En effet, ils savent exploiter toutes les opportunités pour lancer et mener à bien leurs attaques. Ils profitent notamment de l'identité et des actions des cadres dirigeants pour s'introduire dans le réseau d’une entreprise et se déplacer latéralement afin d'atteindre leurs objectifs. Alors que les équipes informatiques et de sécurité gardent un œil sur l'ensemble de l'infrastructure informatique, les dirigeants peuvent jouer un rôle majeur dans la sécurité de leur lieu de travail, simplement en donnant l'exemple d'un comportement responsable et en encourageant une communication ouverte.
Les cadres supérieurs ciblés par les cyberattaques
Les cybercriminels ont depuis longtemps compris l'intérêt des escroqueries utilisant l'identité de personnalités de haut rang. Par exemple, il y a quelques années, l’adresse électronique du nouveau PDG d'une entreprise internationale a été usurpée et il a été demandé à un membre de l'équipe financière de transférer des fonds sur un compte. La nature de la demande n'était pas suspecte et les cybercriminels avaient fait en sorte de la rendre assez légitime pour que le destinataire s'exécute.En effet, les comptes des cadres supérieurs sont des cibles attrayantes pour des attaques de ce type, car les communications envoyées en leur nom sont rarement ignorées. Les employés sont susceptibles d'ouvrir les courriels qu'ils croient provenir de leurs responsables et se sentent obligés de suivre leurs instructions. Ils auront la volonté d'être utiles, performants et réactifs, ce que les criminels exploitent en donnant une apparence d'urgence aux courriels de phishing.
Dans de telles circonstances, même des employés bien intentionnés peuvent prendre des initiatives sans consulter leur supérieur ou un responsable en général. Cela peut se produire lorsqu'ils doivent agir rapidement, suivant leur instinct et leur formation. Certains destinataires peuvent même ne pas penser à contester la demande. Par exemple, un technicien du service d'assistance informatique qui reçoit un courriel du dirigeant lui demandant les droits d'administrateur pour installer une application peut simplement s'exécuter sans tenir compte du risque.
Un devoir de dialogue et de sensibilisation
Pour commencer à lutter contre cette menace sérieuse, les dirigeants devraient rappeler régulièrement à chacun que toutes les communications suspectes et les actions inhabituelles doivent faire l'objet d'une enquête, quel que soit le compte d'où elles semblent provenir. En insistant sur le fait qu'il n'est pas seulement acceptable, mais impératif de vérifier les demandes avant de s'y conformer, ils peuvent prévenir la pression ressentie par les employés pour agir rapidement sur les requêtes de leur hiérarchie.Tous les responsables doivent maintenir des discussions régulières avec le RSSI concernant la cybersécurité afin de rester informés. Ils veillent également à ce que le sujet demeure une priorité dans toutes les discussions ultérieures, non seulement celles directement liées à la sécurité, mais aussi dans toutes les conversations ayant des implications en termes de cybersécurité.
Des formations à la cybersécurité à tous les niveaux en entreprise
En outre, il est essentiel que les cadres supérieurs démontrent un engagement personnel envers l'apprentissage et l'application des meilleures pratiques en matière de cybersécurité. Ils devraient commencer par participer activement à des sessions de formation sur la cybersécurité, à la fois pour accroître leurs connaissances et pour servir de modèle à toute l'organisation. En cas de test simulé de phishing réussi à leur encontre, ils doivent reconnaître la situation et suivre volontairement une formation corrective, agissant ainsi comme tout autre membre de l'équipe.Les responsables doivent également soutenir leurs équipes informatiques dans la mise en œuvre de la sécurité pour toute la direction. Cela commence par des mesures de sécurité de base, telles que l'authentification multifactorielle (MFA) pour tous les comptes de dirigeants.
Plus généralement, ils devraient insister sur l'application stricte du principe du moindre privilège pour leurs propres comptes. Cette approche devrait inclure des audits réguliers et approfondis des accès à privilèges des cadres supérieurs. Par exemple, un dirigeant ayant accès à la base de code du produit. Ce cas de figure est souvent le résultat de l'histoire de l'organisation, qui, à ses débuts, était une start-up où chaque employé assumait plusieurs responsabilités. À cette époque, il n'était pas rare que le dirigeant intervienne directement sur le code. À présent, il est impératif qu'il renonce volontairement à cet accès, étant donné qu'il n'est plus requis et qu'il ne constitue qu'un risque pour la sécurité.
Les avantages commerciaux d'une approche proactive en cybersécurité
La cybersécurité est une responsabilité partagée par tous les membres de l'organisation. Toutefois, les cadres dirigeants étant une cible particulièrement attrayante et précieuse pour les cybercriminels, ils ont un rôle particulier à jouer dans le renforcement des cyberdéfenses.Ainsi, en choisissant de montrer l'exemple par leurs paroles et leurs actions, les cadres dirigeants peuvent en tirer des avantages significatifs. Les organisations bien défendues sont plus à même de repousser les tentatives d’attaques. Elles réduisent ainsi le risque de temps d'arrêt coûteux, de dépenses financières, d'atteinte à la réputation et de sanctions pour non-respect des règles. Les dirigeants rendent alors un grand service à leur organisation en agissant pour améliorer la culture de la cybersécurité et en soutenant les équipes informatiques dans l'application des meilleures pratiques pour tous.
Par Ilia Sotnikov, Security Strategist et VP of User Experience chez Netwrix