Cybersecurity -feil kommer ikke alltid fra et lavt passord eller et ulykkelig klikk på en ansatt. I mange franske små og mellomstore bedrifter er det lederne selv som utsetter virksomheten for store risikoer, ofte uten å være klar over dem. Ved overskudd av selvtillit, uaktsomhet eller uvitenhet om regelverket, hjelper visse strategiske beslutninger eller personlige vaner til å svekke et helt informasjonssystem. Angriperne har forstått dette, og målrettet mot de høyeste nivåene mer og mer med skreddersydde tilnærminger.
Direkte eksponering ved personlig digital bruk
En av risikoene som er mest undervurdert av bedriftsledere, er fortsatt samtidig bruk av personlige og profesjonelle terminaler uten passende beskyttelse. I 2022 var det franske selskapet Fleury Michon offer for en inntrenging via en usikret mobilenhet, identifisert som tilhørende et medlem av lederutvalget. Enheten, som ble brukt til å få tilgang til profesjonelle meldinger mens du er på farten, hadde verken aktiv VPN eller oppdatert brannmur. Angrepet gjorde det mulig å gjenopprette identifikatorer, og deretter lette tilgangen til interne servere.
Denne typen bruk er vanlig. I følge en ANSSI -studie bruker mer enn 40 % av SME -ledere som er intervjuet sin personlige telefon for å konsultere sine firmaets sensitive data, uten å gå gjennom et sikkert miljø. Denne forvirringen mellom privat og profesjonell sfære skaper en ideell angrepsflate, ofte forsømt i tradisjonelle cybersikkerhetsplaner.
Teknologiske voldgift gjort uten dedikert kompetanse
I mange små og mellomstore bedrifter beholder manageren et direkte privilegium på større IT -valg: endring av vert, adopsjon av et nytt forretningsverktøy, outsourcing lagring. Denne beslutningen -Makende sentralisering blir problematisk når den ikke er ledsaget av en ekspertuttalelse. I 2023 avslørte en CPME -undersøkelse at det i 38 % av tilfellene var den eneste manageren som valgte datamaskinleverandørene, uten kryssvalidering av CIO eller en RSSI.
Eksemplet på Aquassay Company, som spesialiserer seg på optimalisering av vannforvaltning, snakker. Under overhalingen av programvarearkitekturen i 2021 valgte ledelsen en skyløsning uten forhånds konsultasjon av integratoren. Resultat: Sensitive data knyttet til kundeinstallasjoner har gått gjennom servere utenfor EU, i strid med kravene til visse industrielle rektorer. En piloteringsfeil mer enn et teknisk problem.
Utilstrekkelig defensiv holdning i møte med risikoen for ransomikk
Fremveksten av ransomware har fremhevet et annet svakt punkt: avslag eller forsinkelse å investere i aktiv sikkerhetskopi og redundans. Flere små og mellomstore bedrifter angrep de siste to årene, som transport Chabas en Provence eller Anaveo -gruppen, har gjennomgått total lammelse av deres aktivitet. I begge tilfeller avdekket angrep ekstrem avhengighet av et enkelt digitalt miljø, uten offline sikkerhetskopi eller strukturert omstartplan.
Noen ledere mener at virksomheten deres ikke er tilstrekkelig interesse for å bli målrettet. Opportunistiske angrep skiller imidlertid ikke størrelsen. I 2022, ifølge den årlige Cybermalveillance Report.gouv.FR, var nesten 60 % av de identifiserte ofrene strukturer på under 250 ansatte. I de fleste tilfeller innrømmet lederne at de ikke tok trusselen på alvor, eller har undervurdert konsekvensene.
Uegnet kommunikasjon under hendelser
Nok en tilbakevendende feil: Kommunikasjonsstyring under en hendelse. For ofte søker ledere å minimere eller skjule virkningen av et cyberangrep i frykt for å varsle kundene eller partnerne deres. I 2020, under infiltrasjonen av OMP Mechtron Company Network, en leverandør av mekaniske komponenter i Hauts-de-France, vakte stillheten i flere dager mistanker i visse rektorer, som midlertidig suspenderte ordrene.
Motsatt har noen selskaper som TSE (energiovergang) i Toulouse valgt åpenhet. Offer for et angrep fra forbud i 2021, kommuniserte selskapet innen 24 timer på hendelsen, tiltakene som ble tatt og restaureringsfrister. Denne klarhetsstrategien har gjort det mulig å opprettholde tilliten til økonomiske og institusjonelle partnere. En leksjon som få ledere innlemmer før de blir konfrontert med den.
En undervurdering av den menneskelige faktoren på sitt eget nivå
Til slutt forsømmer mange ledere sin egen sårbarhet for sosiale ingeniørteknikker. I 2022 berørte flere tilfeller av svindel mot den falske presidenten franske små og mellomstore bedrifter gjennom samtaler eller e -postmeldinger som direkte bruker identiteten til lederen. Hver gang hadde svindlere hentet fra profesjonelle sosiale nettverk eller i pressemeldinger, noen ganger utilsiktet validert av lederne selv.
Saken om Sirea, et industrielt elektronikkfirma med base i Castres, forblir emblematisk: et forsøk på svindel har knapt blitt hindret etter at en administrativ assistent sjekket en tvilsom overføringsordre som antas å komme fra presidenten. Saken førte til at ledelsen gjennomgikk alle sine interne valideringsprosedyrer, og for å integrere en målrettet bevissthetskomponent for ledergruppen.
Når lederen av lederen blir en feil
I de aller fleste tilfeller nekter ikke ledere cybersikkerhet: de nærmer seg det gjennom et delvis leserett, noen ganger fremdeles forankret i en logikk med klassisk industriell risiko. Imidlertid kan deres egen utstilling, deres tekniske beslutninger, krisehåndtering eller deres digitale vaner bli de første bruddene.
Denne observasjonen presser flere og flere spillere til å utvikle bevissthetsprogrammer som er spesielt beregnet på ledere, for eksempel den som er foreslått av heksatrust eller cyberlederopplæringen som er utviklet av ANSSI og BPIFRANCE. For i dag, i den digitale beskyttelseskjeden, er nøkkelmannen også den svake koblingen.
