Les dirigeants d'entreprise sont des cibles privilégiées des cyber assaillants. Et cette menace s'étend désormais à leur domicile et à leur famille. Ce sont les principales conclusions d'une étude réalisée par BlackCloak, éditeur spécialisé dans la protection de ces profils, et l'institut de recherche Ponemon Institute. Selon cette analyse, 42% des organisations ont vu au moins un de leur dirigeant ou un membre de sa famille être la cible d'une attaque de ce type au cours des 24 derniers mois.
Les cyberattaques les plus fréquentes concernent le doxing (divulgation d'informations personnelles), cité par 57% des répondants, les infections par des malwares sur des terminaux personnels ou familiaux (56%), la compromission d'emails personnels (42%) ou encore le vol d'identités numériques (34%).
Les réseaux personnels insuffisamment sécurisés
Ces attaques conduisent au vol de données financières (47% des cas), à la perte de partenaires commerciaux (45%) ou encore à l'exfiltration de documents renfermant de la propriété intellectuelle (36%). Dans plus d'un tiers des cas, les pirates atteignent ces cadres par l'intermédiaire de réseaux domestiques mal sécurisés utilisés dans le cadre du travail à distance. Pour mettre en place des attaques sophistiquées contre les cadres supérieurs et les membres des conseils d'administration, les assaillants exploitent les failles de ces réseaux moins bien protégés, à une époque où le travail hybride est devenu la norme.
« Alors qu'il est probable que les cybercriminels s'attaquent aux actifs et à la vie numériques des cadres, les organisations ne réagissent pas suffisamment en mettant en place les stratégies, le budget et le personnel adéquats », observe le rapport. 58 % des organisations déclarent que la prévention des cybermenaces contre les cadres n'est pas prise en compte dans leurs stratégies et budgets de sécurité. En outre, seuls 38 % des répondants affirment avoir mis en place une équipe dédiée à la prévention et/ou à la réponse aux cyberattaques ou aux atteintes à la vie privée contre les cadres dirigeants et leur famille.
Pour les RSSI, les dirigeants ne sont pas prêts
L'étude, basée sur les réponses de plus de 550 responsables IT ou cyber, montre également le faible niveau de confiance que ces derniers accordent au niveau de préparation des dirigeants. Un répondant sur cinq explique ainsi que les membres de la direction et ceux du conseil d'administration sont susceptibles de s'envoyer mutuellement des informations sensibles via leurs courriels personnels. Seuls 16% des RSSI se disent ainsi confiants dans le fait que la messagerie personnelle et les comptes de réseaux sociaux de leur PDG ou des principaux cadres de leur organisation sont bien protégés par une authentification multi-facteur. Tout comme ils ont des doutes sur la capacité de ces cadres à repérer à coup sûr un email de phishing, ou à configurer leur réseau domestique de manière sécurisée.
Les cybercriminels traquent l'intimité des dirigeants d'entreprise
Afin d'accéder à des données confidentielles des entreprises, les cyber délinquants ciblent désormais les réseaux et comptes privés des dirigeants ou de leur famille. Un périmètre souvent mal protégé.