Il est un secret encore bien gardé des entreprises : celui du nombre de fois où elles ont été ciblées par des cyberattaques. Mais il est un secret encore mieux gardé que celui-là : celui du nombre de fois où leurs dirigeants étaient directement dans le viseur des pirates. Et pourtant, le phénomène est aussi important que silencieux, rapporte la société Anozr Way. « Les dirigeants et les membres de comex ou de codir sont douze fois plus ciblés que les autres par les attaques de toutes sortes », alerte Philippe Luc, cofondateur et CEO de cette start-up installée à Rennes, haut lieu de la cybersécurité en France, où se tenait justement cette semaine l'European Cyber Week (ECW 2023), un des grands événements du secteur.Alors que le nombre de cyberattaques contre les organisations publiques et privées explose - au point de leur avoir coûté environ 2 milliards d'euros en 2022 en France, selon une évaluation récente du cabinet Asterès -, ces dommages viennent plus souvent qu'on ne le croit de fuites au plus haut niveau hiérarchique.

Des dirigeants pas assez méfiants

D'après une étude menée par Anozr Way, sept dirigeants sur dix présentent une exposition cyber à haut risque. « Généralement, ils ne sont pas assez méfiants. Ils pensent qu'ils sont protégés car pas très actifs sur les réseaux sociaux ou, au contraire, ils considèrent qu'en tant que personnalités publiques, leur exposition est normale », pointe Philippe Luc, dont l'entreprise travaille surtout pour des grands comptes, dans la finance, l'industrie, l'énergie ou l'assurance. « Les dirigeants - surtout les plus anciens - peuvent être peu sensibilisés aux bonnes pratiques. Et les patrons de PME pensent représenter une entreprise lambda parmi d'autres et ne pas être des cibles intéressantes », confirme Jonathan Gosselin, responsable Europe du Sud de SailPoint, entreprise américaine de solutions de gestion des identités.Mais un simple commentaire sur une photo ou un centre d'intérêt rendu public les rend vulnérables, les pirates ayant vite fait d'exploiter ces informations personnelles, généralement accessibles facilement : d'après Anozr Way (qui s'appuie sur des cas réels anonymisés de 100 membres de comex ou codir d'entreprises de tous secteurs), environ 66 % des dirigeants affichent des réseaux sociaux personnels ouverts publiquement. « On a eu par exemple le cas d'un haut cadre qui postait des publications en lien avec sa passion du tennis. En retour, il a été visé par des mails de phishing sur le thème du tennis », raconte l'entrepreneur Philippe Luc. Il n'est pas rare que les pirates usurpent l'identité d'un proche pour faire passer ces messages piégés : 70 % des décideurs font face à ce risque de phishing ciblé. « Le nerf de la guerre aujourd'hui est de trouver des techniques pour crédibiliser l'attaque le plus possible, et affiner les scénarios d'hameçonnage », explique Jonathan Gosselin. Le mail ou le SMS reçus seront ainsi très difficiles à différencier d'un message authentique.

Un pseudonyme ne suffit pas

Autre cas d'école : celui d'un directeur financier avec une seule photo publiée sur Facebook et « likée » par sa conjointe. Il n'en fallait pas plus pour identifier les noms de tout son cercle proche, dont ses enfants, leurs photos et leur adresse personnelle. « Ce sont des informations hautement sensibles, qui peuvent permettre de faire pression sur le dirigeant ou l'entreprise », relève Adèle Hayel, responsable marketing d'Anozr Way.Très poreuse avec la sphère professionnelle et moins bien protégée, la sphère personnelle représente l'angle mort idéal. « Certaines personnes pensent être bien cachées, par exemple en menant une vie privée sous pseudonyme. Mais ce n'est pas le cas ! » prévient Adèle Hayel. Les pirates parviennent quand même à remonter la piste, notamment grâce aux données qui fuitent régulièrement sur le dark web : environ un dirigeant sur deux a un numéro de téléphone, ou au moins un mot de passe exposé en ligne.Problématique, lorsque l'on sait que 80 % d'entre eux utilisent un seul et même mot de passe pour au moins 4 à 5 comptes différents, professionnels ou personnels. « Aujourd'hui, acheter des bases de données, pour savoir si une entreprise a déjà payé pour un ransomware ou obtenir des mots de passe de dirigeants, est possible pour quelques centaines d'euros sur le dark web », a constaté Thomas Kerjean, CEO de l'entreprise française de cybersécurité Mailinblack.

Droits d'accès

Une fois ces données entre leurs mains, une des pratiques favorites des cybercriminels est celle de la « fraude au président ». La technique - qui coûte chaque année plusieurs milliards aux entreprises, selon des estimations du FBI - consiste à se faire passer pour le dirigeant et à profiter de son statut élevé pour convaincre des employés de lui transférer des fonds. « En France, le ton d'autorité d'un message affiche un taux de succès deux fois supérieur que d'autres registres, quel que soit le profil de la personne visée », a pu vérifier Thomas Kerjean.

Changer régulièrement de mot de passe, bien vérifier l'expéditeur avant de cliquer… Outre ces pratiques élémentaires, les experts conseillent aux personnes haut placées de réduire le plus possible leur empreinte numérique - en limitant leurs infos publiques sur les réseaux sociaux - mais aussi en révisant leurs droits d'accès, comme le pointe Jonathan Gosselin : « Ce n'est pas parce que vous êtes le PDG que vous avez besoin d'avoir accès à tout le système informatique de l'entreprise depuis votre session ! »