Dirigeant exposé : modèle de menace spécifique

J’ai fait l’audit de surface d’un PDG du CAC 40. En 4 heures : son adresse personnelle, ses voitures, son club de sport, les écoles de ses enfants, ses investissements personnels, le nom de son assistante, et les hôtels qu’il fréquente à Paris. Tout en sources publiques. Ce n’est pas un scénario hypothétique. C’est ce que fait un journaliste, un avocat adverse, un concurrent, un État, ou un ex-employé mécontent.

Le piège habituel

“J’ai une sécurité d’entreprise.”

C’est la réponse que j’entends dans neuf cas sur dix quand je soulève la question de la sécurité personnelle avec un dirigeant. La sécurité d’entreprise protège l’entreprise. Elle sécurise l’infrastructure, les postes de travail, les emails professionnels, les accès VPN. Elle ne protège pas le dirigeant comme individu — sa vie privée, sa famille, ses actifs personnels, sa réputation, sa sécurité physique. Ces deux périmètres se chevauchent à peine.

Et c’est précisément l’angle mort que les attaquants exploitent.

---

Pourquoi un dirigeant est une cible distincte

Un salarié standard représente un accès limité. Un dirigeant représente quelque chose de fondamentalement différent sur plusieurs dimensions simultanées.

La valeur de l’accès. Un seul compte email de PDG compromis donne accès aux communications sur les transactions M&A en cours, aux décisions stratégiques non publiques, aux échanges avec les actionnaires, aux contrats sensibles. Pour un attaquant — qu’il soit concurrent, État ou criminel — c’est une mine d’informations qui peut valoir des dizaines de millions d’euros sur les bons marchés.

L’influence directe. Le email spoofé ou le compte compromis d’un PDG permet d’ordonner des virements. La fraude BEC (Business Email Compromise) représente plus de 28 milliards de dollars de pertes annuelles mondiales selon le FBI. La mécanique est simple : un email crédible du PDG à la direction financière, une demande de virement “urgent et confidentiel”, un compte bancaire contrôlé par l’attaquant. Documenté, récurrent, et massivement sous-estimé dans les entreprises françaises.

La richesse personnelle identifiable. Les registres publics — INPI, Bodacc, données cadastrales — permettent d’identifier les actifs d’un dirigeant avec une précision déconcertante. Ces informations servent de base aux tentatives de chantage, aux fraudes à l’identité ciblées, et dans les cas extrêmes, aux enlèvements ou aux menaces physiques contre les proches.

L’exposition géopolitique. Pour les dirigeants d’entreprises opérant en Chine, en Russie, au Moyen-Orient, ou dans tout pays à tensions économiques ou politiques, l’espionnage économique est une réalité, pas une hypothèse. Les services de renseignement économique de plusieurs États ciblent activement les dirigeants en déplacement — hôtels, téléphones, ordinateurs.

La visibilité médiatique auto-construite. Chaque post LinkedIn révèle les sujets en cours de traitement, les voyages, les contacts, les projets. Chaque photo de conférence précise la géolocalisation et les fréquentations. Chaque interview détaille la stratégie. Cette visibilité est construite pour le business, mais elle alimente simultanément et gratuitement l’OSINT de quiconque s’intéresse au dirigeant.

---

Les vecteurs d’attaque spécifiques aux dirigeants

BEC (Business Email Compromise)

Le compte email du dirigeant est compromis (phishing, credential stuffing, accès physique au device) ou simplement usurpé (spoofing de domaine). L’attaquant utilise ensuite cette position pour ordonner des virements, exfiltrer des informations confidentielles, ou préparer une attaque plus large contre l’entreprise.

La protection centrale : procédure de vérification téléphonique systématique pour tout virement dépassant un seuil donné, quelle que soit la provenance apparente de la demande. Cette procédure doit s’appliquer même — surtout — quand la demande vient du PDG lui-même.

Spear phishing ciblé

Contrairement au phishing de masse, le spear phishing contre un dirigeant est construit à partir d’une reconnaissance approfondie : emploi du temps récent (conférence mentionnée sur LinkedIn), projets en cours (communiqué de presse), contacts directs (liste des intervenants d’un événement). Le message est crédible parce qu’il est personnalisé avec des informations réelles.

La défense n’est pas technique — c’est comportementale. Un lien cliqué dans un email, quelle que soit sa crédibilité apparente, doit déclencher une vérification hors-bande avant toute action sensible.

Deepfake audio et vidéo

La technologie de synthèse vocale à partir de quelques minutes d’audio est accessible et peu coûteuse. Des cas documentés existent d’appels téléphoniques avec la voix synthétisée d’un dirigeant, ordonnant des virements ou des actions sensibles. La courbe d’adoption de ces attaques est ascendante.

La protection : protocoles de vérification qui ne reposent pas uniquement sur la reconnaissance de la voix ou de la vidéo.

Attaques via l’entourage proche

L’assistant, le conjoint, les enfants adultes, les prestataires habituels — chacun représente un vecteur d’accès indirect. Compromettre le téléphone d’un assistant donne accès à l’agenda, aux contacts, aux habitudes de déplacement du dirigeant. C’est souvent plus simple que d’attaquer le dirigeant directement.

---

Ce qui change dans la posture de sécurité

Le modèle de menace d’un dirigeant est plus large que celui d’un salarié standard — pas seulement en intensité, mais en nature. Les attaquants ne sont pas seulement des hackers. Ce sont aussi des journalistes d’investigation en due diligence, des cabinets d’avocats en litige adverse, des concurrents en processus M&A, des États pratiquant l’espionnage économique.

Devices dédiés pour les sujets sensibles. Un dirigeant qui traite des sujets M&A, des litiges en cours, ou des données personnelles sensibles sur le même laptop qu’il utilise pour surfer sur internet compromet l’étanchéité de l’information. Les devices dédiés ne sont pas du luxe — ils sont une mesure de compartmentation élémentaire.

Briefing régulier avec la DSI. Pas seulement en cas d’incident. Un dirigeant exposé devrait avoir un échange mensuel ou trimestriel avec le RSSI sur son profil de risque spécifique, les menaces récentes sur des profils similaires, et l’état de ses mesures de protection.

Les mêmes standards pour l’assistant proche. L’assistant de direction est un prolongement du dirigeant sur le plan de la sécurité. Il a accès à l’agenda, aux déplacements, aux contacts, parfois aux systèmes. Ne pas l’inclure dans les formations et procédures de sécurité crée une faille évidente.

---

La surface personnelle : ce qu’on ne voit plus

La plupart des dirigeants ont perdu conscience de leur surface d’information personnelle parce qu’elle s’est construite progressivement, sans décision consciente.

LinkedIn : chaque post compile une photo du dirigeant en activité — lieu, date, sujet traité, personnes présentes. En deux heures de recherche sur le profil LinkedIn d’un dirigeant, un attaquant compétent connaît ses déplacements récents, ses sujets d’intérêt, ses contacts directs, et les projets en cours.

Les registres publics : parts détenues dans des sociétés (INPI), mandats en cours (Bodacc), biens immobiliers (registres fonciers dans de nombreux pays). Ces données sont légales, accessibles, et constituent la base des opérations de ciblage patrimonial.

Les enfants : les profils de réseaux sociaux d’enfants mineurs ou d’enfants adultes sont souvent des mines d’information sur la famille — localisation habituelle, école, activités, cercle d’amis. Un enfant qui poste sa routine quotidienne renseigne sur les habitudes familiales qui permettent de prédire les déplacements du parent.

---

Le Chief of Staff sécurité : ce que c’est vraiment

Pour les profils très exposés, un Chief of Staff dédié à la coordination de la sécurité personnelle du dirigeant vaut plus que la plupart des outils techniques.

Ce que c’est : une personne de confiance qui maintient les mesures de sécurité du dirigeant en état opérationnel — devices à jour, procédures appliquées, briefings avant les voyages, coordination avec la DSI, gestion des incidents. Elle assure la cohérence entre la sécurité personnelle et la sécurité d’entreprise.

Ce que ce n’est pas : un garde du corps, un responsable de sécurité technique, un prestataire externe. C’est une personne intégrée à l’équipe du dirigeant, avec une confiance établie et une connaissance fine du contexte.

Pourquoi ça fonctionne : un dirigeant très exposé n’a pas le temps de gérer lui-même l’hygiène de sécurité. Ce n’est pas une question de priorité ou de compétence — c’est une question de bande passante. Le Chief of Staff sécurité prend en charge ce que le dirigeant n’a pas le temps de faire, sans que les mesures soient constamment compromises par l’urgence opérationnelle.

Pour les profils moins exposés ou les structures plus petites, ce rôle peut être partiellement tenu par l’assistant de direction, à condition que celui-ci soit formé et disposé à l’assumer.

---

Mesures pratiques par niveau d’exposition

Niveau 1 — Tout dirigeant :

• MFA hardware (clé physique type YubiKey) sur les comptes email et critiques — les codes SMS ne sont pas suffisants
• Vigilance sur les demandes de virement inhabituelles, même de sources apparemment connues
• Arrêt de la géolocalisation des posts publics sur les réseaux sociaux

Niveau 2 — Dirigeant avec exposition sectorielle ou médiatique :

• Assistant briefé sur les procédures de sécurité (phishing, demandes inhabituelles, tentatives d’ingénierie sociale)
• Device séparé pour les sujets M&A, litiges, et données personnelles sensibles
• Procédure de vérification téléphonique systématique pour les virements au-dessus d’un seuil
• Séparation réseau personnel / réseau professionnel à domicile

Niveau 3 — Dirigeant très exposé (géopolitique, M&A actif, contentieux majeur) :

• Chief of Staff sécurité ou coordinateur dédié
• Audit OSINT annuel sur sa propre personne, réalisé par un prestataire externe
• Veille médiatique active sur son nom et celui de l’entreprise
• Procédure de réponse à crise communication intégrée à la gestion de la sécurité

---

• N1 MFA hardware (clé physique) sur le compte email et les comptes critiques
• N1 Arrêter de géolocaliser les posts publics sur les réseaux sociaux
• N2 Procédure de vérification téléphonique pour les virements importants
• N2 Device séparé pour les sujets M&A, litiges, données sensibles
• N2 Assistant de direction briefé sur les procédures de sécurité
• N2 Séparation réseau personnel / professionnel à domicile
• N3 Audit OSINT annuel sur sa propre personne par un prestataire externe
• N3 Veille médiatique active sur son nom et ses affiliations
• N3 Chief of Staff sécurité pour les profils très exposés
• N3 Protocole de réponse à crise communication intégré à la gestion de sécurité