Pourquoi les dirigeants méritent une protection cyber VIP
Les présidents, PDG et autres dirigeants sont des cibles séduisantes pour les cybercriminels. Pour y faire face, certaines entreprises imaginent des protections numériques rapprochées, véritables gardes du corps contre ces menaces de plus en plus fréquentes.
PublicitéDes fanatiques, des États, des terroristes, voire tout simplement des individus mécontents ciblent de plus en plus les dirigeants d'entreprise, les chefs de gouvernement et d'autres personnalités publiques, ainsi que leurs familles, au travers de leurs activités en ligne et de leurs équipements numériques personnels, afin d'entrer dans leurs organisations. En 2023, le cabinet d'étude américain Ponemon a mené une enquête sur le sujet, intitulée « Comprendre les risques graves pour la cybersécurité personnelle et la vie numérique des dirigeants », auprès de 553 professionnels informatiques. 42 % des répondants ont déclaré avoir déjà constaté des attaques cybercriminelles ciblant des dirigeants d'entreprise ou des membres de leur famille. Elles auraient entraîné la perte de propriété intellectuelle (78 % des personnes concernées), de clients et de partenaires commerciaux (66 %), mais aussi de données clients ou relatives aux employés (27 %).
« Le concept de protection numérique de personnalités de premier plan n'est pas nouveau, mais la demande ne cesse d'augmenter », constate Brad LaPorte, consultant pour le cabinet de conseil IT Lionfish Tech Advisors, à l'origine de la création de ce thème de recherche au Gartner en 2019, alors qu'il y était analyste. Dès 2010, il assurait déjà la protection numérique de militaires, d'agents spéciaux des États-Unis et de diplomates de haut rang qui se rendaient dans des ambassades et des points névralgiques dans le monde entier. Mais de plus en plus, il a reçu des demandes de la part de cadres du secteur privé et de leurs entreprises qui recherchaient des protections numériques de niveau VIP, allant au-delà des services traditionnels de surveillance du vol d'identité tels que ceux fournis par des sociétés comme LifeLock à l'époque.
Une protection de l'identité sous stéroïdes
« La protection numérique des cadres, c'est une forme de protection de l'identité sous stéroïdes, avec une approche de détective privé dans l'univers du renseignement sur les menaces qui permet d'identifier et de protéger des cibles de grande valeur, précise Brad LaPorte. « Il s'agit notamment d'identifier les expositions aux risques sur leurs réseaux privés, leurs appareils personnels et leurs comptes en ligne afin de détecter les signes de menaces. »
« Imaginez les réactions si quelqu'un comme Elon Musk tweetait qu'il allait se présenter à l'élection présidentielle, ou si le président d'ExxonMobil annonçait que l'entreprise se retirait du secteur pétrolier, poursuit-il. Pensez à l'impact sur les dirigeants d'entreprises comme Monsanto, qui influencent considérablement notre consommation alimentaire et ont souvent une réputation négative dans certains segments d'activité. »
PublicitéDes solutions de surveillance 24h/24 7j/7
Les services de protection numérique des cadres sont généralement sous la responsabilité du RSSI, bien que les cadres y fassent aussi directement appel, selon Chris Pierson, PDG de Blackcloak, qu'il a fondé en 2018 dans le seul but de développer ce type de services. Il se souvient d'une mission particulièrement délicate lorsqu'il était responsable de la protection de la vie privée au sein de la Royal Bank of Scotland. A l'époque, le très controversé Pdg de l'établissement, Fred Goodwin, sous le feu des critiques pour mauvaise gouvernance, avait démissionné. « Cela m'a conduit à me dire qu'il fallait agir sur cette surface d'attaque, se souvient-il. Et lorsque j'ai accepté de nouveaux postes de RSSI, je n'ai jamais cessé de recevoir des appels de cadres, de membres de conseils d'administration, voire de venture capitalists qui me demandaient de l'aide pour leur cybersécurité personnelle ».
Le problème ? Il n'existait alors aucune solution 24 heures sur 24 et 7 jours sur 7 pour surveiller les réseaux privés, les appareils personnels et les empreintes en ligne des dirigeants, tout en scrutant les menaces externes sur le dark web. Une solution qui propose une réponse concrète à ces menaces tout en protégeant la vie privée des dirigeants. Chris Pearson s'est donc posé la question suivante : « Qui va réduire ces risques afin qu'ils ne se retournent pas contre l'entreprise, qu'ils ne portent pas atteinte à sa réputation, qu'ils ne fassent pas fuiter la propriété intellectuelle ou qu'ils ne donnent pas accès à des documents sensibles qui pourraient être envoyés vers ou depuis la messagerie électronique personnelle du cadre ? »
Protection numérique rapprochée des dirigeants, de quoi parle-t-on ?
Bien qu'il ne puisse pas nommer ses clients, le PDG de Blackcloak évoque un cadre qui avait reçu l'ordre de laisser son téléphone personnel pour inspection dans une salle privée dans un aéroport au Moyen-Orient. Il a été séparé de son appareil pendant 15 minutes et, pour le protéger ainsi que son entreprise, son téléphone a tout simplement été remplacé par un nouveau. Dans un autre cas, un informaticien qui avait configuré le réseau privé d'un cadre d'une entreprise de retail et les appareils de sa famille a commencé à siphonner des données, après une déconvenue avec l'organisation. Il a voulu utiliser ces informations pour faire changer le Pdg, tout en prenant le contrôle des équipements mobiles de sa famille.
En matière de menace physique contre un dirigeant, le dirigeant de Blackcloak explique comment son équipe a détecté un système de sécurité mal installé au domicile du Pdg d'une banque. Un défaut qui a conduit à l'exposition sur un site public des flux vidéo et du positionnement des alarmes de la maison. Chris Pearson raconte de nombreuses autres histoires de doxxing (révélation d'informations personnelles), de swatting (faux appels d'urgence) ou de risques géopolitiques ayant eu des conséquences sur la sécurité des cadres. Dans tous les cas, son service de conciergerie vise à résoudre ce type de problèmes en travaillant avec les équipes de gestion des risques et le RSSI. Avec un bémol cependant : certains cadres préfèrent finalement ne pas opter pour ce type de services par crainte de violation de leur vie privée. La plateforme Blackcloak garantit donc que ni sa conciergerie ni l'entreprise du cadre n'ont accès ni à ses données personnelles, ni à son activité en ligne.
Réduire la surface d'attaque des dirigeants
Comme le rappelle par ailleurs G. Mark Hardy, président de la société de conseil en cybersécurité National Security Corp, à Washington, tout le monde n'a pas les moyens de s'offrir des services complets de protection de niveau VIP. « Tout le monde pourrait probablement bénéficier de cette protection en réalité, mais ce sont les cibles avec la plus grande valeur pour les acteurs malveillants qui en ont le plus besoin. En général, ces dirigeants et leurs organisations sont mieux placés pour s'offrir ces protections. »
En fonction des besoins du client, les sociétés spécialisées proposent la protection de la vie privée numérique, la protection des appareils personnels, la sécurité du réseau personnel, la réponse aux incidents, un SOC personnel et un service client "à toute épreuve". Un tel service de conciergerie complet, chez Blackcloak par exemple, revient à un peu moins de 10 000 dollars par an et par cadre, famille comprise.
Protéger les cadres, c'est protéger l'entreprise
« L'un des services que je trouve très convaincant, c'est la suppression de mes données personnelles sur le web », déclare Troy Wilkinson, RSSI monde de la société de marketing Interpublic. « Je ne veux pas que mon adresse et mon numéro de téléphone se retrouvent sur le web, mais c'est pourtant le cas. Il existe des services qui vérifient les 100 principaux sites d'agrégation de données connus et retirent ce qu'ils peuvent. »
Son équipe a récemment examiné les capacités de la plateforme de découverte des risques de Dataminr. Celle-ci protège les cadres en déplacement en surveillant par exemple les risques de sécurité physique (tels que les manifestations et les soulèvements) dans les régions où ils se rendent, ainsi que les "cyber-risques" (tels que les menaces proférées sur les médias sociaux). « Les dirigeants comprennent que le risque n'est plus seulement physique et que leur empreinte numérique est aussi une cible », ajoute Troy Wilkinson. Le comble ? Même les RSSI les plus en vue pourraient avoir besoin de ces protections numériques supplémentaires. L'important, selon les experts du domaine, c'est d'identifier les cibles de grande valeur et les menaces potentielles qui pèsent sur elles et, par voie de conséquence, sur l'entreprise. Ensuite, il faut rechercher et appliquer des mesures de sécurité autour de ces cibles en fonction de leur valeur et des dommages potentiels en cas de violation.
Article rédigé par
Deb Radcliff, CSO (adapté par E.Delsol)
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire