Pourquoi GetApp est gratuit

56 % des cadres supérieurs français sont victimes de cyberattaques, et trop souvent font l’impasse sur les formations nécessaires

Publié le 03/09/2024 Rédigé par Emilie Audubert.

Une tendance préoccupante est apparue : plus d’un cadre français sur deux a été victime d’une cyberattaque au cours des 18 derniers mois. Parce qu’ils ont accès à des données sensibles cruciales pour une entreprise, la formation des dirigeants en cybersécurité se profile comme une priorité comme l’indique cette étude réalisée par GetApp.

Risques liés au manque de formation des cadres pour la sécurité informatique des entreprises

Pour 66 % des professionnels interrogés dans le cadre de l’étude de GetApp “Cybersecurity Executive 2024”*, le constat est sans appel : certaines pratiques en ligne de leurs cadres supérieurs présentent un risque pour la cybersécurité de leur entreprise. En effet, une seule attaque réussie à leur encontre peut engendrer des conséquences désastreuses, comme le fait de tirer profit des données sensibles de haute importance auxquelles ces responsables ont accès.

Alors que notre étude souligne que plus d’un cadre exécutif français sur deux (56 %) a été la cible d’une attaque au cours des 18 derniers mois, prendre des mesures s’impose pour protéger les dirigeants et leurs actifs. À l’heure où des solutions dématérialisées telles que le cloud sont fréquemment employées par les dirigeants pour stocker et partager des informations, la mise en place d’une formation de sécurité sur-mesure fait partie des initiatives clés à mettre en œuvre pour enrayer les chances de réussite des cyberattaques.

Afin d’aider les entreprises à sensibiliser au mieux leurs responsables quant aux bonnes pratiques à adopter, GetApp s’est appuyé sur le retour d’expérience de 2 648 professionnels de l'informatique et de la cybersécurité, dont 235 français. Cet article permet d’identifier les points de vulnérabilité liés à la sécurité numérique des cadres supérieurs ainsi que des outils susceptibles de faire barrage aux cybermenaces.

GetApp a également fait appel aux conseils de Philippe Richard [1], dirigeant et fondateur du cabinet d’experts en cybersécurité SécuritéOff.

Présentation de l’expert en cybersécurité Philippe Richard
Les points clés de notre étude
  • Plus de la moitié des cadres supérieurs français sont concernés : 56 % des cadres supérieurs ont été visés au moins une fois par une cyberattaque au cours des 18 derniers mois. 
  • Les cybermenaces pesant sur les cadres de l’Hexagone sont à la hausse : 66 % des entreprises interrogées dont les cadres supérieurs ont déjà été ciblés par des attaques indiquent une augmentation de ce type de menaces.
  • Les attaques menées à l’aide de deepfake sur le devant de la scène : 31 % des attaques menées au cours des 18 derniers mois ont utilisé des deepfakes assistés par intelligence artificielle (IA) pour cibler des cadres supérieurs français, tandis que la majorité des attaques ont été causées par du phishing ou des logiciels malveillants. 
  • Les cyberattaquants tirent profit du manque de formation : 42 % des cadres supérieurs français victimes d’une cyberattaque ont fait l’impasse sur leur formation en cybersécurité.

L'escalade des cybermenaces ciblant les dirigeants, un appel à des mesures urgentes de protection

Informations financières confidentielles ou bilans de projection d’activités stratégiques : chaque jour, ce sont des informations hautement sensibles qui sont administrées en ligne par les cadres exécutifs. L’adoption de ces pratiques va, hélas, de pair avec l’exposition aux menaces, faisant des dirigeants des cibles particulièrement convoitées par les cybercriminels.

Au cours des 18 derniers mois, plus de la moitié (56 %) des cadres français ont été visés au moins une fois par des cyberattaques. L’expérience des entreprises ayant été victimes de ces violations témoigne même d’une tendance préoccupante, puisque 66 % font part d’une augmentation de ces attaques au cours des trois dernières années. À l’échelle globale, la France se place parmi les pays les pays les plus exposés aux menaces après l’Australie et les États-Unis (69 % respectivement).

État des lieux des cyberattaques visant les cadres supérieurs à l’échelle globale

Lorsqu’il est question de cyberattaques, un dénominateur commun est souvent à l’origine de leur réussite : le manque de préparation des victimes. Et en la matière, les cadres supérieurs ne font pas figure d’exception.

Nos données montrent que les principales causes ayant entraîné des cyberattaques à l’encontre des dirigeants français sont dues à la négligence de précautions élémentaires, comme le fait d’ignorer la formation à la cybersécurité (42 %), le téléchargement de fichiers à partir de sources non fiables (36 %), le contournement des politiques et procédures de sécurité de l'entreprise (34 %), ou l’utilisation de mots de passe faibles (33 %).

Les causes à l’origine des cyberattaques visant les cadres supérieurs français

Parce qu’ils doivent souvent composer avec un agenda chargé et jongler entre différentes priorités stratégiques pour l’entreprise, les cadres supérieurs peuvent être plus enclins à considérer certains protocoles de sécurité comme des procédures fastidieuses et chronophages. Ce constat peut être d’autant plus flagrant pour les cadres d’une PME amenés à adopter plusieurs casquettes.

Cependant, renoncer à des mesures élémentaires de protection par souci de commodité est une action pouvant les rendre vulnérables aux menaces, même les plus communes. Ce risque est d’autant plus aggravé par l’émergence de menaces faisant appel à l’intelligence artificielle, telles que les attaques par deepfake dont l’ampleur a pu être évoquée dans la première partie de notre étude.

Conseils aux entreprises

Une seule attaque réussie peut suffire à mettre à mal la sécurité, mais aussi la réputation de votre entreprise auprès des consommateurs. Renforcer vos mesures de cybersécurité est en ce sens essentiel pour se prémunir de tels dangers.

Afin de limiter les risques d’accès non-autorisés, des mesures de sécurité telles que l'authentification multifactorielle (MFA), le cryptage, ou encore les logiciels de gestion des accès et de l’identité sont à considérer.

Les attaques alimentées par l’IA complexifient la lutte contre les fraudes à l’identité

En observant les attaques auxquelles ont été confrontés les cadres supérieurs des entreprises de notre panel au cours des 18 derniers mois, force est de constater que les cyberattaques “traditionnelles” occupent les premières places du classement : attaques par logiciels malveillants (45 %), tentatives d’hameçonnage (44 %) et vol de mots de passe (37 %).

Attaques principales ayant visé les cadres supérieurs au cours des 18 derniers mois

Toutefois, un danger émergent pourrait complexifier la problématique de la protection numérique des dirigeants français. Grâce aux progrès récents de l'IA générative, les pirates numériques peuvent créer des contrefaçons plus vraies que nature à l'aide de moyens nouveaux : grands modèles de langage (LLM, de l’anglais “large language model”) comme ChatGPT, applications de génération d'images, ou encore outils de clonage de voix.

Comme le spécifie Philippe Richard : “L'IA rend plus crédibles certains messages malveillants : les attaquants peuvent analyser auparavant le style d'écriture de l'expéditeur de l’e-mail dont la messagerie aura été auparavant piratée, et du destinataire, et ce afin de personnaliser le contenu. Ils peuvent être plus difficilement détectables par une solution antispam.”

Il ajoute que “le deepfake peut aussi être exploité pour mener des arnaques au faux virement : un chef d'entreprise dont l'image a été exploitée par des attaquants pourrait appeler son DAF [directeur administratif et financier] ou sa comptable pour "exiger" un virement immédiat afin de valider une transaction importante ou la signature d'un contrat.” Ce sont donc tout autant de menaces bien réelles auxquelles peuvent désormais être confrontés les cadres supérieurs.

Les résultats de notre étude mettent en exergue cet état de fait : 31 % des répondants reconnaissent une attaque par deepfake contre des cadres au cours des 18 derniers mois, ce qui en fait le pourcentage le plus élevé au sein des pays étudiés, et totalise 10 points de plus que la moyenne globale (tous pays confondus).

Proéminence des attaques par deepfake en France par rapport aux autres pays

L’usage frauduleux de l’IA est en mesure d’exacerber la portée d’une attaque visant à usurper l’identité d’un cadre supérieur. La sophistication de ces attaques offre aux cybercriminels une plus grande facilité pour mener à bien des actions d'espionnage d'entreprise, usurper des informations financières sensibles et porter préjudice sur le long terme à la réputation d’une organisation.

Sur l’ensemble des professionnels en cybersécurité interrogés, 36 % ont déclaré que les cadres supérieurs de leur organisation ont déjà fait l’objet au moins une fois d’une usurpation de leur identité numérique. Les attaques telles que la compromission d'un courrier électronique professionnel (45 %), les fuites de données (36 %), ou encore le piratage de mots de passe ou identifiants (35 %) sont les principales identifiées.

Fraudes principales à l’identité visant les dirigeants français

Il incombe à tous les acteurs de l'entreprise de veiller à ce que les protocoles de cybersécurité soient non seulement respectés, mais aussi mis à jour et adaptés à l'objectif de protection visé. Ignorer ces mesures met une organisation dans une position extrêmement vulnérable. C'est pourquoi il est important que ces règles soient observées par l’ensemble des employés, non seulement pour protéger l'organisation, mais aussi pour renforcer une culture d’entreprise où la cybersécurité est considérée comme une stratégie à valeur ajoutée.

Pour y parvenir, les dirigeants doivent disposer d’une connaissance approfondie du paysage actuel des cybermenaces ainsi que de formations permettant de renforcer les bonnes pratiques à développer. Dans la section suivante, nous aborderons quelle stratégie de formation est déployée par les entreprises interrogées pour aider leurs cadres supérieurs à appréhender les défis liés à la sécurité informatique.

Une formation spécifique en cybersécurité fait défaut à plus d’un tiers des cadres supérieurs français 

Les dirigeants peuvent manquer de clairvoyance quant à la complexité des menaces existantes, faire fi des protocoles standards de protection par manque de temps, voire surestimer leurs connaissances en matière de cybersécurité. Ces facteurs peuvent ainsi les amener à faire l’impasse sur une formation en la matière qui demeure essentielle.

Comme nous avons pu l’observer dans la première partie de cet article, 42 % des cadres français qui ont subi une cyberattaque ont négligé une formation de prévention, soit un chiffre supérieur à la moyenne globale des pays interrogés (34 %). Sur ce sujet, l’ensemble des professionnels en cybersécurité français sont pourtant presque unanimes, avec 75 % d’entre eux s’accordant sur le fait que les dirigeants devraient recevoir une formation en cybersécurité plus renforcée que celles proposées aux autres employés.

Bien que, dans les faits, une formation spécifique soit déployée auprès de plus de la moitié des cadres supérieurs des entreprises de notre panel (55 %), ils sont plus d’un tiers à ne pas bénéficier d’une telle initiative (38 %).

Ceci ne signifie pas pour autant que le principe de formation est négligé au sein des entreprises interrogées. La plupart déploient un plan de formation destiné à l’intégralité des employés au moins tous les six mois (29 % “tous les six mois ou plus fréquemment ; 50 % “une fois par an”).

Si ces sessions d’apprentissage accordent une place importante à des problématiques essentielles telles que la sensibilisation à la cybersécurité (selon 71 % des répondants) ou à la confidentialité des données (63 %), certaines thématiques particulièrement pertinentes pour la formation des cadres supérieurs sont encore peu abordées, comme la prévention contre les attaques d'ingénierie sociale, des menaces qui incitent un individu à compromettre sa sécurité ou celle de l'organisation en partageant des informations sensibles (28 %).

Contenu des formations en cybersécurité proposées aux employés français

Parmi les menaces qui soulignent l’importance qui doit être accordée à leur prévention figure l’exemple du “whaling” (littéralement, “pêche à la baleine”). Afin d’encourager un cadre supérieur à partager des informations sensibles ou à effectuer un virement sur un compte frauduleux, les cyberattaquants se font ici passer pour des entités légitimes, connues et dignes de confiance.

Le danger que représentent ces menaces émergentes ciblées pourrait donc nécessiter de repenser la stratégie des formations dispensées auprès des dirigeants sur le sujet des attaques d'ingénierie sociale, la France accusant un retard significatif par rapport aux pays interrogés quand il s’agit de dispenser ce type de formation (28 % contre 42 % pour la moyenne globale).

Il est intéressant de constater que la raison principale qui incite certaines entreprises à ne pas dispenser de formation spécifique auprès de leurs dirigeants est leur confiance dans l’expertise des cadres supérieurs en matière de cybersécurité (36 %).

Raisons principales pour lesquelles une formation en cybersécurité n’est pas dispensée auprès des cadres supérieurs

Soixante-dix pour cent des professionnels en cybersécurité interrogés estiment que les cadres supérieurs sont susceptibles d’être plus souvent victimes de cyberattaques que les autres employés, un résultat qui peut être corrélé à une plus grande propension de ces derniers à ignorer les formations en cybersécurité de leur entreprise.

Non seulement les organisations doivent veiller à ne pas se montrer trop complaisantes quant aux pratiques des dirigeants, mais elles doivent également leur proposer les armes nécessaires pour se défendre efficacement.

La préparation, l’arme la plus efficace pour contrer les menaces pesant sur les cadres supérieurs

Les enjeux liés à la cybersécurité sont particulièrement élevés pour les cadres supérieurs, dont la position amplifie les retombées potentielles des failles de sécurité.

La combinaison du facteur d’autorité et du fort degré de sensibilité des données auxquelles les cadres ont accès met en évidence à quel point les former contre les cybermenaces est primordial. Cela implique une certaine proactivité en matière de préparation, une stratégie de cybersécurité pouvant être facilitée par l’application des recommandations suivantes : 

  • Rappeler aux dirigeants l’importance d’une gestion éclairée des risques : il est impératif pour les dirigeants de comprendre que la cybersécurité n'est pas l'affaire du seul département informatique. Favoriser une communication régulière avec le conseil d'administration s’avère essentiel, par exemple en fournissant par exemple des rapports sur le retour sur investissement des mesures de sécurité mises en place.
  • Adapter la formation aux contraintes des dirigeants : parce que le temps qu’ils peuvent consacrer à une formation peut s’avérer limité, organiser des formations courtes mais fréquentes, en simulant par exemple des situations réelles d'hameçonnage, fait partie des actions qui peuvent préparer efficacement les dirigeants à répondre aux menaces. Des outils tels que les logiciels de formation de sensibilisation à la sécurité peuvent soutenir de telles initiatives. Pour Philippe Richard “Il faut que les entreprises multiplient les formats (e-learning, quiz, expérience virtuelle...) afin de permettre à chaque salarié d'intégrer les conseils tout en limitant les impacts sur les agendas.”
  • Évaluer le niveau de sécurité des outils destinés au partage et au stockage d’informations en ligne : différentes solutions sont employées par les cadres pour partager et conserver des informations importantes.Sauvegarder des données via le cloud est l’une des pratiques de plus en plus développées au sein des entreprises. En ce sens, il convient d’évaluer avant toute acquisition les garanties de sécurité proposées par un éditeur de solutions de stockage via le cloud.
  • Préparer un plan de réponse aux incidents :  Un plan de réponse aux incidents sert à  minimiser les dommages causés par les cyberattaques visant les cadres supérieurs. Pour améliorer leur résilience face à ces menaces, les organisations se doivent d’analyser en amont si elles disposent d’outils permettant par exemple de détecter efficacement les violations potentielles, mais aussi de maintenir les activités de l’entreprise en cas d’une violation avérée.

Comme le spécifie Philippe Richard : “Quels que soient leur taille et leur secteur d'activité, les entreprises doivent mettre en place un plan de continuité d'activité (PCA) et un plan de reprise d'activité (PRA) afin d'assurer leur résilience. Il ne s’agit pas simplement de multiplier les sauvegardes mais de faire une vraie analyse de risques en étroite collaboration avec les métiers pour ensuite établir les principaux scenarii impactant l'entreprise. (...) Pour chacun de ces scenarii, il convient de déterminer les processus ad hoc et, le plus important à nos yeux, de faire des tests afin de s'assurer que toutes les personnes concernées savent ce qu'elles auront à faire en cas de crise, que ce soit en cas de cyberattaque, mais aussi de sinistre.

Et maintenant ? Consultez notre catalogue de logiciels de gestion du cloud pour trouver l’outil qu’il vous faut.


Méthodologie

*L'enquête de GetApp “Executive Cybersecurity” a été menée en mai 2024 auprès de 2 648 répondants aux États-Unis (n=238), au Canada (n=235), au Brésil (n=246), au Mexique (n=238), au Royaume-Uni (n=254), en France (n=235), en Italie (n=233), en Allemagne (n=243), en Espagne (n=243), en Australie (n=241) et au Japon (n=242). L'objectif de l'étude était d'explorer la manière dont les professionnels de l'informatique et de la cybersécurité réagissent à la menace croissante de la fraude biométrique. Les personnes interrogées ont été sélectionnées pour leur rôle dans les domaines de l'informatique et de la cybersécurité au sein d'entreprises qui utilisent des logiciels de sécurité et qui comptent plus d'un employé. Les participants ont été sélectionnés pour leur implication dans les mesures de cybersécurité mises en œuvre dans leur entreprise ou pour leur connaissance de ces mesures.

Sources : 

  1. Philippe Richard, LinkedIn


Cet article peut faire référence à des produits, programmes ou services qui ne sont pas disponibles dans votre pays, ou qui peuvent être limités par les lois ou règlements de votre pays. Nous vous suggérons de consulter directement l'éditeur du logiciel pour obtenir des informations sur la disponibilité du produit et le respect des lois locales.

À propos de l'auteur

Emilie, analyste de contenu, à l'affût des dernières tendances technologiques et stratégiques pour PME. Spécialisée en e-commerce, fan de podcast audio et de carlins.

Emilie, analyste de contenu, à l'affût des dernières tendances technologiques et stratégiques pour PME. Spécialisée en e-commerce, fan de podcast audio et de carlins.