Pourquoi la cybersécurité doit être une priorité du conseil d’administration
Malgré le nombre croissant de brèches s’attirant les gros titres dans la presse, de nombreux dirigeants d’entreprises ne font toujours pas de la cybersécurité une priorité du conseil d’administration.
Il est de plus en plus évident que les cyberattaques ciblent désormais délibérément dirigeants et membres des conseils d’administration. Ce qui montre que les assaillants pensent trouver là des individus particulièrement précieux, mais tout aussi vulnérables.
Il faut faire plus pour sensibiliser les conseils d’administration aux cyberattaques possibles et aider les entreprises à élaborer une stratégie présentant des solutions pour lutter contre leurs points faibles potentiels.
En général, les pirates informatiques attaquent les entreprises et leurs employés pour voler des données d’authentification avant de les vendre sur le dark web, ou de les utiliser pour compromettre davantage leur victime. Mais on observe de plus en plus d’attaques visant des collaborateurs haut placés dans la hiérarchie de l’entreprise.
Les cibles idéales sont les membres de la direction et du conseil d’administration, dont la compromission des comptes est susceptible d’avoir un impact particulièrement important. En outre, ceux qui siègent à plusieurs conseils d’administration ne sont pas rares, et ils disposent d’un réseau de contacts précieux et influents. Dès lors, les cadres travaillant dans des secteurs tels que la finance, l’assurance et le droit constituent des cibles particulièrement alléchantes.
En utilisant des identifiants de comptes volés, les agresseurs peuvent tromper les dirigeants d’entreprises et les conduire à donner accès à des informations clés, allant des fusions et acquisitions à venir aux procès-verbaux des réunions du conseil d’administration. Cela montre que les entreprises doivent privilégier une stratégie de cybersécurité qui couvre à toutes les cibles potentielles des cyberattaques et veiller à ce que, en matière de formation, aucune population ne soit négligée.
Qui plus est, les attaques de phishing sont de plus en plus sophistiquées et, de facto, plus difficiles à repérer. Les assaillants les plus avancés adaptent toujours plus subtilement leurs attaques à leurs cibles en utilisant intelligemment des sites web externes – des courriels classiques de « échec du paiement par carte bancaire » aux sondages Doodle en passant par les services de partage de fichiers.
De nombreux employés et cadres supérieurs peinent à faire la différence entre les communications commerciales légitimes et ces attaques de type spear phishing, et le risque est grand de voir des données personnelles et de l’entreprise transmises aux cyberdélinquants. Et pour le pirate, le hameçonnage réussi d’un cadre supérieur se traduit par l’accès à son carnet d’adresses, qui contient également les contacts d’autres cibles de haut niveau.
Le manque de sensibilisation à ces attaques qui évoluent rapidement, constitue évidemment un risque très sérieux pour les entreprises. Une modeste attaque de phishing sur un employé, peut déjà prendre rapidement de l’ampleur et entraîner une perte financière massive, une brèche importante, ou paralyser au moins temporairement une partie des activités.
Les entreprises doivent également être conscientes des effets potentiels sur leurs relations avec leurs clients, leurs partenaires, ou les consommateurs. Les perceptions ont changé – les brèches à grande échelle sont désormais largement appréhendées comme une chose à laquelle personne ne saurait échapper – mais les entreprises qui sont en contact direct avec les consommateurs finaux sont toutefois jugées sur la façon dont elles réagissent aux brèches.
Et si l’attitude des clients a quelque peu évolué, cela ne vaut pas forcément pour les relations B2B. Qui accepterait de recevoir des conseils juridiques d’un cabinet d’avocats qui a été piraté en profondeur ? Qui achèterait des composants à un fournisseur dont on a découvert qu’il distribuait sans s’en rendre compte des logiciels malveillants ?
Cette évolution de la nature du risque est souvent méconnue. C’est pourquoi l’analyse de la situation d’une entreprise – suivie d’une modélisation des menaces – peut permettre d’élaborer une stratégie de cybersécurité efficace qui améliore véritablement la capacité de l’entreprise à se préparer aux attaques éventuelles.
Les dirigeants et les conseils d’administration des entreprises doivent être impliqués et soutenus dans la prise de conscience des risques auxquels ils sont confrontés. Et ce ne sont pas forcément les pirates à la solde d’États-nations qui mènent aux brèches les plus coûteuses. Et puis beaucoup d’assaillants s’inspirent des pratiques de ces délinquants les plus avancés.
Les collaborateurs – et cela inclut la direction – sont des éléments clés de la défense d’une entreprise. Si tout le monde suit des formations régulières en matière de sécurité, les cadres et les membres du conseil d’administration n’en font généralement pas partie – ce qui est une erreur critique, et la première chose à laquelle il convient d’essayer de remédier.
Tant que nous ne verrons pas davantage d’opérations de formation et de sensibilisation centrées sur les besoins spécifiques des conseils d’administration et des cadres des entreprises, nous continuerons à voir des incidents de sécurité évitables causer d’importants dégâts.