cibles n°1 des cybercriminels de la start-up Anozr Way, publiée au printemps. Les pirates ne s’y trompent pas. Selon le rapport Data Breach Investigations Report de Verizon, les membres de Comex et Codir sont 12 fois plus ciblés par des cyberattaques que les autres collaborateurs.
La cybersécurité des dirigeants : un périmètre difficile à circonscrire
Et pour cause : les dirigeants constituent des cibles faciles. « Les sites d’informations légales sur les entreprises donnent accès à des données sensibles des dirigeants (date, ville de naissance, signature sur des documents légaux…) », rappelle l’étude. Autant de données auxquelles les pirates ont aisément – et légalement – accès.
Les données issues des fuites ou des vols qui enrichissent les bases disponibles sur le dark web viennent ensuite compléter ces premières informations. Les dirigeants peuvent ainsi voir leurs informations sensibles être diffusées en ligne « même sans avoir eux-mêmes une vie numérique ».
Les dirigeants sont aussi mis en porte-à-faux par ceux qu’ils soupçonnent le moins, à savoir leurs proches. 60% des dirigeants ont leur cercle familial et amical facilement identifiable sur Internet, note l’étude d’Anozr Way. Or « l’entourage, inconscient des risques, partage aussi souvent des contenus sensibles tels que des photos permettant d’identifier la famille ou le lieu de résidence. »
Des dirigeants négligents
Pas question pour autant que les dirigeants rejettent la faute sur les autres. C’est aussi leur propre négligence qui en font des proies faciles. Par exemple en paramétrant mal la confidentialité de certains profils de réseaux sociaux. 2 dirigeants sur 3 ont ainsi un compte personnel ouvert publiquement. Sans parler de profils obsolètes ou inutilisés, qui constituent autant de vulnérabilités à exploiter par les hackers.
À éviter, également : divulguer publiquement des informations qui semblent anodines mais se révèlent utiles aux hackers. « En cette période de vacances estivales, propices aux cyberattaques, il faut éviter de poster des messages sur les dates de fermeture de l’entreprise ou de géolocaliser ses publications sur ses réseaux sociaux, liste Laurent Sarralangue, directeur du renseignement du cabinet spécialisé Semkel. Ces données servent d’appui aux malfaiteurs. »
Surtout, la porosité des usages entre vie personnelle et vie professionnelle met grandement en danger la cybersécurité des dirigeants. Et donc de leur entreprise. « Ils utilisent massivement leur adresse e-mail professionnelle pour créer des accès à tous leurs comptes, qu’ils relèvent de la sphère professionnelle comme personnelle », relève l’étude d’Anozr Way. Quand on sait que 50% des dirigeants ont déjà vu l’un de leurs mots de passe fuiter sur le dark web et qu’ils sont 80% à utiliser le même mot de passe pour 4 à 5 comptes différents, on mesure l’ampleur du risque.
Déstabilisation ou phishing ultra-ciblé
Ce risque se concrétise d’ailleurs sous différentes formes. Les dirigeants peuvent être victimes de tentatives de déstabilisation, avec une atteinte à leur réputation personnelle ou à celle de leur entreprise. À ce titre, les pirates peuvent les prendre directement pour cible ou viser un proche. « L’entourage professionnel ou personnel est à la fois une source d’informations et une cible intermédiaire pour s’en prendre au dirigeant », rappelle Anozr Way.
Les informations glanées en ligne peuvent aussi servir à contextualiser et personnaliser des campagnes de hameçonnage. Les hackers utilisent ainsi des centres d’intérêt repérés en ligne pour « attirer l’attention » du dirigeant. Ou des données liées à son lieu de résidence pour légitimer une demande urgente. Ils trouvent là toutes les clés pour un phishing redoutablement efficace.
Gare à l’usurpation d’identité
Enfin, le risque le plus important pour leur entreprise réside dans l’usurpation d’identité. S’exprimer au nom du dirigeant, créer une société à des fins de blanchiment, piéger un collaborateur… L’incarnation du dirigeant de façon réaliste ouvre de nombreuses perspectives aux cybercriminels. Et facilite grandement certaines arnaques bien connues, comme la fraude au président.
Bien sûr, le risque zéro n’existe pas. Mais il est possible de le circonscrire considérablement grâce à quelques bons réflexes, à commencer par la séparation drastique des activités professionnelles et personnelles. « Une surveillance continue des activités des comptes des hauts dirigeants pour détecter toute activité suspecte ou tentative d’intrusion doit être mise en place, liste également Laurent Sarralangue. Elle peut même être élargie avec un cybermonitoring et un darkmonitoring, c’est-à-dire une surveillance élargie du périmètre, hors système d’information. » Afin que le cordonnier ne soit plus le plus mal chaussé ! L’enjeu est de taille puisque de la cybersécurité des dirigeants dépend celle de leur entreprise.