Pour travailler sereinement, travaillons discrètement ! Telle pourrait être la version cyberespionnage de l’expression bien connue depuis une fable du XVIIIe siècle : « Pour vivre heureux, vivons cachés ».
Menée par ANOZR WAY, startup française éditrice de logiciel spécialisé dans la protection des dirigeants et collaborateurs face aux risques cyber, une analyse de cas réels anonymisés de 100 membres de COMEX/CODIR de PME, ETI et Grands Groupes français montre leur vulnérabilité.
Tous secteurs confondus, les principaux constats de l’étude sont les suivants :
- La sphère personnelle des dirigeants est un vecteur critique de cyberattaques : les cybercriminels les ciblent directement ou s’en prennent à leur cercle de confiance (famille, amis, proches collaborateurs…) pour les atteindre eux et leur entreprise
- 7 dirigeants sur 10 ont une exposition cyber à haut risque, mais qui pourrait être réduite de 68 % s’ils identifiaient et maîtrisaient leurs données personnelles exposées sur Internet - données exposées sur les réseaux sociaux ou déjà fuité sur le darkweb qui alimentent les hackers.
Angle mort
La sphère personnelle des dirigeants est particulièrement exploitée par les pirates pour atteindre leur entreprise. Plus facile d’accès, moins bien protégée, elle sort du périmètre de protection habituel de l’entreprise et offre aux cybercriminels toute la matière pour mener des scénarios d’attaques personnalisés, donc crédibles.Selon l’étude ANOZR WAY issue de cas réels :
- 1 dirigeant sur 2 est à haut risque d’usurpation d’identité au regard de ses données exposées.
- 70 % des décideurs font face à un risque élevé de phishing ciblé, ces messages piégés contextualisés en se faisant couramment passer pour un proche.
- 66 % des dirigeants ont des réseaux sociaux personnels ouverts publiquement. Les références aux centres d’intérêts et loisirs font partie des tactiques des pirates pour rendre leurs pièges attractifs.
- Pour 60 % des dirigeants, leurs cercles familiaux et amicaux sont facilement identifiables sur le web. L’exposition de la vie privée est souvent l’angle mort des dirigeants et les hackers misent sur l’émotionnel pour lancer des attaques particulièrement efficaces.
Domicile et téléphone personnel
80 % des dirigeants utilisent un seul et même mot de passe pour au moins 4 à 5 comptes différents, qu’ils soient professionnels ou personnels. Autre vulnérabilité, la moitié de ses responsables a un numéro de téléphone portable personnel exposé sur le web ou fuité dans le darkweb.Or, la prise de contrôle d’un portable pour contourner la double authentification par SMS et accéder aux comptes personnels et professionnels, les dirigeants utilisant au quotidien leur téléphone mobile personnel pour le travail.
Enfin, la menace dépasse même le cadre du virtuel : pour 72 % des dirigeants, l’adresse de leur domicile ou résidence secondaire est affichée sur le web, les exposant à des intrusions ou atteintes physiques.