Protégez la cybersécurité de vos dirigeants au milieu de la cyberguerre mondiale

Cela fait environ deux mois que la Russie a lancé son invasion non provoquée de l'Ukraine. Depuis lors, le monde a été témoin d'une tragédie indicible. Alors que les biens endommagés et détruits peuvent et seront reconstruits ; la mort et le désespoir subis par les Ukrainiens laisseront une empreinte durable dans toute l'Europe pour les générations à venir.

Aussi horrible qu'ait été la guerre physique, la cyberguerre tant attendue ne s'est pas matérialisée aussi rapidement que certains experts en cybersécurité et en sécurité nationale le pensaient. Début mars, l'ancien avocat général de l'Agence de sécurité nationale et du Service central de sécurité, Glenn S. Gerstell, a déclaré au Guardian : "Nous n'avons pas encore vu les attaques complètement destructrices contre les infrastructures ukrainiennes que certains anticipaient".

Mais il y a de nouvelles indications que la Russie pourrait bientôt tenter d'intensifier sa cyberguerre. Il y a deux semaines, l'infrastructure informatique de l'Ukraine a été attaquée de manière significative par des pirates informatiques russes. Il s'agissait de la première attaque majeure ayant des conséquences réelles depuis que les Russes ont ciblé les banques ukrainiennes à la mi-février.

Et selon les Affaires étrangères, "toutes les preuves disponibles indiquent que la Russie a utilisé une cyber-campagne coordonnée destinée à fournir à ses forces un avantage précoce pendant sa guerre en Ukraine".

Le paysage des menaces passe du professionnel au personnel

Alors que l'étendue des ambitions de guerre numérique de la Russie reste inconnue, une grande partie du monde se prépare à la première cyberguerre mondiale.

Aux États-Unis, le président Joe Biden et la Critical Infrastructure Security Agency (CISA) du DHS continuent d'émettre des avertissements détaillés sur la cybersécurité aux agences et aux entreprises américaines. Récemment, la CISA a alerté les gestionnaires de fortune que des cyberattaques russes ciblant leurs organisations et leurs clients sont probables. Les hôpitaux, le secteur de l'énergie et les Fortune 1000 de tous les secteurs ont également été avertis des menaces directes et du potentiel de dommages collatéraux.

Un vecteur d'attaque notoirement absent des alertes du gouvernement et de l'industrie est la vie numérique personnelle des cadres – la C-Suite, les membres du conseil d'administration et les hauts dirigeants de l'entreprise – avec un accès direct aux informations financières, exclusives et confidentielles.

Récemment, des cybercriminels qualifiés et des États-nations ont stratégiquement commencé à contourner les contrôles de sécurité gouvernementaux et organisationnels en attaquant ce que les RSSI et les équipes de sécurité ne peuvent pas contrôler : la confidentialité en ligne, les appareils personnels et les réseaux domestiques des cadres et de leurs familles.

Les vulnérabilités sont vastes dans les vies numériques personnelles

Étant donné que la sécurité de l'entreprise ne peut pas s'étendre à la vie personnelle, les vulnérabilités des appareils personnels et des réseaux domestiques sont nombreuses et souvent faciles à exploiter.

D'après BlackCloak, données internes, 87 % des appareils personnels des cadres ne disposent d'aucun contrôle de cybersécurité et au moins 27 % des appareils contiennent des logiciels malveillants non découverts auparavant.

De plus, 75 % des appareils personnels présentent des fuites de données en raison de paramètres de confidentialité manquants ou mal configurés, et 69 % des cadres ont des mots de passe personnels et professionnels disponibles sur le dark web.

Ces vulnérabilités, entre autres, représentent un espace vert permettant aux cybercriminels et aux États-nations de pénétrer dans les organisations en piratant les dirigeants dans leur vie personnelle pour ensuite se déplacer latéralement dans les organisations qui sont leur cible ultime.

Le mois dernier, le Threat Intelligence Group de Google a identifié des acteurs chinois de la menace qui tentaient de pirater les comptes Gmail personnels des employés du gouvernement américain, selon un article de Bleeping Computer.

Protégez la vie numérique personnelle des cadres, protégez l'organisation

Il reste à voir si la Russie intensifiera sa cyberguerre, et si oui ou non une escalade ciblera directement ou affectera indirectement les entreprises et les agences gouvernementales américaines. Quoi qu'il en soit, les équipes de sécurité doivent désormais se préparer aux attaques latérales se manifestant dans la vie numérique personnelle de leurs dirigeants.

Heureusement, il existe plusieurs garanties que, bien que lourdes, les équipes de sécurité peuvent aider les chefs d'entreprise à mettre en œuvre dans leur vie personnelle. Ceux-ci inclus:

• Assurez-vous que l'authentification multifacteur est actif sur tous les appareils, applications et systèmes personnels (y compris familiaux) qui le permettent. Les RSSI doivent bloquer l'accès à tous les systèmes de l'entreprise à partir de tout appareil sur lequel MFA n'est pas déployé.
• Soumettre des demandes de désinscription à autant de courtiers en données en ligne que possible, en limitant la capacité des adversaires à obtenir les informations personnelles nécessaires pour lancer des attaques d'ingénierie sociale et de harponnage.
• Régler automatique mises à jour du système d'exploitation et du micrologiciel sur tous les appareils personnels ; et mettre en œuvre la sécurité du réseau domestique via des pare-feu de routeur et le cryptage du réseau WiFi pour garantir l'intégrité des communications.
• Assurez-vous que tous les appareils personnels, y compris ceux des conjoints et des enfants, disposent d'un anti-malware installé et mis à jour.
• Installer la sécurité Wi-Fi pour protéger vos réseaux domestiques et permettre aux visiteurs à domicile de se connecter au réseau invité.

Malheureusement, ces garanties, entre autres, peuvent prendre déjà un temps et des ressources sacrés à mettre en œuvre, sans aucune garantie qu'elles assureront la sécurité des individus ou de l'entreprise. Mais avec les tambours de la cyberguerre qui battent de plus en plus fort, la protection d'une organisation peut commencer et finir par dans quelle mesure il peut protéger les cadres dans leur vie numérique personnelle.