Les membres de COMEX et CODIR sont 12 fois plus ciblés par des cyberattaques que les autres collaborateurs (Verizon Data Breach Investigations Report). Puisque les dirigeants sont l’incarnation de l’entreprise, les atteindre impacte aussi bien leur réputation que l’image de l’entreprise. La confiance des clients, partenaires et collaborateurs est alors mise à mal, surtout lorsque les dirigeants sont à l’origine de la brèche.
Or la sphère personnelle des dirigeants est particulièrement exploitée par les hackers pour atteindre leur entreprise : plus facile d’accès, moins bien protégée car elle sort du périmètre de protection habituel de l’entreprise, elle offre aux hackers toute la matière pour mener des scénarios d’attaques personnalisés, donc crédibles et à fort impact.
En analysant la surface d’attaque humaine de 100 COMEX/CODIR de PME, ETI et grands groupes français de tous secteurs d’activité, ANOZR WAY a pu identifier les données professionnelles et personnelles des dirigeants exposées publiquement sur les différentes strates du Web et darkweb. Ainsi, pour 60 %, leurs cercles familial et amical sont facilement identifiables (prénom, nom, coordonnées, photos, localisation des conjoints, enfants, etc.). 72 % des dirigeants ont l’adresse de leur domicile ou de leur résidence secondaire exposée publiquement et, pour 52 %, il s’agit de leur numéro de téléphone portable personnel. “Je suis peu actif sur les réseaux sociaux, je ne crains rien” est une phrase souvent prononcée par les dirigeants. Pourtant, Jacques M., directeur financier d’un grand groupe industriel, a ainsi pu être une cible d’attaques à cause de l’unique photo affichée sur son compte Facebook, “likée” par une seule personne : son épouse. Les hackers l’ont donc identifiée et ont aisément trouvé sur son compte Facebook, l’adresse de leur domicile personnel, ainsi que des informations sur leurs enfants : des photos, les établissements où ils sont scolarisés. De nombreuses informations qui permettent de mener différents scénarios d’attaques ciblés et permettant de faire pression sur le directeur financier au travers de sa famille.
De même, Michelle L., directrice d’un groupe international, a été victime de l’usurpation de son identité et de ses comptes, dont sa boîte mails, car un cybercriminel a pris le contrôle de son numéro de téléphone portable personnel et réinitialisé tous ses accès. Grâce aux données personnelles exposées sur le Web et le dark Web, le cybercriminel a pu usurper son identité auprès de son opérateur téléphonique – en fournissant les informations récoltées plus tôt pour passer la vérification d’identité. Il prétexte la perte du téléphone et sollicite l’envoi d’une nouvelle carte SIM à une autre adresse. Une fois activée, il prend le contrôle de la ligne : il reçoit tous les appels destinés à la directrice, mais aussi les SMS. C’est ce qui lui permet de réinitialiser les mots de passe des différents comptes. Plus généralement, en connaissant l’adresse de sa victime, il est assez simple d’utiliser l’une des techniques d’attaque physique, telles que l’intrusion dans le domicile et la connexion d’une clé USB sur l’ordinateur, ou encore de pirater facilement le réseau wifi du dirigeant qui, évidemment, ne dispose d’aucun outil de détection d’attaque. Plus simple encore, il est possible de voler un courrier, tel que la nouvelle carte SIM qui vient, à la demande du hacker, d’être envoyée au domicile du dirigeant.
Les usages hybrides pro/perso sont des facteurs aggravants de risque (utilisation du téléphone personnel pour le travail, recours à l’email professionnel pour des usages personnels, utilisation des mêmes mots de passe partout, etc.).
L’exposition de la vie privée est encore aujourd’hui une zone aveugle pour les dirigeants eux-mêmes, qui sous-estiment encore les impacts que sa visibilité peut engendrer. Cette sphère personnelle est largement exploitée par les attaquants, qui se nourrissent de toutes les informations qu’ils trouvent sur Internet, des réseaux sociaux jusqu’au darkweb.
Cela rend possible, au-delà des cyberattaques, des atteintes physiques directes. Ainsi, la sécurité de l’entreprise ne se limite pas à ses “frontières” : la protection de la vie privée du dirigeant, de ce qui concerne sa famille et son entourage proche est indispensable. Notre étude montre qu’une réduction de 68 % des risques est possible pour chaque dirigeant par la maîtrise de cette empreinte numérique.