On s’imagine souvent, à tord, que les départements marketing et communication sont à l’abri des cyberattaques. Et pourtant, la réalité est que ces départements sont des cibles privilégiées pour les cyber-attaquants, pour les raisons suivantes. Les marqueteurs et communicants sont par définition des proies faciles pour les cyber-criminels : ils sont souvent moins bien formés, moins bien sensibilisés, et sont plus à même de laisser passer une attaque sans s’en apercevoir. Ensuite, ils utilisent chaque jour de nombreux outils numériques, qui sont autant de portes d’entrées sur les entreprises.
En effet, les départements marketing et communication utilisent de plus en plus de solutions et d’outils digitaux. Ces départements comme tous les autres, se numérisent à grande vitesse : fichiers clients, fichiers de prospection, gestion du site internet, utilisation des médias sociaux, avec parfois des identifiants partagés, etc. Tous ces éléments sont autant de faiblesses pour les départements marketing et communication des entreprises.
Seulement cette situation de vulnérabilité est loin d’être une fatalité : le marketing et la communication peuvent en effet être une cible de choix pour les hackers, être un facteur de risques, mais ils peuvent aussi devenir ambassadeurs et promoteurs de la cybersécurité dans leur entreprise.
Les départements marketing et communication : des cibles de choix pour les cyber attaquants
L’éventail des outils numériques utilisés par les départements marketing et communication rendent l’entreprise d’autant plus vulnérable.
Voici les principaux outils qui constituent des portes d’entrées pour les cyber-attaquants :
L’email. En effet l’email est par définition numérique. Et le marketing par email est aujourd’hui une solution particulièrement prisée : pour l’envoi de newsletters, dans le cadre de stratégie de marketing automation, etc. Seulement les emails sont bien connus pour être une méthode particulièrement utilisée par les cyber-criminels pour mener à bien leurs attaques : 90% des attaques seraient imputables aux emails. C’est ce qu’on appelle le phishing. Les cyber-attaquants envoient des emails en se faisant passer pour des institutions légitimes, et incitent les internautes à cliquer sur des liens frauduleux. De plus, les départements marketing et communication traitent une grande quantité de données personnelles, les rendant particulièrement vulnérables aux “escroqueries au DPO” (voir l’exemple 1 ci-dessous). L’équipe marketing est tout particulièrement vulnérable face à ce type d’attaque car ce sont généralement eux qui interagissent avec les clients, ou avec des cyber-criminels qui souhaiteraient se faire passer pour des clients.
L’exemple ci-dessus illustre une arnaque au DPO : les cyber-criminels tentent de se faire passer pour une institution légitime (ici la CNIL), et menacent de sanctions financières importantes. Les attaquants jouent ici sur la peur, sur la pression, et incitent leur interlocuteur à réagir au plus vite.
Envoyer cet email au département marketing (qui traite un grand nombre de données personnelles) fait sens. Il est important de savoir que la CNIL ne propose aucune prestation de mise en conformité payante. De plus, si vos clients portent réclamation auprès de la CNIL, cette dernière vous laissera probablement un délai afin de prouver votre bonne foi et de vous mettre en conformité : vous ne devriez en général pas être menacé de sanction tout de suite.
L’exemple ci-dessus est une parfaite illustration de phishing : un email est envoyé au département marketing. L’émetteur du message souhaite se faire passer pour le service client d’un outil en ligne (comme Canva par exemple) et incite son interlocuteur à cliquer sur un lien afin de modifier le mot de passe associé au compte. En cas de doute sur la sécurité de votre compte, ne cliquez pas sur le lien de l’email pour en modifier les identifiants. Rendez-vous sur le site directement depuis votre moteur de recherche habituel, et modifiez votre mot de passe. Si cet email se révèle être du phishing, vous pourriez, en cliquant sur le lien, atterrir sur une landing page conçue pour vous faire penser que vous êtes sur le bon site, entrer vos identifiants de connexion, qui seraient alors aussitôt volés par les attaquants.
Le site internet. Aujourd’hui, toute entreprise, même celle qui ne vend pas directement en ligne, possède un site internet. WordPress en l’occurence est l’une des plateforme CMS les plus largement ciblée. Les attaquants exploitent les vulnérabilités de la plateforme, mais également les vulnérabilités des plug-ins les plus populaires. En passant par ces vulnérabilités, les attaquants auraient alors la possibilité d’infiltrer votre site internet, pour vous en bloquer définitivement l’accès, ou pour espionner vos activités discrètement, sans que vous ne vous en rendiez compte. Au delà de ces vulnérabilités, les cyber-criminels peuvent mener différentes attaques : attaques DDoS (votre site est inondé par une immense quantité de trafic qu’il ne saurait supporter), attaque SQL (l’attaquant tente d’accéder aux bases de données de votre site), attaque par mot de passe (l’attaquant tente alors toutes les combinaisons de mot de passe possibles jusqu’à trouver la bonne, et peut alors prendre la main sur le site internet), etc. Pour en savoir plus sur l’injection SQL, vous pouvez consulter notre article de blog à ce sujet.
Les réseaux sociaux. Les réseaux sociaux sont également largement utilisés par les départements marketing et communication. Le danger augmente lorsque les équipes et les différents membres qui les composent accèdent aux mêmes comptes de réseaux sociaux, et partagent ainsi leurs mots de passe. Le détournement de ces comptes réseaux sociaux permet aux attaquants de récolter des informations personnelles et parfois confidentielles, de détourner les comptes, et parfois même d’avoir recours à de la diffamation ou de la désinformation.
Le social engineering. Les marqueters (plus que les communicants) travaillent également avec de nombreux prestataires extérieurs tels que des fournisseurs, des partenaires, des sous-traitants, etc., ce qui nécessite bien souvent l’échange de données sensibles entre ces différents services. Ces échanges sont bien souvent menés loin de la supervision du département informatique, exposant l’entreprise à d’autant plus de risques. Les cyber-criminels pourraient alors se faire passer pour ces différents interlocuteurs et ainsi modifier l’adresse ou les modalités de paiement par exemple. Pour en savoir plus sur les techniques de social engineering, vous pouvez consulter notre article sur ce sujet.
Alors face à ces multiples portes d’entrées, comment les départements marketing et communication peuvent-ils se protéger des cyber-menaces ?
Comment protéger le département marketing/communication des cyber-risques ?
Les départements marketing et communication sont donc au coeur de la transformation numérique des entreprises. Il est alors primordial de veiller à ce que ces bouleversements ne créent pas de risques supplémentaires pour l’entreprise.
Voici donc quelques manières de sécuriser les départements marketing et communication et leur utilisation des outils numériques.
Utiliser des mots de passe forts. Car on le sait, les mots de passe sont une porte d’entrée à ne pas négliger. La première règle est donc d’utiliser des mots de passe forts (combinaison de 15 à 20 chiffres, lettres, caractères spéciaux). Cette première règle permet de limiter les attaques possibles. En effet, la solution la plus rapide pour les cyber-attaquants pour deviner vos mots de passe est ce qu’on appelle “l’attaque par force brute”. Cela désigne l’action d’un robot (un bot) qui tente alors des milliers de combinaisons de mots de passe à la seconde. En rajoutant des caractères, vous rendez leur travail beaucoup plus laborieux. En effet, pour deviner un mot de passe de 15 à 20 caractères, qui respecte les critères cités ci-dessus, il faudra plusieurs milliers d’années au bot pour deviner votre mot de passe. La deuxième règle est d’utiliser un mot de passe unique pour chaque accès. En effet, cette technique permet de limiter le périmètre d’une éventuelle attaque. Car malgré toutes les bonnes pratiques du monde, parfois les cyber-attaquants réussissent tout de même à entrer. Si vous utilisez des mots de passes uniques, différents sur chacun de vos comptes utilisateurs, vous limitez le périmètre de l’attaque au seul compte touché. Car les cyber-criminels sont bien au fait du manque de sensibilisation de la majorité des internautes : si l’un de vos mots de passe est découvert, il sera alors ensuite testé sur tout vos comptes en ligne. Si vous n’utilisez qu’un seul mot de passe pour tout vos accès en ligne, en cas de piratage, tous ces derniers seraient alors vulnérables, bien qu’un seul n’ai été piraté. Une autre règle exige qu’aucun de vos mots de passe ne soient écrits et visibles de tous : pour des questions de sécurité il n’est pas possible d’écrire son mot de passe dans un cahier posé sur son bureau, ou sur un post-il collé à l’écran, et ce même si vous êtes le/la seul(e) à le consulter, et même si vous faite particulièrement confiance à vos collègues de travail. Ces derniers pourraient utiliser vos identifiants de connexion, les partager, ou les utiliser avec beaucoup moins de précaution que vous (dans le meilleur des cas). Car il ne faut pas oublier que les actes internes de malveillance existent, et sont bien plus courants que ce qu’on pourrait imaginer. L'ASTUCE Mais alors comment retenir une vingtaine (voir peut-être une trentaine pour les plus aguerris) de mots de passe aussi longs, si on ne peut les noter nul part ? Et comment les partager entre collègues (car oui, parfois c’est nécessaire) si on ne peut ni le dire à voix haute, ni même l’écrire ? De nombreux coffre-forts à mot de passe existent (e.g. Dashlane, Password Keeper Manager). Ils vous permettent de générer des mots de passe automatiquement (plus besoin de réfléchir 10 jours à quels seront les caractères qui composeront votre mot de passe), de les sauvegarder, et de les partager de manière fiable et sécurisée.
Couplez l’utilisation de mots de passe fort à l’authentification à double facteur. Cette technique d’authentification est particulièrement utilisée lors de connexions dites “sensibles”, comme lorsque vous souhaitez vous connecter à votre compte bancaire, ou à des sites pouvant détenir des informations confidentielles sur vous (comptes CAF, Ameli, etc.). Cette authentification à double facteur est généralement une identification par mot de passe, couplée à une identification biométrique (reconnaissance faciale ou d’empreintes digitales). Cela peut également être l’envoi d’un code confidentiel sur un autre de vos appareils de confiance enregistré (code envoyé par sms par exemple). Cette double authentification n’est pas forcément proposée sur tous les outils en ligne, et bien souvent, cette fonction n’est pas accessible par défaut : il est alors nécessaire de l’activer dans les paramètres. Cette double authentification est particulièrement utile, car elle permet de s’assurer que la personne qui entre le mot de passe est bien autorisée à accéder au compte en question. En cas de piratage de l’un de vos comptes, et si un de vos mots de passe était découvert, l’authentification à double-facteur empêcherait le cyber-attaquant d’accéder à votre compte en ligne, bien qu’il en ai le mot de passe.
Mettez régulièrement vos logiciels à jour. Comme mentionné dans cette première partie, les attaques (sur les sites web notamment) profitent des vulnérabilités des CRM, des plug-ins populaires, des logiciels fréquemment utilisés, des navigateur de recherches, etc. En mettant à jour vos logiciels, votre site internet, et vos plug-ins, vous corrigez ces failles au fur et à mesure qu’elles sont découvertes. Bien sûr, des centaines de vulnérabilités sont découvertes chaque jour, et une mise à jour ne protège pas à 100% des attaques qui pourraient survenir. Mais il est important de corriger ces failles au fur et à mesure qu’elles sont découvertes, avant qu’elles ne soient trop largement exploitées.
Encouragez la collaboration entre les départements marketing, communication et informatique. En effet, la plupart des erreurs internes qui mènent à des cyber incidents sont dû à des manipulations réalisées bien loin de la supervision du département informatique. Il est difficile pour ce dernier de sécuriser des outils ou des pratiques dont il n’aurait pas connaissance. La mise en place et l’utilisation de nouveaux outils numériques doit se faire en étroite collaboration avec le département informatique qui sera alors à même d’expliquer quelles sont les failles apportées par l’utilisation de cet outil, quels sont les éléments à prendre en compte, de quoi faut-il se méfier, quelles attaques pourraient alors être perpétrées et comment les reconnaitre, et quelle réaction tenir en cas d’incident. Bien souvent, les équipes marketing et de communication voient le département IT comme un élément pouvant ralentir leurs progrès et leur efficacité. Mais les départements marketing et de communication, comme beaucoup de profession aujourd’hui, se numérisent à grands pas. Cette digitalisation apporte de nouveaux risques, qu’il est nécessaire d’identifier et de prendre en compte, pour la pérennité de l’entreprise entière.
Les marqueteurs et les communicants : ambassadeurs de la cybersécurité ?
Les départements marketing et communication sont donc des cibles de choix pour les cyber-attaquants, qui les savent moins bien préparés et moins prudents. Pourtant, ces deux fonctions pourraient devenir les meilleurs ambassadeurs de la cybersécurité de leur entreprise. En effet, il est nécessaire que ces départements soient au fait des risques que leurs activités peuvent générer pour leur entreprise. Il est ainsi nécessaire d’inclure ces activités de marketing et de communication dans la gestion quotidienne des cyber risques en entreprise.
Il est capital que les départements marketing et communication réalisent l’importance de cette collaboration avec le département informatique, car c’est le rôle de ce dernier que de sécuriser leurs pratiques quotidiennes, afin de les pérenniser.
Sensibiliser les équipes de marketing et de communication, les former aux risques et aux bonnes pratiques de la cybersécurité, les accompagner dans la numérisation de leurs activités quotidiennes, pour qu’ils deviennent des promoteurs de la cybersécurité de leur entreprise.
Articles complémentaires :
Vous avez apprécié cet article de blog ?
Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !
Nous avons besoin de vos réponses !
En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.
Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !
Merci pour vos réponses !
Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !
Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !
Comments