ANOZR WAY, startup française éditrice de logiciel spécialiste de la protection des dirigeants et collaborateurs face aux risques cyber, dévoile une analyse de l’exposition cyber réelle des hauts cadres et dirigeants d’entreprises français (membres de COMEX-CODIR, tous secteurs confondus, PME, ETI et Grands Groupes). Les constats principaux de l’étude :
- La sphère personnelle des dirigeants est un vecteur critique de cyberattaques : les hackers les ciblent directement ou s’en prennent à leur cercle de confiance (famille, amis, proches collaborateurs…) pour les atteindre eux et leur entreprise
- 7 dirigeants sur 10 ont une exposition cyber à haut risque mais qui pourrait être réduite de 68 % s’ils identifiaient et maîtrisaient leurs données personnelles exposées sur Internet – données exposées sur les réseaux sociaux ou déjà fuitées sur le darkweb qui alimentent les hackers.
Un cumul et croisement d’informations dangereux
La sphère personnelle des dirigeants est particulièrement exploitée par les hackers pour atteindre leur entreprise. Plus facile d’accès, moins bien protégée, elle sort du périmètre de protection habituel de l’entreprise et offre aux hackers toute la matière pour mener des scénarios d’attaques personnalisés, donc crédibles. Selon l’étude ANOZR WAY issue de cas réels :
- 1 dirigeant sur 2 est à haut risque d’usurpation d’identité au regard de ses données exposées.
- 70 % des décideurs font face à un risque élevé de phishing ciblé – messages piégés contextualisés en se faisant couramment passer pour un proche.
- 66 % des dirigeants ont des réseaux sociaux personnels ouverts publiquement. Les références aux centres d’intérêts et loisirs font partie des tactiques des hackers pour rendre leurs pièges attractifs. Jean P.* DRH d’une grande entreprise dans le secteur de la finance, fan de tennis, qui partage des photos et informations sur ses réseaux sociaux et dont les posts sont relayés par ses proches, est régulièrement visé par des attaques de phishing ciblé dans son entreprise. A la clé pour les hackers, grâce au cumul des informations disponibles sur les réseaux sociaux et aux fuites de données régulières dans le darkweb : toutes ses adresses emails, la liste de ses proches, ses centres d’intérêt et donc la possibilité de lui envoyer des emails contextualisés (ex. : invitation à un match), en usurpant l’identité d’une personne de sa sphère privée. Comme il existe une porosité des usages par les dirigeants entre vie personnelle et professionnelle, Jean P. ne se méfie pas de recevoir des mails liés à ses centres d’intérêts sur son adresse professionnelle. Des phishing ciblés à des fins d’arnaque financière, vol d’informations, déclenchement d’un malware contre son entreprise, en exploitant sa vie personnelle.
La porosité des usages entre vie personnelle et vie professionnelle par les dirigeants est amplificateur de risques. - Pour 60 % des dirigeants, leurs cercles familial et amical sont facilement identifiables sur le web. L’exposition de la vie privée est souvent l’angle mort des dirigeants et les hackers misent sur l’émotionnel pour lancer des attaques particulièrement efficaces. Jacques M*., directeur financier d’un grand groupe industriel a ainsi pu être une cible d’attaques à cause de l’unique photo affichée sur son compte Facebook, likée par une seule personne, sa conjointe. Les hackers l’ont ensuite identifiée et trouvé aisément sur son compte Facebook : les photos de leurs enfants, les établissements où ils sont scolarisés et leur adresse personnelle. De nombreuses informations qui permettent de faire pression et chantage auprès du dirigeant.
- La menace dépasse même le cadre du virtuel : pour 72 % des dirigeants, l’adresse de leur domicile ou résidence secondaire est affichée sur le web, les exposant à des intrusions ou atteintes physiques.
“ ‘Je suis peu actif sur les réseaux sociaux, je ne crains rien’, est une phrase souvent prononcée par les dirigeants”, explique Alban Ondrejeck, cofondateur et CTO d’ANOZR WAY. “Pourtant, une unique photo affichée sur son compte Facebook et ‘likée’ par son conjoint suffit pour vous atteindre. De quoi appuyer là où ça fait mal, permettant aussi aux hackers de se faire passer pour un membre de la famille de façon crédible. Pour 66 % des dirigeants que nous accompagnons, leurs réseaux sociaux et ceux de leurs proches révélaient des informations qui mettaient sérieusement à mal leur sécurité avant de mettre en place les bons correctifs.”
Les hackers n’ont aussi aucune difficulté à basculer de la sphère personnelle à professionnelle, surtout quand les usages quotidiens des dirigeants le permettent :
- 1 dirigeant sur 2 a au moins un mot de passe fuité sur le darkweb.
- 80 % des dirigeants utilisent un seul et même mot de passe pour au moins 4 à 5 comptes différents, qu’ils soient professionnels ou personnels. Utiliser un même mot de passe, souvent faible, pour accéder au système informatique de son entreprise et ses comptes de réseaux sociaux ou e-commerces par exemple, alors que ces derniers se retrouvent facilement sur le darkweb, met en danger son entreprise. Surtout quand l’adresse email professionnelle est utilisée pour tout.
- 52 % des dirigeants ont leur numéro de téléphone portable personnel exposé sur le web ou fuité dans le darkweb, offrant un contact direct et facilitant – grâce au cumul avec d’autres données récoltées – la prise de contrôle d’un portable pour contourner la double authentification par SMS et accéder aux comptes personnels et professionnels, les dirigeants utilisant au quotidien leur téléphone mobile personnel pour le travail.
Toutes ces données exposées sur le web, auxquelles viennent s’ajouter les millions de données piratées et volées qui circulent chaque jour sur le darkweb, nourrissent les hackers. Par leur cumul et leur croisement, les cybercriminels reconstituent facilement toute l’empreinte numérique d’une personne et élaborent des attaques efficaces. Plus un hacker dispose d’informations sur sa cible, plus l’attaque sera personnalisée, crédible et aura des conséquences importantes pour l’entreprise : perte de données, de productivité, chute de valorisation boursière, perte de confiance des partenaires et clients. Et surtout pour le dirigeant, la responsabilité d’avoir été la brèche pour que son entreprise soit piratée. Si les très grandes entreprises parviennent généralement à se relever, au détriment de la réputation et la carrière du décideur pris pour cible, 1 PME sur 2 fait faillite dans les 18 mois suivants une cyberattaque.
La réduction de la surface d’attaque personnelle des dirigeants est possible
Changer régulièrement de mot de passe, utiliser un mot de passe unique pour chaque compte, être vigilant et vérifier l’expéditeur avant de cliquer sur un lien reçu par message, séparer ses usages personnels et professionnels, sont les premiers gestes à effectuer, mais généralement insuffisants. Une détection en temps réel et maîtrise de ses données exposées sur toutes les strates d’internet, sont aujourd’hui incontournables pour les dirigeants afin de devenir une cible plus complexe pour les hackers et ainsi prévenir les attaques. ANOZR WAY a calculé qu’en moyenne, les dirigeants peuvent réduire leurs risques cyber de 68 %.
Méthodologie de l’étude :
Etude menée par le pôle analyse d’ANOZR WAY sur des cas réels anonymisés de 100 membres de COMEX / CODIR de PME, ETI et Grands Groupes français* de tous secteurs d’activité dont l’exposition cyber a été diagnostiquée. Cette analyse a consisté à identifier les données professionnelles et personnelles des dirigeants exposées publiquement sur les différentes strates du web et darkweb. Puis, à évaluer l’exposition réelle des dirigeants aux risques de cyberattaques en fonction des scénarios de menaces pratiqués actuellement par les cybercriminels (phishing ciblé, usurpation d’identité et de comptes, vol de données, compromissions, arnaques etc.) au regard des données détectées. Enfin, un taux de remédiation (correction) a été calculé basé, sur la maîtrise possible desdites données exposées et la réduction des risques associés.
Cette étude est réalisée par des experts en cybercriminalité d’ANOZR WAY issus de services régaliens (services de renseignement français, cellules de lutte contre la cybercriminalité de la gendarmerie).
*Pour préserver leur anonymat, les noms, prénoms et entreprises des personnes ont été modifiés.