L’entreprise rennaise ANOZR WAY a dressé un état des lieux de l’exposition cyber qui flotte au-dessus des dirigeants et hauts cadres d’entreprise en France. Selon l’étude, 70% d’entre eux ont une exposition cyber à haut risque. Elle s’explique notamment par la présence intensive des proches et de données privées des potentielles victimes sur les réseaux sociaux. Décryptage.
Dirigeant, un statut qui vaut de l’or pour les cybercriminels
Dirigeants, membres de COMEX (comité exécutif) ou de CODIR (comité de direction) sont-ils des cibles de choix pour les cybercriminels ? La réponse est oui, selon une étude d’ANOZR WAY. La start-up rennaise œuvrant pour la diminution du risque cyber d’origine humaine chiffre à 70% le nombre de VIP d’entreprises exposés à une haute menace cyber.
Détenteurs de bon nombre de données sensibles de par leur statut, ils sont une cible de choix pour les cybercriminels afin de mettre en péril la réputation et l’image d’une organisation, ainsi que la confiance des clients, partenaires et collaborateurs. Être la faille à l’origine de l’attaque d’une entreprise renforcerait ce climat de défiance.
ANOZR WAY s’est appuyée sur des cas réels et anonymisés de 100 membres COMEX et CODIR de PME, ETI et grands groupes français de tous secteurs d’activité dont l’exposition cyber a été diagnostiquée.
Réseaux sociaux, sphère privée et dark web : terreau fertile aux attaques
C’est bien connu, sur Internet on trouve tout. Dans sa partie émergée, tout un chacun peut facilement trouver les informations légales d’une entreprise. À celles-ci s’ajoutent les données laissées, délibérément ou non, sur des réseaux sociaux ouverts, comme des photos de leurs proches, de leur(s) logement(s). 66% des dirigeants disposent d’un compte sur un réseau social ouvert publiquement à cause d’un mauvais paramétrage de la confidentialité. 52% d’entre eux ont des photos personnelles exposées publiquement sur leurs réseaux sociaux. Enfin, 60% des dirigeants ont leurs relations familiales et amicales facilement reconnaissables sur internet. Ces dernières représentent un filon privilégié des hackers pour récupérer des informations sur les passions et centres d’intérêt des victimes pour matérialiser des campagnes de phishing réalistes.
Grâce aux millions de fuites de données qui surviennent chaque jour, le dark web constitue le second vivier d’informations sensibles auxquelles les cybercriminels peuvent avoir accès. Entre adresses e-mail, numéro de sécurité sociale, de carte bancaire, adresse postale ou numéro de téléphone, c’est une véritable caverne d’Ali Baba qui s’ouvre à eux. L’étude révèle ainsi que 50% des dirigeants ont au moins un mot de passe disponible dans la partie immergée d’Internet.
Couplés, ces deux réservoirs composent la phase de reconnaissance de chaîne de frappe cyber (cyber kill chain), sur laquelle se basent les attaquants pour mettre en œuvre des scénarios d’attaque. 52% des cadres dirigeants ont leur numéro de téléphone portable disponible sur Internet, dark web compris. S’appuyant sur une autre étude menée par Verizon Data Breach Investigations Report, ANOZR WAY informe que plus de 80% des failles de cybersécurité trouvent leur origine dans l’utilisation de mots de passe compromis.
Le mail pro pour le pro, le perso pour le perso
Deux comportements alarmants sont soulignés par l’enquête. D’abord l’utilisation de mots de passe beaucoup trop simplistes et faciles à usurper. 80% des dirigeants utiliseraient un mot de passe faible sur 4 à 5 comptes différents. Environ 25% auraient la fâcheuse manie d’utiliser leur date d’anniversaire dans son mot de passe. Enfin, la part de hauts responsables utilisant le même mot de passe pendant des années est aussi de 25%.
Ensuite, second facteur inquiétant : l’utilisation simultanée des mêmes mots de passe dans les sphères professionnelles et privées. Enfin, les dirigeants auraient tendance à utiliser leur adresse électronique professionnelle pour se créer des accès à diverses plateformes. Un cadeau pour les hackers black hats qui n’ont qu’à débusquer un seul mot de passe pour s’en donner à cœur joie dans leurs attaques.
Les principales menaces
Dix cyber menaces sont recensées dans l’étude d’ANOZR WAY :
- Fraude par ingénierie sociale,
- Phishing ciblé,
- Usurpation d’identité,
- Création de faux profils de réseaux sociaux,
- Prose de contrôle de comptes et d’accès, notamment la boîte mail,
- Prise de contrôle de téléphone portable par SIM swapping,
- Contournement de l’authentification multifacteur,
- Fraude et arnaque financière,
- Vol et divulgation de données personnelles (doxxing),
- Intrusion à domicile ou atteintes physiques
Parmi ces attaques, l’étude révèle que 50% de VIP sont confrontés à un risque d’usurpation d’identité. Les desseins sont ensuite divers et variés. Ils peuvent aller de la simple création d’un compte sur un réseau social afin de s’exprimer au nom du dirigeant, jusqu’à la création d’une société dans le but de blanchir de l’argent, en passant par la création d’une boîte mail réaliste afin de piéger un collaborateur. Dans ce dernier cas, on parle de fraude au président. Les employés sont alors bernés dans le but de divulguer des informations confidentielles ou effectuer un virement.
Les conseils pour se prémunir
L’étude se conclut par une succession de bonnes pratiques, entre protection de ses données et de sa vie privée :
- Utiliser plusieurs adresses e-mail pour des usages différents
- Supprimer les comptes inutilisés ou obsolètes
- Adopter un coffre-fort numérique répertoriant tous ses mots de passe, uniques et différents pour chaque site, afin de renforcer son hygiène numérique
- Vérifier la force de ses paramètres de confidentialité sur ses réseaux sociaux
- Sensibiliser ses proches pour que les informations publiées restent privées
- Veiller aux informations publiées sur soi, l’entreprise et ses proches
- Faire des demandes de suppression d’informations en ligne*
- Annoter systématiquement les documents d’identité envoyés avec l’usage et la date
- Séparer les usages personnels et professionnels des mails et téléphones
- Instaurer l’authentification multifacteurs dès que possible
*La CNIL propose des modèles de courriers et d’e-mails