Cybersécurité

Vol d’identité : comment bien protéger les dirigeants ?

Un visage remplacé par un autre avec un téléphone pour illustrer l'usurpation d'identité sur Internet

1 dirigeant sur 2 encourt un risque de cyberattaque et plus précisément de vol d’identité : un risque très élevé qui n’épargne aucun secteur ! Au-delà des conséquences d’une telle attaque pour la vie privée, on craint surtout les impacts sur l’entreprise, car ils peuvent être très lourds.

Comment mieux protéger les dirigeants de ce phénomène de vol d’identité numérique et de violation des données personnelles ?

Nos conseils.

Le vol d’identité cible les dirigeants en particulier

Parmi les stratégies de cyberattaque les plus répandues, on trouve aujourd’hui la recherche des informations sur les dirigeants… Dans le but d’obtenir et de réutiliser leurs données personnelles. Plus que jamais, les entreprises sont exposées à ces vols de données, avec l’évolution des usages liés au télétravail, l’utilisation des terminaux personnels (BYOD) ou encore le manque de sensibilisation des collaborateurs.

Aujourd’hui, 70 % des chefs d’entreprise et des cadres sont ciblés prioritairement par des cyber menaces… Cela représente un risque 12 fois supérieur à celui encouru par les autres membres de l’entreprise.

Les cyberattaquants recherchent avant tout des informations facilement accessibles sur Internet. Par exemple, ils exploitent des données compromises issues de cyberattaques précédentes, mais utilisent aussi les réseaux sociaux – sans oublier les proches et même le cercle professionnel, des cibles intermédiaires qui permettent de recouper les données.

Pour usurper les identités, les attaquants utilisent volontiers une stratégie redoutablement efficace : le phishing. Très concrètement, ils envoient des contenus soigneusement construits sur une adresse e-mail frauduleuse. L’objectif est simple : se faire passer pour un organisme connu, une entreprise partenaire, un client ou un fournisseur.

Dans ce cas bien précis, les employés ciblés risquent de réaliser des actions aux conséquences néfastes pour l’entreprise (communiquer des informations d’identité, des coordonnées bancaires, etc.)… alors même qu’ils pensent exécuter un ordre de leur supérieur !

Les conséquences du vol d’identité du dirigeant sur l’entreprise

Face aux menaces que représente une violation des données personnelles, les comités de direction ne doivent négliger aucun risque.

  • Vol et usurpation d’identité ;
  • Impacts négatifs sur la réputation de l’entreprise et l’expérience client ;
  • Pertes financières liées à l’attaque et à ses conséquences ;
  • Vol de données sensibles et menaces en matière de propriété intellectuelle.

Au-delà de ces conséquences propres à la violation des données personnelles, ce genre d’attaque touche l’entreprise tout entière :

  • La perte de données confidentielles menace la sécurité des clients ;
  • Une atteinte à la réputation de l’entreprise ;
  • Des pertes financières liées au départ de clients ou à des actes malveillants ;
  • Une perte de productivité, car un piratage peut avoir des conséquences sur les équipements de l’entreprise.
Pictogramme Plus blanc

La sensibilisation du personnel, un enjeu clé en matière de cybersécurité

90 % des failles de sécurité proviennent d’une erreur humaine : tous les membres d’une entreprise doivent être sensibilisés aux risques et aux bonnes pratiques pour en matière de cybersécurité. Car s’il est utile d’investir dans du matériel et dans la sécurisation des systèmes, il ne faut surtout pas négliger le facteur humain.

Afin d’aider les salariés et les dirigeants à prendre conscience des risques de fuite au niveau des données personnelles, il faut envisager une action de sensibilisation ciblée et continue. Celle-ci peut reposer sur un compte public sur les réseaux sociaux, une adresse disponible en ligne ou encore un cercle familial facilement identifiable ; autant de portes d’entrée pour les hackers. Des données personnelles potentiellement très complètes, qui peuvent également être divulguées sur le dark web.

La violation des données personnelles du dirigeant peut à terme toucher son entreprise. Pour éviter cela, il faut être en mesure de placer les cadres de l’entreprise au cœur des priorités en termes de sécurité informatique.

Les employés, quant à eux, peuvent apprendre à :

  • Reconnaître et signaler un e-mail frauduleux et à ne pas cliquer systématiquement sur les liens reçus ;
  • Éviter les mots de passe trop simples, facilement récupérés lors de piratages ;
  • Ne pas utiliser de matériel potentiellement infecté : clé USB ou disque dur externe ;
  • Vérifier l’identité des interlocuteurs lorsqu’on leur demande de réaliser une action de nature financière ou de donner un accès sécurisé ;
  • Éviter d’utiliser une connexion wifi non sécurisée lors de déplacements.

Chez Sigma, nous accélérons la sensibilisation de vos collaborateurs au travers d’un parcours conçu comme une série de 12 épisodes par saison. Tous les contenus sont didactiques, non anxiogènes et mensuels afin de s’adapter au mieux à la culture de votre entreprise.

Renforcer la cybersécurité pour éviter le vol d’identité au sein de l’entreprise

Les systèmes antispam

Plusieurs méthodes existent pour limiter les vulnérabilités et améliorer la sécurité informatique de votre entreprise. En premier lieu, vous pouvez vous doter d’un système antispam qui détecte et freine les tentatives de phishing. Avec cet outil de reconnaissance de spam, vous bloquez efficacement les messages compromis et frauduleux.

Les sauvegardes en SaaS

Afin d’améliorer la sécurité des données, vous pouvez aussi vous appuyer sur des solutions d’hébergement et de sauvegarde en SaaS. Si vos données stratégiques sont hébergées dans l’entreprise et que le système reste vulnérable, elles ne sont par principe pas en sécurité. Par contre, si celles-ci se trouvent hébergées et supervisées sur un cloud privé ou public, le prestataire de services se charge de leur sécurisation. En respectant les bonnes pratiques techniques, les cyberattaques sur votre système ne pourront pas atteindre ce périmètre de données.

Pictogramme bulles conversation blanc

L’authentification à deux facteurs

La gestion des identités et des accès demeure très importante pour la cybersécurité d’une entreprise. Mécanisme de sécurité de plus en plus répandu, l’authentification forte à deux ou à plusieurs facteurs (MFA) permet de vérifier l’identité numérique des utilisateurs sollicitant un accès à votre SI. Ce dernier doit fournir en plus d’un nom d’utilisateur ou d’un mot de passe un code ou répondre à une notification pour se connecter.

Pour renforcer votre posture de sécurité, il est recommandé de mettre en place le principe du moindre privilège. Concrètement, un rôle doit être défini pour chaque utilisateur et contrôler son accès aux documents sensibles dont il a uniquement l’utilité sur son périmètre.

Sécuriser les annuaires du personnel

Il devient également essentiel de sécuriser les annuaires du personnel Active Directory (AD). Ces derniers contiennent des informations sur l’authentification des utilisateurs. Si celles-ci sont divulguées, votre SI tout entier peut se trouver compromis et rendre inopérant l’ensemble des services numériques. Pour éviter toute attaque, nous vous recommandons les actions suivantes :

  • Auditez votre AD régulièrement ;
  • Limitez les droits de hauts privilèges aux utilisateurs légitimes ;
  • Instaurez un contrôle d’identification robuste ;
  • Configurez des hôtes d’administration sécurisés ;
  • Sécurisez les contrôleurs de domaine ;
  • Prévoyez une politique de mot de passe avec une application spécialisée ;
  • Effectuez des sauvegardes régulières de votre AD en respectant les bonnes pratiques et en s’orientant vers le SaaS.

Comment réagir en cas de violation des données personnelles ?

En cas d’intrusion dans le système et de vol d’identité, appuyez-vous sur des mesures organisationnelles et techniques pour faire face à la crise :

  • Conservez toutes les preuves de l’usurpation d’identité ;
  • Adressez-vous vers votre prestataire informatique pour évaluer l’étendue des impacts et mesurer les dégâts sur le système informatique. Celui-ci pourra s’appuyer les services de cybermalveillance.gouv.fr et faire appel à des centres régionaux dédiés aux cyberattaques (CERT-FR) ;
  • Déposez une pré-plainte en ligne sur le site du gouvernement ;
  • Déposez plainte ;
  • Alertez la CNIL dans les 72 heures selon la réglementation sur les RGPD ;
  • Prévenez tous vos collaborateurs, les prestations de services, vos fournisseurs et vos clients.