Pourquoi les dirigeants d’entreprise ne sont-ils pas plus vigilants sur la facilité d’accès à leurs données personnelles et professionnelles sur le Web ? Trois questions à Adèle Hayel, CMO de la pépite française de la cyber, Anozr Way, spécialiste de la protection des personnes et lauréate du Grand défi cyber en 2023.
Alliancy. Les dirigeants d’entreprise ont-ils une plus grande empreinte numérique que les autres professionnels ?
Adèle Hayel. Nous avons cette année étudié 100 situations, de comités exécutifs ou comités de direction, de la PME jusqu’au CAC40, pour évaluer l’exposition des dirigeants. Chacun d’entre nous a une empreinte numérique, mais effectivement, elle est souvent plus conséquente quand les responsabilités augmentent. Et tous les dirigeants sont concernés, on ne note pas de différence fondamentale dans l’empreinte d’un directeur de grand groupe par rapport à celui d’un patron de PME. Une grande part de cette empreinte vient aujourd’hui des réseaux sociaux, de comptes personnels, mais aussi, et c’est moins pris en compte, des comptes et actions de l’entourage immédiat, familial ou amical par exemple. Par ailleurs, nous confions tous beaucoup de nos données à des entités variées, les dirigeants ne font pas exception. Régulièrement, ces données « fuitent » et finissent par circuler sur le « dark web », même plusieurs années après.
Au total, c’est une masse importante d’informations qui est disponible pour permettre à n’importe quelle personne mal intentionnée de faire de l’ingénierie sociale. Que ce soit pour faire du phishing ciblé ou pour déployer un malware, cette connaissance de sa cible facilite le travail. Dans 70% des cas que nous avons étudiés, il n’y avait qu’à se pencher pour prendre l’info et agir : c’est une situation à haut risque pour des cibles qui, par nature, attirent beaucoup. Ce que l’on note surtout, c’est qu’il existe une porosité très forte entre vie personnelle et vie professionnelle chez les dirigeants. Cela se voit dans leur relation aux mots de passe, utilisés de part et d’autre, par exemple. Mais aussi, on voit que contrairement aux collaborateurs, ils prennent moins le temps de se poser ces questions et qu’il est plus difficile pour les équipes sécurité au sein d’une organisation d’avoir une vision précise de ce qui se passe au niveau des membres de la direction.
Concrètement, à quoi expose le fait de ne pas maîtriser son empreinte numérique aujourd’hui ?
Contrairement à ce que certains pensent encore, il ne s’agit pas seulement d’e-réputation. J’ai étudier ce sujet, y compris en travaillant au sein d’une biotech cotée à Euronext. J’ai pu prendre très vite conscience que l’exposition des dirigeants va beaucoup plus loin : ils sont confrontés à des vols de données, à l’usurpation d’identité, voire à des risques d’atteintes physiques, par exemple quand leur adresse personnelle est identifiée… Actuellement, les modes opératoires des criminels passent beaucoup par l’ingénierie sociale et la manipulation. Les phénomènes d’usurpation d’identité ont explosé outre-Atlantique et on voit clairement que cela s’intensifie maintenant en Europe. Pourquoi ? Parce qu’il est devenu très facile de déployer des pièges qui sont très crédibles et efficaces. Pour 60% des cas que nous avons étudiés, nous avons pu identifier facilement le cercle social ou familial ; à partir de là, il est facile de détourner le compte d’un proche ou de se faire passer pour lui… Les cybercriminels n’ont pas de tabou.
Une réponse que l’on entend souvent, c’est : « Je ne suis pas actif sur les réseaux sociaux, je n’en ai pas le temps ». Mais ce n’est pas une protection ! Nous avons eu le cas d’un directeur financier dans le secteur industriel qui, effectivement, n’avait en tout et pour tout posté qu’une seule photo sur Facebook. Mais à y regarder de plus près, cette photo n’avait été « likée » que par une seule personne, qui s’est avérée être sa conjointe. Et sur son compte à elle, bien plus actif, il y avait en revanche toute la matière dont un criminel pouvait avoir besoin.
Pourtant, les dirigeants ne sont-ils pas déjà sensibilisés depuis plusieurs années aux cyber-risques ?
La sensibilisation a toujours tenu une place importante dans la cybersécurité, avec l’idée qu’il faut expliquer, pour que les personnes deviennent des « sachants ». Malheureusement cela ne suffit pas. Les dirigeants gèrent du risque tous les jours, à tous les niveaux… Alors pourquoi n’anticipent-ils pas mieux celui de leur empreinte numérique ? En fait, ils ne voient souvent que la théorie de la cyber pour leur entreprise, et la prise de conscience personnelle est beaucoup plus lointaine, tant qu’il n’y a pas une imminence de la menace. Dans notre expérience, ils sous-estiment également beaucoup l’impact de la sphère personnelle sur leur quotidien professionnel. Ils tombent de leur chaise quand nous leur montrons leur exposition personnalisée au risque.
Les équipes de sécurité des systèmes d’information ont conscience de ces problématiques, mais c’est un sujet délicat pour elles, car cela peut paraître très intrusif d’aborder concrètement la question avec leur directeur général. En effet, ce qui fonctionne, c’est de faire une démonstration sur un scénario personnalisé, qui pourrait réellement arriver avec les données du dirigeant en question… Ce n’est pas une « théorie de l’attaque » qu’il s’agit d’expliquer : c’est plutôt créer un électrochoc en montrant ce que l’on peut faire avec les données personnelles réellement disponibles. Et en la matière, faire appelle à un tiers de confiance n’est pas de trop.