La cyberprotection représente un enjeu majeur pour tous les collaborateurs d’une entreprise. Il est certes important de garantir une bonne sécurité informatique dans l’ensemble de l’entreprise, mais il faut avant tout sécuriser la cible privilégiée des cyberattaques : les cadres supérieurs.
Dans cet article
- 65 % des cadres canadiens ont déjà subi une cyberattaque
- Une formation accrue pour les cadres supérieurs, un souhait pour la plupart des professionnels en cybersécurité canadiens interrogés
- Plus de 40 % des cadres ne reçoivent aucune formation supplémentaire à la cybersécurité
- Préparer les cadres supérieurs aux risques à venir
Les cyberattaquants ciblent de plus en plus les dirigeants d’entreprise, soit par le biais d'attaques par hypertrucages, d’atteintes à la sécurité biométrique, de logiciels malveillants ou de fraudes à l’identité. Voici ce qui ressort de l’enquête 2024 "Executive Cybersecurity Survey"* de GetApp, qui a interrogé 2 648 professionnels de l’informatique et de la cybersécurité dans 11 pays, dont 235 au Canada.
Les cadres supérieurs d’une entreprise contrôlent de grandes quantités de données et ont un accès privilégié aux informations les plus sensibles, ce qui fait d’eux une cible privilégiée pour les pirates informatiques. Malgré l’urgence et par manque de temps, les cadres sont souvent tentés de ne pas suivre la formation à la cybersécurité, reléguant ainsi au second plan la protection de l’entreprise contre le vol d’identité.
Les cyberattaques contre les dirigeants peuvent coûter des millions aux entreprises, d’où l’importance d’une formation plus solide en matière de cybersécurité à l’intention des cadres supérieurs. Notre étude révèle que 40 % des entreprises canadiennes visées par un cyberincident contre des cadres supérieurs au cours des 18 derniers mois ont dispensé des formations supplémentaires de cybersécurité qui leur sont destinés.
- 65 % des cadres supérieurs canadiens ont été la cible d’au moins une cyberattaque au cours des 18 derniers mois.
- 56 % des organisations canadiennes touchées déclarent que les cyberattaques contre les cadres supérieurs ont augmenté.
- 14 % des cadres ciblés ont été victimes d’une attaque par hypertrucages visant à usurper leur identité.
- 88 % des professionnels de l’informatique et de la cybersécurité pensent que les cadres supérieurs devraient être mieux formés à la cybersécurité que les autres employés.
- En dépit des risques encourus, 43 % des entreprises canadiennes ne considèrent pas la formation complémentaire des cadres comme étant prioritaire.
- 36 % des cadres supérieurs canadiens qui ne reçoivent pas de formation complémentaire la considèrent comme non prioritaire, soit le pourcentage le plus élevé au monde.
65 % des cadres canadiens ont déjà subi une cyberattaque
Si les erreurs de sécurité commises par un employé exposent une entreprise à des cyberattaques, les dommages se multiplient lorsque ces erreurs concernent les dirigeants d’une structure.
Pour remédier aux risques d’attaques et réduire leurs vulnérabilités potentielles, les entreprises effectuent souvent des dépenses importantes. Par exemple, et selon les résultats du premier volet de notre enquête, les entreprises canadiennes victimes de cyberattaques ont consacré leurs efforts à l’amélioration de la sécurité du réseau, au renforcement des mots de passe et à la mise à jour rapide des logiciels en réponse à ces incidents.
Omettre de recourir à des protections de base telles que celles mentionnées préalablement représente un risque que les entreprises ne peuvent pas se permettre de prendre, d'autant plus que ce facteur fragilise la sécurité informatique de leur équipe dirigeante.
Certes, la problématique d’attaques traditionnelles ou plus récentes par hypertrucages visant des cadres supérieurs n’est certes pas un fait nouveau. Cependant, la progression de cette tendance demande aux organisations de rester vigilant : avec 65 % des professionnels de l’informatique et de la cybersécurité interrogés qui ont vécu un incident visant les cadres supérieurs au cours des 18 derniers mois, le Canada est confronté à une exposition accrue à ces menaces.
L’évolution à la hausse de ces attaques sur le territoire canadien est également à considérer. Au Canada, où plus de la moitié (56 %) des entreprises dont les cadres supérieurs ont été pris pour cible, on observe une recrudescence de ces cyberattaques au cours des trois dernières années.
Des petites erreurs commises par les dirigeants canadiens qui peuvent coûter cher
Si les menaces liées aux cyberattaques utilisant l’IA suscitent des inquiétudes, les erreurs les plus simples représentent un danger immédiat pour les entreprises canadiennes. Selon nos données, les attaques de logiciels malveillants, l’hameçonnage et les rançongiciels figurent parmi les principales attaques dont ont été victimes les cadres canadiens.
En outre, bien que certaines attaques comme celles par hypertrucages aient été observées par notre panel, leur incidence s’avère plus faible au Canada que dans les autres pays étudiés. Nous avons constaté que 14 % des Canadiens interrogés avaient été victimes d’une attaque par hypertrucages, contre une moyenne mondiale de 21 %. Si les entreprises canadiennes peuvent s’en réjouir, des améliorations restent encore à être réalisées.
Même si ces attaques sont moins nombreuses au Canada qu’ailleurs, les entreprises ont tout intérêt à rester vigilantes, la popularité croissante de l’IA pouvant influer sur leur multiplication. De plus, un bon nombre des erreurs les plus courantes commises par les cadres mettent aujourd’hui leurs entreprises en danger, et devraient être traitées en priorité lorsqu’il s’agit de renforcer la sécurité.
L’une des principales erreurs commises par les cadres supérieurs canadiens en matière de cybersécurité est le téléchargement de fichiers à partir de sources non fiables, suivi par d’autres risques plus traditionnels, comme le fait de ne pas suivre de formation à la cybersécurité. Comme le montre le graphique ci-dessus, les cadres supérieurs canadiens sont par ailleurs plus à même de commettre ces erreurs que la moyenne de l’ensemble des pays interrogés.
Au Canada, la protection contre l’usurpation d’identité devrait figurer au premier plan de la stratégie en matière de cybersécurité. 44 % des professionnels interrogés déclarent que les cadres de leur entreprise ont été victimes au moins une fois de fraude d’identité. Nous observons même que près de la moitié (48 %) de ces attaques consistent en des menaces d’usurpation d’identité, soit 3 points de plus que la moyenne globale des pays concernés par notre enquête.
La menace d’usurpation d’identité est un problème encore plus grave au Canada, compte tenu du nombre de cadres qui omettent de suivre une formation en cybersécurité. Un peu plus d’un tiers (36 %) des cadres canadiens sont victimes de la cybercriminalité parce qu’ils ne respectent pas les mesures de protection mises en place sur leur lieu de travail ou les certifications informatiques en matière de sécurité.
Lorsque vous êtes devenu la cible d’un cybercriminel, le fait est que vous risquez de subir d’autres attaques, surtout si vous êtes considéré comme "un bon client".
En effet, les pirates informatiques sont susceptibles de partager des informations sur leurs victimes ou finissent par communiquer leurs données personnelles, ce qui peut en inciter d’autres à profiter des failles de sécurité dans votre système.
Pour éviter ces attaques, renforcez donc vos mesures de cybersécurité. Grâce à des outils tels que l’authentification multifactorielle, le cryptage et les logiciels de gestion de l’identité, vous réduirez les risques d’accès non autorisé.
Une formation accrue pour les cadres supérieurs, un souhait pour la plupart des professionnels en cybersécurité canadiens interrogés
Les professionnels de l’informatique et de la sécurité prennent très au sérieux la question de la formation à la cybersécurité des cadres supérieurs canadiens. Au sein de notre panel, la plupart des personnes interrogées (88 %) estiment que les cadres devraient recevoir une formation supplémentaire en matière de sécurité par rapport aux autres employés. Par ailleurs, elles sont bien conscientes du danger que représente un usage inapproprié d’Internet par leurs dirigeants.
Cet élément est d’autant plus important que de nombreuses personnes interrogées redoutent le fait que les cadres supérieurs soient plus à même d’être victimes de cyberattaques. Il revient donc aux cadres supérieurs de montrer l’exemple et de démontrer qu’ils ont le savoir-faire et les compétences nécessaires en matière de cybersécurité pour dissiper ces inquiétudes.
Plus de 40 % des cadres ne reçoivent aucune formation supplémentaire à la cybersécurité
Quatre-vingt pour cent des entreprises canadiennes organisent au moins une fois par an des séances de sensibilisation et de formation pour leur personnel et la plupart d’entre elles proposent des formations à la cybersécurité. Toutefois, il est plus rare que les cadres canadiens reçoivent une formation complémentaire à celle dispensée au sein de l’entreprise. La moitié de notre panel déclare que leur entreprise accorde la priorité à une formation complémentaire en matière de sécurité pour leur personnel d’encadrement ; cependant, 43 % déclarent que cette formation n’est pas dispensée, ce qui est nettement inférieur à la moyenne globale de notre panel (37 %).
Ce manque de formation supplémentaire pour les cadres expose les entreprises canadiennes à des risques considérables par rapport à leurs homologues internationaux. Comme nous l’avons vu précédemment, les cadres sont particulièrement menacés par l’usurpation d’identité et les erreurs de procédure qui entraînent des vulnérabilités. Ce danger est encore accentué par le fait que 36 % des cyberattaques de notre panel canadien sont imputées à des cadres supérieurs ayant omis de se former à la cybersécurité.
Le non-respect des consignes de sécurité réduit l’efficacité globale de la cyberprotection. Elle compromet également les domaines dans lesquels les entreprises canadiennes ont une longueur d’avance sur le reste du monde en matière de formation, comme la préparation des cadres pour contrer les attaques d’ingénierie sociale.
Quarante-trois pour cent des cadres qui ne bénéficient pas d’une formation complémentaire en matière de sécurité invoquent de nombreuses raisons pour ne pas suivre les cours. Dans la plupart des cas, c’est le manque de temps qui est mis en cause. Le Canada est toutefois le pays où la formation complémentaire n’est tout simplement pas considérée comme une priorité par ses dirigeants (36 %). Cette tendance est préoccupante et exige des mesures de la part des entreprises canadiennes.
Les données montrent clairement que le Canada est à la traîne en ce qui concerne la préparation à la cybersécurité. Les cadres supérieurs des entreprises locales du pays constituent une proie facile pour les cyber-attaquants en raison de la faiblesse de la formation à la cybersécurité des cadres supérieurs par rapport à celles dispensées dans les autres pays concernés par notre étude. Le pays est déjà particulièrement exposé aux attaques par usurpation d’identité, ce qui risque de pénaliser de nombreuses entreprises.
Une formation ciblée destinée aux cadres dirigeants apparaît d’autant plus urgente que de nouvelles attaques plus sophistiquées générées par l’IA, telles que les attaques par hypertrucages ou d’ingénierie sociale, se multiplient. Une bonne préparation permet aux chefs d’entreprise de se tenir au courant des menaces spécifiques qui visent les cadres dirigeants tout en considérant les degrés d’accès et de contrôle qu’ils ont sur les dossiers et les systèmes de l’entreprise.
Préparer les cadres supérieurs aux risques à venir
La direction d’une entreprise va bien au-delà de la stratégie et de l’organisation. Pour protéger la cybersécurité d’une entreprise, les cadres supérieurs doivent préserver la confidentialité des données, respecter les meilleures pratiques en matière de sécurité et être conscients des menaces.
Une formation spécialisée en cybersécurité permet de préparer les cadres à faire face efficacement à bon nombre de dangers émergents. Il s’agit notamment d’éléments tels que
- La sensibilisation aux menaces actuelles : Les cybermenaces évoluent rapidement et les cadres supérieurs doivent se tenir au courant des méthodes susceptibles de les cibler spécifiquement. Comme nous l’avons vu précédemment, le manque de temps peut avoir une incidence sur la formation des cadres à la cybersécurité. Toutefois, les entreprises peuvent également recourir à des logiciels de formation à la sensibilisation à la sécurité pour avoir accès à des cours et à des conseils adaptés à leur emploi du temps chargé, sans pour autant avoir besoin d’un cours spécialisé.
- La sauvegarde de l’image et des données personnelles : Les cadres sont des cibles de choix pour les attaques d’ingénierie sociale. De nombreuses informations nécessaires à l’usurpation de l’identité d’un cadre se trouvent en ligne, que ce soit à partir des sources de l’entreprise, de médias locaux ou sur les réseaux sociaux. Il est donc particulièrement important de sensibiliser les dirigeants à ce qu’ils peuvent ou ne peuvent pas partager en ligne et de leur demander de revoir régulièrement la sécurité de leurs données.
- La gestion des risques : Les cadres supérieurs sont amenés à prendre des décisions de haute importance, mais ils doivent également être conscients des risques liés à l’exécution de certaines activités, comme la finalisation de certaines transactions qui pourraient s’avérer frauduleuses. La compréhension de ces risques permet aux entreprises d’en maîtriser les conséquences. Il peut s’agir de procédures permettant d’évaluer si un appel vidéo est un hypertrucage ou de mettre en place une surveillance du réseau capable de détecter les menaces. En outre, des mesures préventives peuvent être prises si un incident est détecté au milieu d’une attaque, par exemple pour mettre fin aux transactions frauduleuses ou récupérer les fonds perdus, sans parler des stratégies de reprise d’activité si l’attaque aboutit.
- L’utilisation sûre des appareils personnels et des réseaux publics : Les informations de l’entreprise doivent toujours être conservées uniquement sur les appareils de l’entreprise et, dans la mesure du possible, en utilisant uniquement les réseaux Wi-Fi sécurisés. Les applications non sécurisées ou les logiciels malveillants peuvent représenter un gros problème s’ils se retrouvent dans l’infrastructure de l’entreprise, c’est pourquoi il est important d’éduquer les cadres à être particulièrement vigilants lorsqu’ils exposent leurs appareils à ces risques. L’utilisation d’un système de gestion des appareils mobiles peut contribuer à sécuriser le matériel mobile en offrant des capacités de surveillance et en contrôlant la politique d’utilisation.
Méthodologie
*Les données de l’enquête de GetApp sur la technologie du service client ("2024 Executive Cybersecurity Survey") ont été recueillies en mai 2024 auprès de 2 648 individus : 238 aux États-Unis, 235 au Canada, 246 au Brésil, 238 au Mexique, 254 au Royaume-Uni, 235 en France, 233 en Italie, 243 en Allemagne, 243 en Espagne, 193 en Australie, et 242 au Japon. Cette enquête avait pour objectif d’explorer la manière dont les professionnels de l’informatique et de la cybersécurité répondent à la menace grandissante de la fraude biométrique. Pour être sélectionnés, les répondants devaient occuper des postes dans les domaines de l’informatique et de la cybersécurité au sein d’entreprises utilisant des logiciels de sécurité et comptant plus d’un employé. Pour être sélectionnés, les répondants devaient participer ou être au courant des mesures de cybersécurité mises en œuvre dans leur entreprise.
Sources :
- Deepfakes a big worry for Canadian employers, (Les hypertrucages inquiètent les employeurs canadiens), article en anglais de Canadian HRReporter