Cybermenaces : service RH pris pour cible

Pourquoi les ordinateurs des ressources humaines sont particulièrement vulnérables et comment les protéger.

Certaines professions sont plus susceptibles d’être victimes d’une cyberattaque que d’autres, et ce quelle que soit l’entreprise. Aujourd’hui, nous allons nous concentrer sur les cybermenaces conçues pour s’en prendre aux employés du service des ressources humaines. Même si ce n’est pas la seule, cette raison est la plus évidente : les adresses e-mail des employés des ressources humaines apparaissent sur le site de l’entreprise à des fins de recrutement. Elles sont donc faciles à trouver.

Cybermenaces et RH

Les employés des ressources humaines occupent un poste plutôt inhabituel : ils reçoivent de nombreux messages externes mais ont aussi accès à des données personnelles que l’entreprise doit absolument protéger et ne peut pas prendre le risque de divulguer.

Messages entrants

En général, les cybercriminels accèdent au périmètre de sécurité de l’entreprise en envoyant à un des employés un message qui contient une pièce jointe ou un lien malveillant. C’est pourquoi nous disons toujours à nos lecteurs qu’il ne faut en aucun cas ouvrir la pièce jointe des messages qui semblent suspects ou cliquer sur les liens, surtout si l’expéditeur est inconnu. Ce conseil n’a aucun sens pour un employé des ressources humaines puisqu’il ne connaît pas l’expéditeur de la plupart des messages externes reçus. De plus, de nombreux candidats envoient leur CV en pièce jointe ou introduisent un lien qui permet d’avoir un aperçu de leur travail. Nous estimons qu’au moins la moitié de ces messages peut éveiller les soupçons.

De plus, les portfolios ou les échantillons de travail ont souvent un format peu courant. C’est notamment le cas des fichiers hautement techniques des logiciels de CAO. La nature même de leur travail exige aux employés des ressources humaines d’ouvrir et d’analyser le contenu des fichiers. Même si nous laissons de côté le fait que les cybercriminels cachent parfois le véritable objectif d’un fichier en modifiant son extension (est-ce un fichier CAO, des photos RAW, un document DOC ou un programme EXE ?), certains logiciels ne sont pas toujours mis à jour et testés minutieusement pour détecter les vulnérabilités. Les experts trouvent même des failles de sécurité qui permettent l’exécution d’un code arbitraire dans certains programmes pourtant très utilisés et régulièrement analysés, comme Microsoft Office.

Accès aux données personnelles

Les grandes entreprises disposent peut-être de plusieurs spécialistes responsables de la communication avec les candidats et avec les employés actuels, mais les petites entreprises n’ont sûrement qu’un seul responsable des ressources humaines qui s’occupe de tout. Il est fort probable que cette même personne ait accès à toutes les données personnelles détenues par l’entreprise.

Pourtant, si vous avez de mauvaises intentions, la boîte de réception du responsable RH pourrait être une vraie mine d’or. Les candidats qui envoient leur CV donnent explicitement ou implicitement leur accord à l’entreprise pour traiter et stocker leurs données personnelles, mais ils n’autorisent pas les intrus à y accéder. Les cybercriminels peuvent profiter de l’accès à ces informations pour faire du chantage.

Lorsqu’il s’agit d’extorsion, nous ne pouvons pas négliger les ransomwares. Avant de priver le propriétaire de son accès aux données, le dernier effort consiste d’abord à le lui voler. Si ce genre de malware s’installe dans l’ordinateur d’un employé RH, les escrocs peuvent toucher le jackpot de données personnelles.

Un tremplin pour des attaques BEC plus convaincantes

Vous prenez des risques si vous décidez de faire uniquement confiance à vos employés, parfois crédules ou pas assez bien formés. L’utilisation d’une attaque de compromission de la messagerie d’entreprise (BEC) est certes plus difficile mais aussi beaucoup plus efficace. C’est pour cela que c’est un acteur majeur et l’option évidente pour s’en prendre aux RH. Les attaques de ce type cherchent souvent à prendre le contrôle de la boîte de réception des employés pour convaincre leurs collègues de faire un virement ou de transférer des informations confidentielles. Pour garantir le succès de cette action, les cybercriminels doivent pirater le compte d’une personne dont les employés suivront les ordres, la plupart du temps un cadre. La phase active de l’opération est précédée d’une longue et minutieuse tâche : trouver un employé de haut rang. C’est pour cela que la boîte de réception du responsable RH peut s’avérer particulièrement utile.

Comment protéger l’ordinateur des RH

Pour réduire au minimum le risque d’avoir des intrus qui arrivent à accéder aux ordinateurs du service des ressources humaines, nous vous conseillons de suivre ces quelques conseils :

  • Dans la mesure du possible, isolez les ordinateurs des RH sur un sous-réseau séparé afin d’éviter que la menace ne se répande au réseau de l’entreprise même si un ordinateur est infecté.
  • Ne stockez aucune information personnellement identifiable sur les postes de travail. Mettez-les sur un serveur différent ou, encore mieux, dans un système spécialement conçu pour ces données et protégé par une authentification à plusieurs facteurs.
  • Tenez compte des conseils des professionnels RH quant à la formation de sensibilisation de l’entreprise. Faites-en sorte qu’ils soient les premiers à la suivre.
  • Demandez aux responsable RH de faire très attention aux formats des fichiers envoyés par les candidats. Les recruteurs devraient être capables de détecter un fichier exécutable et de savoir qu’il ne faut pas l’ouvrir. Dans l’idéal, élaborez ensemble une liste des formats de fichiers acceptés pour les CV et les échantillons de travail, et mentionnez ces informations dans l’offre d’emploi pour que les candidats de bonne foi le sachent.

En fin et surtout, suivez les règles de base en sécurité. Mettez les programmes des ordinateurs des responsables HR à jour dès que possible, instaurez une politique de mots de passe stricte et facile à suivre (pas de mot de passe faible ou déjà utilisé pour les ressources internes ; mot de passe régulièrement modifié) et installez une solution de sécurité sur tous les dispositifs capable de détecter rapidement les nouvelles menaces et d’identifier les tentatives d’exploitation des vulnérabilités de MS Office ou de tout autre programme.

Conseils