Secu
DSI et RSSI, vos dirigeants sont vos pires ennemis
Par Laurent Delattre, publié le 02 novembre 2023
Une étude SoSafe met en avant les risques posés par les comportements des dirigeants, devenus maillon faible de la cybersécurité. Alors que parallèlement, après les charges de la SEC contre les CISO d’Uber et SolarWinds, les RSSI s’inquiètent de devenir les boucs émissaires des cyberattaques réussies…
On le sait, les cyberattaques ne cessent de gagner en nombre et en sophistication dans un monde numérique où la cybersécurité est mise à rude épreuve par l’éclatement et la complexité des systèmes d’information ainsi que par l’explosion des vulnérabilités portée par la multiplication des applications. Si la technologie et les mauvaises pratiques de gestion des « basics » sont souvent pointées du doigt, une récente étude de SoSafe, spécialiste de la formation à la cybersécurité, révèle que le maillon faible pourrait bien être… les dirigeants eux-mêmes.
Selon le rapport, 60% des dirigeants sont plus enclins à cliquer sur des liens malveillants, un taux significativement supérieur par rapport aux autres groupes d’utilisateurs. Une tendance alarmante, surtout lorsque l’on sait que 46% des entreprises françaises ont subi des attaques au cours des trois dernières années.
Ce fossé entre sensibilisation et comportements
Certes, la sensibilisation aux cyber-risques augmente parmi les cadres supérieurs. Les données fournies par SoSafe indiquent que 66% des experts en sécurité estiment que leurs équipes de direction se montrent désormais plus concernées sur la cybersécurité que l’année précédente.
« Les dirigeants instaurent les valeurs d’une entreprise, c’est pourquoi il est crucial pour eux de prendre le taureau par les cornes en matière de cybermenace s’ils veulent encourager une culture de sécurité solide », déclare le Dr Niklas Hellemann, Psychologue & PDG de SoSafe. « Il est bon de constater que face au paysage actuel des cybermenaces, la prise de conscience au niveau du top management est à la hauteur des attentes : la cybersécurité commence à obtenir une place à la table des décisions exécutives. Les cadres supérieurs se saisissent de l’importance de la cybersécurité et de leur rôle au sein des organisations. Seules ces conditions permettront aux employés de réussir à assimiler les valeurs et les comportements associés à la sensibilisation à la cybersécurité. »
Néanmoins, cette prise de conscience ne semble pas se traduire directement par des comportements plus prudents dans les hautes sphères de l’entreprise. Les données de SoSafe montrent que la direction est plus encline à cliquer sur des liens malveillants dans les emails envoyés par des pirates que leurs employés. Cependant, signe de cette prise de conscience évoquée plus haut, les chiffres de SoSafe indiquent que les dirigeants sont aussi plus aptes et plus prompts à signaler un email suspect (20%) que les employés (8%).
« Les postes de direction sont particulièrement prisés par les cybercriminels. Ils bénéficient du plus haut niveau d’accès et du pouvoir de décision, et il existe un risque notable que les cadres supérieurs soient usurpés par des pirates grâce aux informations qu’ils ont fournies, par exemple via la fraude au PDG ou d’autres attaques basées sur l’IA. C’est pourquoi il est d’autant plus crucial pour ceux occupant des positions de leadership de se montrer exemplaires et de servir de modèles pour le reste de leur équipe, tout en veillant à leur propre protection », insiste le Dr Niklas Hellemann.
À LIRE AUSSI :
Des RSSI en boucs émissaires
Cette étude sort alors que du côté des RSSI, le sentiment d’être pris pour les boucs émissaires monte en flèche après les accusations portées par la Commission des Sécurités et des Échanges (SEC) contre SolarWinds Corp et son CISO (RSSI) Tim Brown. La SEC les accuse de fraude et de défaillances de contrôle interne suite à la tristement célèbre attaque à la supply chain en 2020 sur sa plateforme Orion. Cette cyberattaque avait réussi à glisser un malware dans le système de build du logiciel. Dit autrement, Orion était déployé avec un malware intégré ce qui a conduit à la compromission de départements gouvernementaux américains par les renseignements russes.
La SEC pointe du doigt une différence entre ce que Brown et d’autres employés de SolarWinds exprimaient en interne et ce qu’ils communiquaient officiellement aux investisseurs. Un double langage finalement fréquent dans les entreprises. Et c’est rarement les RSSI qui prônent le silence radio mais plutôt la direction « Comm » et la direction générale. Selon la SEC, les communications internes montrent que les employés étaient conscients de tromper les clients par leur communication externe après la découverte de la faille dans le logiciel Orion.
À LIRE AUSSI :
En ignorant les avertissements sur les vulnérabilités de l’entreprise et en ne les remontant pas, la SEC allègue que Brown a volontairement laissé les systèmes de l’entreprise sans protection. Si la SEC s’en mêle, c’est aussi parce que Brown est parallèlement accusé d’avoir vendu des actions SolarWinds surévaluées avant que leur valeur ne chute suite à la révélation complète de la compromission.
SolarWinds a dénoncé « des charges infondées » et des « actions de la part de la SEC à même de mettre en péril la sécurité nationale ».
Une affaire qui fait bien sûr écho à la condamnation en octobre 2022 du CISO d’Uber, Joe Sullivan, à trois ans de probation pour son rôle dans la dissimulation d’une violation de données chez Uber en 2016.
Certains RSSI craignent désormais de devoir systématiquement porter la croix de tous les incidents cyber alors que leur capacité de contrôle sur les comportements de leurs dirigeants reste limitée tout comme leur influence sur la communication publique de l’entreprise en cas de crise cyber. Mais d’autres voix s’élèvent et considèrent de telles affaires comme une incitation à la transparence et un moyen de pression pour que les RSSI se montrent plus honnêtes sur leurs pratiques de cybersécurité.
Preuve en est que la cybersécurité n’est pas seulement une affaire de technologie, de talents IT et de bonnes pratiques. C’est aussi une affaire de sensibilisation et de formation mais plus encore de culture d’entreprise. Raison de plus pour les DSI et RSSI, de faire de leurs dirigeants leurs meilleurs alliés dans la lutte contre les cybermenaces.
À LIRE AUSSI :
À LIRE AUSSI :