Les hauts dirigeants (catégorie de collaborateurs la plus souvent visée par les pirates) bénéficient souvent d’un accès illimité à de précieux actifs réseau et sources de données. Bien que 96 % des dirigeants affirment soutenir au moins en partie et s’investir dans les mesures de cybersécurité de leur entreprise, en réalité, 49 % des CXO ont demandé à contourner une ou plusieurs mesures de sécurité au cours de l’année écoulée. Même si les responsables sécurité sont conscients que les dirigeants dotés d’un accès élevé présentent un vrai danger pour la sécurité, les études montrent que les exceptions de sécurité et gains de temps à faible risque destinés aux dirigeants conduisent les entreprises à prendre des risques démesurés.

Le rapport identifie plusieurs habitudes et comportements des dirigeants en matière de cybersécurité, dont les professionnels de la sécurité doivent se méfier :

– Un dirigeant sur cinq a partagé son mot de passe professionnel avec des personnes extérieures à l’entreprise.
– 77 % utilisent des mots de passe faciles à mémoriser, comme des dates de naissance ou le nom de leur animal de compagnie.
– Les CXO sont 3 fois plus susceptibles de partager leurs périphériques professionnels avec des utilisateurs non autorisés, comme des amis, de la famille et des indépendants externes.
– Un dirigeant sur trois admet avoir accédé à des fichiers et données professionnels non autorisés, et près des 2/3 disent qu’ils auraient pu modifier ces fichiers/données quand ils les ont consultés.

De plus, le rapport met en lumière le manque criant de confiance et de communication entre les dirigeants et les équipes Sécurité chargées de les protéger. Les dirigeants sont deux fois plus susceptibles de dire que leurs interactions passées avec l’équipe Sécurité étaient « maladroites » ou « embarrassantes » quand il s’agissait de partager des inquiétudes en matière de sécurité. En conséquence, les dirigeants sont quatre fois plus susceptibles de faire appel à un support technique externe non approuvé. Pour résoudre ces difficultés, le rapport insiste sur l’importance du rétablissement de relations de confiance et d’une bonne collaboration entre les équipes Sécurité et les dirigeants, reposant sur l’honnêteté et un soutien amical, plutôt que sur des sanctions.

« Quand les dirigeants sont prêts à troquer la sécurité contre la facilité d’utilisation, ils n’imaginent peut-être pas à quel point ils constituent une cible lucrative pour les pirates. », dit Daniel Spicer, Chief Security Officer chez Ivanti. « Notre environnement de travail est devenu essentiellement numérique et il est impossible d’éliminer tous les risques... mais on peut éviter de prendre des risques inutiles. Les responsables de la sécurité se battent sans cesse pour obtenir le soutien et le respect des mesures de sécurité par l’entreprise, surtout en ce qui concerne leurs homologues de l’équipe dirigeante, pour combler les écarts à taille humaine et éviter qu’il n’y ait deux poids, deux mesures pour le reste des travailleurs. »

Le rapport présente les mesures que les entreprises et les professionnels de la sécurité peuvent prendre pour corriger l’écart de conduite des dirigeants, notamment exécuter des audits, prioriser la remédiation des risques les plus courants, organiser des sessions de formation à la sécurité sous forme de jeux et implémenter des programmes de sécurité « en gants blancs ».