SHIELD

Organisation et équipe

Dirigeant exposé : modèle de menace spécifique

Les menaces propres au dirigeant exposé médiatiquement ou financièrement, les vecteurs d'attaque réels, et les mesures proportionnées.

Publié le 17 min de lecture Critique

Dernière revue:

Dirigeant en réunion regardant des données

Le directeur financier reçoit un message vocal du PDG. La voix est la bonne, le ton est le bon, l’urgence est crédible : une acquisition confidentielle, un acompte à verser avant 17 h, surtout n’en parle à personne. Il vire 340 000 euros. Le PDG n’a jamais passé cet appel. La voix était synthétisée à partir de trois minutes d’une interview YouTube. Cette scène, je l’ai débriefée trois fois en dix-huit mois.

Angle de lecture

Le piège habituel

“J’ai une sécurité d’entreprise.” C’est la réponse que j’obtiens dans neuf cas sur dix quand je soulève la sécurité personnelle d’un dirigeant. Elle révèle une confusion de périmètre qui coûte cher. La sécurité d’entreprise protège l’entreprise : l’infrastructure, les postes, les emails professionnels, les accès VPNTunnel chiffré entre votre appareil et un serveur, masquant votre IP et votre trafic à votre FAI.. Elle ne protège pas le dirigeant comme individu — sa vie privée, sa famille, ses actifs personnels, son téléphone perso, sa réputation. Ces deux périmètres se chevauchent à peine, et l’angle mort entre les deux est précisément là où les attaquants entrent.

Le second piège est plus insidieux : le dirigeant se croit trop important pour être attaqué bêtement, et trop malin pour tomber dans un piège grossier. Les deux croyances sont fausses. Un dirigeant n’est pas attaqué bêtement, justement : il est attaqué avec soin, avec du temps de reconnaissance, avec un budget. Et il tombe dans le piège non pas par bêtise mais par bande passante — il décide vite, sous pression, entre deux réunions, sur son téléphone, et c’est exactement le terrain de jeu de l’attaquant.

Le discours dominant ajoute une couche de théâtre. On propose au dirigeant des formations de sensibilisation au phishingAttaque par ingénierie sociale qui pousse la cible à donner ses identifiants ou exécuter du code. conçues pour le salarié moyen — repérer la faute d’orthographe, l’adresse bizarre, la pièce jointe suspecte. Ces signaux n’existent pas dans une attaque ciblée contre un dirigeant. Le message est propre, l’expéditeur est crédible, le contexte est exact. La formation grand public ne prépare pas au modèle de menace réel. Elle rassure, ce qui est pire.

Le dernier piège, c’est l’asymétrie de traitement au sein de l’organisation. Le dirigeant est le seul à pouvoir refuser une mesure de sécurité que tout le monde subit. Il refuse le MFAAuthentification à plusieurs facteurs : combiner deux preuves d'identité indépendantes pour se connecter. contraignant parce qu’il est pressé, voyage en pays à risque sans préparation parce qu’il est habitué, utilise son téléphone personnel pour des décisions critiques parce que c’est pratique. Chaque exemption qu’il s’accorde devient le maillon le plus faible et le plus précieux de toute la chaîne.

Modèle de menace réel : pourquoi un dirigeant est une cible distincte

Un salarié standard représente un accès limité et un adversaire opportuniste. Un dirigeant représente quelque chose de différent sur plusieurs dimensions simultanées, et ses adversaires ne sont pas seulement des hackers anonymes. Ce sont aussi des concurrents en processus M&A, des cabinets d’avocats en litige adverse, des journalistes en due diligence, des États pratiquant l’espionnage économique, et parfois un ex-associé ou un ex-conjoint avec une rancune et du temps.

La valeur de l’accès. Un seul compte email de PDG compromis ouvre les communications sur les transactions M&A en cours, les décisions stratégiques non publiques, les échanges avec les actionnaires, les contrats sensibles. Pour un attaquant, c’est une mine qui peut valoir des dizaines de millions sur les bons marchés — délit d’initié, position de négociation, chantage.

L’influence directe sur les flux financiers. Le compte compromis ou simplement usurpé d’un dirigeant permet d’ordonner des virements. La fraude au présidentArnaque où un attaquant se fait passer pour un dirigeant pour ordonner un virement urgent. — ou BEC, Business Email Compromise — est la mécanique la plus rentable du moment. Selon l’IC3 du FBI, les pertes mondiales liées au BEC dépassent 55 milliards de dollars cumulés sur la dernière décennie, avec plusieurs milliards déclarés chaque année. La France n’est pas épargnée : les montants documentés par les parquets se chiffrent en centaines de millions annuels, et la majorité des cas ne sont jamais déclarés.

La richesse personnelle identifiable. Les registres publics — INPI, BODACC, Pappers, données cadastrales dans de nombreux pays — permettent de cartographier les actifs d’un dirigeant avec une précision déconcertante. Ces informations alimentent le chantage, la fraude à l’identité ciblée, et dans les cas extrêmes les menaces physiques contre les proches.

L’exposition géopolitique. Pour un dirigeant opérant en Chine, en Russie, dans certains pays du Moyen-Orient, ou dans toute zone à tension économique, l’espionnage est une réalité opérationnelle. Les services de renseignement économique de plusieurs États ciblent activement les dirigeants en déplacement : hôtels, téléphones, ordinateurs laissés en chambre, réseaux locaux contrôlés.

La visibilité médiatique auto-construite. Chaque post LinkedIn révèle les sujets en cours, les voyages, les contacts, les projets. Chaque photo de conférence donne une géolocalisation et des fréquentations. Chaque interview détaille la stratégie — et fournit, accessoirement, l’échantillon vocal qui servira au deepfakeMédia synthétique (image, vidéo, voix) généré par IA, imitant une personne réelle.. Cette visibilité est construite pour le business, mais elle alimente gratuitement et simultanément l’OSINTRenseignement à partir de sources ouvertes (publiques) : réseaux sociaux, registres, archives. de quiconque s’intéresse au dirigeant.

Les vecteurs d’attaque spécifiques

BEC et fraude au président

Le scénario type ne nécessite même pas de compromettre un compte. L’attaquant usurpe le domaine — un caractère changé, un sous-domaine plausible, un nom d’affichage identique — et écrit à la direction financière avec une demande de virement « urgente et confidentielle ». Quand le compte est réellement compromis (phishingAttaque par ingénierie sociale qui pousse la cible à donner ses identifiants ou exécuter du code., credential stuffing, leak databaseService qui indexe les données issues de breaches publiques ou semi-publiques. avec mot de passe réutilisé), l’attaque devient quasi indétectable : le message part de la vraie boîte, dans le vrai fil de discussion, avec le vrai style.

La protection centrale n’est pas technique, elle est procédurale : vérification hors-bande systématique pour tout virement au-dessus d’un seuil, par un canal différent de celui de la demande, vers un numéro déjà connu. Cette procédure doit s’appliquer même — surtout — quand la demande semble venir du PDG lui-même. Le dirigeant doit la défendre publiquement, sinon son équipe financière la contournera pour ne pas le déranger.

Spear phishing ciblé

Contrairement au phishing de masse, le spear phishingPhishing ciblé sur une personne précise, construit à partir de son profil OSINT. contre un dirigeant est bâti sur une reconnaissance approfondie : emploi du temps récent glané sur LinkedIn, projet en cours mentionné dans un communiqué, liste d’intervenants d’un événement, ton de communication imité. Le message est crédible parce qu’il est exact. Il fait référence à une réunion qui a réellement eu lieu, à un interlocuteur réel, à un dossier en cours.

La défense est comportementale, pas technique. Un lien dans un email, quelle que soit sa crédibilité, ne doit jamais déclencher d’action sensible sans vérification hors-bande. Le réflexe à installer : ralentir précisément quand le message pousse à accélérer.

Deepfake audio et vidéo

La synthèse vocale à partir de quelques minutes d’audio est aujourd’hui accessible, rapide et peu coûteuse. Le deepfakeMédia synthétique (image, vidéo, voix) généré par IA, imitant une personne réelle. vidéo en temps réel, encore imparfait il y a deux ans, est désormais utilisable en visioconférence dégradée. Les cas documentés s’accumulent : appels avec voix synthétisée ordonnant un virement, fausses visios de « direction » validant une opération. L’échantillon vocal provient de vos interviews, de vos podcasts, de vos prises de parole publiques. Vous l’avez vous-même mis en ligne.

La protection ne peut pas reposer sur la reconnaissance de la voix ou du visage. Elle repose sur un mot de passe verbal partagé hors-bande pour les opérations sensibles, et sur la règle absolue qu’aucun ordre financier ou d’accès ne se valide sur la seule foi d’un appel ou d’une visio.

Attaques via l’entourage

L’assistant, le conjoint, les enfants adultes, les prestataires habituels — chacun est un vecteur d’accès indirect, souvent plus simple que le dirigeant lui-même. Compromettre le téléphone d’un assistant donne l’agenda, les contacts, les habitudes de déplacement. Le profil Instagram d’un enfant donne la routine familiale, l’école, la résidence secondaire. L’attaquant prend le chemin le moins gardé, et ce chemin contourne presque toujours le dirigeant directement.

Le device personnel comme point d’entrée

Le téléphone personnel du dirigeant concentre tout : emails pro synchronisés en douce, validations bancaires, messageries, photos géolocalisées, applications mal tenues. Il n’est ni géré par le MDM de l’entreprise, ni couvert par l’EDRAgent installé sur les postes/serveurs qui détecte les comportements suspects et permet d'investiguer., ni inclus dans les sauvegardes maîtrisées. C’est l’actif le plus précieux et le moins protégé. Un SIM swapAttaque où un fraudeur convainc votre opérateur de basculer votre numéro vers sa propre SIM. sur le numéro personnel, et l’attaquant intercepte les codes TOTPCode à 6 chiffres généré toutes les 30 secondes par une app (Google Authenticator, Authy, etc.). par SMS de la moitié des comptes.

La bonne approche : encadrer sans contrôler

La bascule tient en une phrase : on ne sécurise pas un dirigeant en lui imposant les règles du salarié, on le sécurise en concevant une protection qui épouse sa contrainte réelle de bande passante. Toute mesure qui ralentit le dirigeant sans raison sera contournée. Toute mesure invisible une fois installée sera tenue. L’art consiste à déplacer la friction de l’usage vers la configuration.

Le MFA matériel plutôt que le MFA contraignant. Le dirigeant refuse le TOTPCode à 6 chiffres généré toutes les 30 secondes par une app (Google Authenticator, Authy, etc.). par application parce qu’il faut sortir le téléphone, ouvrir l’app, recopier un code, six fois par jour. Donnez-lui deux clés FIDO2Standard d'authentification forte par clé cryptographique matérielle, résistante au phishing. matérielles (YubiKeyClé d'authentification matérielle de Yubico, supportant FIDO2/WebAuthn, OTP, PIV, OpenPGP., une principale, une de secours). Un toucher, pas de code à recopier, résistant au phishing par construction. La friction disparaît une fois la clé enrôlée. C’est le seul MFAAuthentification à plusieurs facteurs : combiner deux preuves d'identité indépendantes pour se connecter. qu’un dirigeant garde réellement.

La compartmentation plutôt que l’interdiction. Interdire au dirigeant d’utiliser son téléphone perso échoue toujours. Lui fournir un second device dédié aux sujets sensibles — M&A, litiges, données personnelles — fonctionne, à condition qu’il soit aussi fluide que le sien. Le device pro devient le canal des décisions critiques ; le perso reste pour la vie privée. La séparation protège l’information sans demander au dirigeant de changer ses habitudes de fond.

Les procédures qui se déclenchent sans lui. Le dirigeant ne doit pas être le gardien des procédures, il doit en être le bénéficiaire. La vérification hors-bande des virements, la révocation d’accès en cas d’incident, le backupCopie de données conservée séparément pour restauration en cas de perte ou compromission. chiffré automatique de ses devices, tout cela tourne en arrière-plan, opéré par quelqu’un d’autre. Le dirigeant valide une fois la conception, puis n’y pense plus.

Le briefing avant les voyages à risque, court et incarné. Pas un document de 40 pages. Un échange de quinze minutes avant un déplacement vers une zone sensible : device de voyage vierge, communications via SignalMessagerie open-source à E2EE par défaut, opérée par la Signal Foundation., pas de connexion aux systèmes depuis le réseau local de l’hôtel, conduite à tenir en cas de saisie à la frontière (fouille à la frontièreFouille des appareils électroniques aux frontières par les douanes ou la police.) ou de demande de déverrouillage (divulgation forcéeObligation légale de fournir des mots de passe ou déchiffrer des appareils sous menace de sanction.). Quinze minutes ancrent un réflexe que quarante pages ne créent pas.

L’audit d’exposition personnel, traité comme du renseignement. L’OSINTRenseignement à partir de sources ouvertes (publiques) : réseaux sociaux, registres, archives. défensif sur le dirigeant lui-même, une à deux fois par an, par un tiers qui part de zéro comme un adversaire réel. Le résultat est presque toujours plus alarmant que prévu, et c’est précisément ce qui débloque l’adhésion du dirigeant aux autres mesures. Rien ne convainc un PDG comme voir son adresse domicile et le visage de son assistante remontés en quatre heures.

Ce que ça implique concrètement

Angle de lecture

Pour vous, en tant que personne

Votre exposition personnelle est le point d’entrée de toute attaque contre votre organisation. Pas votre pare-feu : vous. L’attaquant construit son approche à partir de ce qui est public sur vous, et vous êtes la seule personne qui peut décider de réduire cette surface. L’audit d’exposition n’est pas une option, c’est votre priorité.

Vos trois priorités, cette semaine :

  1. Deux clés FIDO2Standard d'authentification forte par clé cryptographique matérielle, résistante au phishing. matérielles sur vos comptes critiques. Email principal, banque, comptes professionnels clés. Une YubiKeyClé d'authentification matérielle de Yubico, supportant FIDO2/WebAuthn, OTP, PIV, OpenPGP. coûte 50 à 70 €, prenez-en deux (principale + secours). Un toucher, pas de code à recopier, et c’est le seul MFAAuthentification à plusieurs facteurs : combiner deux preuves d'identité indépendantes pour se connecter. qui résiste au spear phishingPhishing ciblé sur une personne précise, construit à partir de son profil OSINT.. Abandonnez le code par SMS, vulnérable au SIM swapAttaque où un fraudeur convainc votre opérateur de basculer votre numéro vers sa propre SIM..

  2. La règle « jamais sur la seule foi d’un message ». Décidez, et dites-le à votre direction financière et à votre assistant : aucun virement, aucun changement de RIB, aucun accès ne se valide sans un rappel sur un numéro déjà connu. Même si la demande semble venir de vous. C’est gratuit et ça arrête la fraude au présidentArnaque où un attaquant se fait passer pour un dirigeant pour ordonner un virement urgent..

  3. Un auto-audit d’exposition d’une soirée. Cherchez-vous sur Pappers et au BODACC, vérifiez vos adresses mail sur Have I Been Pwned, regardez votre LinkedIn déconnecté. Vous verrez ce qu’un adversaire voit. Coupez la géolocalisation de vos posts. Demandez à vos enfants de verrouiller leurs réseaux. Budget : zéro, hors les clés FIDO2.

Le coût réel de ces trois priorités tient sous 200 €. Le coût d’un seul virement frauduleux se compte en centaines de milliers d’euros.

Pour vous, RSSI / DSI / dirigeant

Le dirigeant est le maillon le plus exposé et le moins protégé de votre organisation. Il refuse le MFA contraignant, voyage sans préparation, décide sur son téléphone perso. Le sécuriser n’est pas un problème technique, c’est un problème de conception et de gouvernance. La bascule réorganise votre approche en cinq points.

1. Traitez l’exposition individuelle du dirigeant comme un actif organisationnel. L’attaquant ne vise pas votre infrastructure d’abord, il vise votre PDG, votre directeur financier, votre directeur juridique. L’OSINTRenseignement à partir de sources ouvertes (publiques) : réseaux sociaux, registres, archives. sur la personne physique est le préalable de l’attaque sur l’organisation. Conséquence directe : intégrez l’audit d’exposition des personnes-clés à votre programme de sécurité, au même rang qu’un pentest applicatif, une à deux fois par an par profil sensible.

2. Concevez la friction au moment de la configuration, jamais au moment de l’usage. Un dirigeant contourne toute mesure qui le ralentit en réunion. Le FIDO2Standard d'authentification forte par clé cryptographique matérielle, résistante au phishing. matériel, la compartmentation par device dédié, les procédures opérées par un tiers : tout cela déplace l’effort vers l’installation et libère l’usage. Conséquence directe : bannissez le TOTPCode à 6 chiffres généré toutes les 30 secondes par une app (Google Authenticator, Authy, etc.). par SMS pour les profils exposés, déployez deux clés FIDO2 par dirigeant, et ne demandez jamais au dirigeant d’être le gardien d’une procédure.

3. Institutionnalisez la vérification hors-bande et faites-la défendre par le dirigeant. La procédure anti-BEC ne vaut que si elle s’applique aux demandes venant du dirigeant lui-même, et que si l’équipe financière n’a pas peur de la déclencher. Conséquence directe : seuil écrit, canal de rappel imposé, et déclaration publique du dirigeant qu’il veut être rappelé. Sans ce parrainage explicite, la procédure est contournée au premier « c’est urgent ».

4. Couvrez le device personnel, qui est hors de votre périmètre mais dans votre risque. Le téléphone perso du dirigeant synchronise des emails pro, valide des accès, géolocalise des photos. Il échappe au MDM et à l’EDRAgent installé sur les postes/serveurs qui détecte les comportements suspects et permet d'investiguer.. Conséquence directe : fournissez un device pro dédié aux décisions sensibles, verrouillez le numéro contre le SIM swapAttaque où un fraudeur convainc votre opérateur de basculer votre numéro vers sa propre SIM. auprès de l’opérateur, et migrez la validation bancaire vers une app ou une clé, jamais le SMS.

5. Étendez les standards à l’entourage opérationnel. L’assistant de direction est un prolongement du dirigeant : agenda, contacts, déplacements, parfois accès aux systèmes. L’ignorer crée une faille évidente. Conséquence directe : formez et équipez l’assistant aux mêmes standards que le dirigeant, et incluez-le dans les briefings et les procédures de réponse à incident.

Pour vous, dirigeant

Vous êtes le maillon le plus exposé de votre organisation, et le moins protégé. Pas par négligence. Par construction. Vous êtes une cible de valeur — un accès, des flux financiers, une signature — et votre exposition personnelle est le chemin le plus court vers tout le reste. L’attaquant ne force pas votre pare-feu. Il vous étudie, vous.

Ce qui change concrètement n’est pas technique. C’est une question de priorité et de discipline personnelle.

Auditez votre propre exposition en premier. Avant l’infrastructure, avant l’EDR, avant le prochain outil que votre RSSI veut acheter : ce qui est publiquement trouvable sur vous. Votre adresse personnelle, vos déplacements récents, le visage de votre assistante, vos comptes mail dans les fuites. Un tiers qui part de zéro, comme un adversaire réel, une à deux fois par an. Le résultat vous surprendra, et c’est précisément ce qui vous fera accepter le reste. On ne protège pas ce qu’on n’a pas regardé.

Mettez une clé physique sur vos comptes personnels critiques. Pas vos comptes pro, que la DSI gère déjà. Les vôtres : votre banque, votre messagerie principale, vos réseaux sociaux. Ce sont eux qui servent de point de bascule vers le reste. Deux clés matérielles, une principale, une de secours. Abandonnez le code par SMS, qui tombe en une journée pour une cible qui en vaut la peine. Vous en valez toujours la peine.

Surveillez ce que vous publiez. Chaque post révèle un calendrier, une localisation, un interlocuteur. Chaque interview fournit l’échantillon vocal qui servira à imiter votre voix. Cette visibilité, vous la construisez pour le business. Elle alimente gratuitement le renseignement de quiconque s’intéresse à vous. Vous n’avez pas à disparaître. Vous devez décider, sciemment, ce que vous donnez.

Le maillon faible n’est pas l’employé qui clique sur le mauvais lien. C’est le dirigeant qui refuse la contrainte parce qu’il est le patron. L’exemption que vous vous accordez — « moi, je suis pressé, on verra plus tard » — est exactement celle que l’attaquant attend. La sécurité commence par vous, ou elle ne commence pas.

Erreurs qu’on voit tout le temps

  • Croire que la sécurité d’entreprise couvre le dirigeant. Elle couvre l’infrastructure, pas la personne. L’angle mort entre les deux périmètres est exactement la zone d’attaque.
  • Former le dirigeant au phishing comme un salarié. Les signaux du phishing de masse (faute, adresse bizarre) n’existent pas dans une attaque ciblée. La formation grand public rassure sans préparer.
  • Tolérer l’exemption MFA du dirigeant. « Il est pressé, on le passera plus tard » : c’est cette exemption qui fait du dirigeant le maillon le plus précieux pour l’attaquant. Une clé FIDO2Standard d'authentification forte par clé cryptographique matérielle, résistante au phishing. supprime la friction, plus d’excuse.
  • Garder le SMS comme second facteur. Le SIM swapAttaque où un fraudeur convainc votre opérateur de basculer votre numéro vers sa propre SIM. contourne le SMS en une journée pour une cible qui en vaut la peine. Et un dirigeant en vaut toujours la peine.
  • Faire valider les virements sur la seule foi d’un email ou d’un appel. C’est la porte d’entrée de la fraude au présidentArnaque où un attaquant se fait passer pour un dirigeant pour ordonner un virement urgent. et du deepfakeMédia synthétique (image, vidéo, voix) généré par IA, imitant une personne réelle. vocal. La vérification hors-bande coûte deux minutes et arrête l’attaque.
  • Oublier l’assistant et l’entourage. Le chemin le moins gardé contourne le dirigeant. L’assistant non formé, l’enfant qui géolocalise, le conjoint sur un Wi-Fi public : autant d’entrées indirectes.
  • Voyager en zone à risque sans device de voyage. Le laptop habituel laissé en chambre d’hôtel à Pékin n’est plus le vôtre au retour. Un device vierge coûte 600 €, un incident d’espionnage économique coûte une stratégie.
  • Faire un audit d’exposition une seule fois. Un audit de deux ans est faux : nouveaux leaks, nouveaux mandats, nouvelles photos. Le cycle est de six mois, trois pour les profils très exposés.

Checklist actionnable

  • N1 Deux clés FIDO2 matérielles sur l'email et les comptes critiques (abandonner le SMS)
  • N1 Couper la géolocalisation des posts publics et auditer son LinkedIn déconnecté
  • N1 Règle écrite : aucun virement ni accès validé sur la seule foi d'un email, appel ou visio
  • N2 Procédure de vérification hors-bande des virements, appliquée même aux demandes du dirigeant
  • N2 Device pro dédié aux sujets sensibles (M&A, litiges, données personnelles)
  • N2 Verrouiller le numéro personnel contre le SIM swap auprès de l'opérateur
  • N2 Assistant de direction formé et équipé aux mêmes standards de sécurité
  • N2 Mot de passe verbal partagé hors-bande pour les opérations sensibles (anti-deepfake)
  • N3 Audit OSINT d'exposition personnelle, une à deux fois par an, par un tiers
  • N3 Device de voyage vierge et briefing de 15 min avant toute zone à risque
  • N3 Suivi trimestriel du taux de profils exposés couverts par les trois mesures socles

Pour aller plus loin

Les références officielles figurent dans le frontmatter : les statistiques BEC de l’IC3 du FBI donnent l’ampleur réelle de la fraude au président, les recommandations de l’ANSSI cadrent l’authentification multifacteur pour les profils sensibles, et le panorama des menaces de l’ENISA situe le dirigeant dans le paysage européen.

Cet article décline un principe plus large appliqué à un profil particulier : votre exposition externe précède toute attaque, et le dirigeant en est la cible privilégiée. Pour cartographier ce qui est déjà public sur vous, commencez par L’audit d’exposition. Pour séparer durablement vos identités et vos canaux, voir Compartmentation d’identité. Et pour encadrer les déplacements de vos profils exposés sans tomber dans le théâtre documentaire, lisez Politique de voyage entreprise.

Sources et lectures complémentaires

Articles liés