Certaines professions sont plus susceptibles d\u2019\u00eatre victimes d\u2019une cyberattaque que d\u2019autres, et ce quelle que soit l\u2019entreprise. Aujourd\u2019hui, nous allons nous concentrer sur les cybermenaces con\u00e7ues pour s\u2019en prendre aux employ\u00e9s du service des ressources humaines. M\u00eame si ce n\u2019est pas la seule, cette raison est la plus \u00e9vidente\u00a0: les adresses e-mail des employ\u00e9s des ressources humaines apparaissent sur le site de l\u2019entreprise \u00e0 des fins de recrutement. Elles sont donc faciles \u00e0 trouver.<\/p>\n
Les employ\u00e9s des ressources humaines occupent un poste plut\u00f4t inhabituel\u00a0: ils re\u00e7oivent de nombreux messages externes mais ont aussi acc\u00e8s \u00e0 des donn\u00e9es personnelles que l\u2019entreprise doit absolument prot\u00e9ger et ne peut pas prendre le risque de divulguer.<\/p>\n
En g\u00e9n\u00e9ral, les cybercriminels acc\u00e8dent au p\u00e9rim\u00e8tre de s\u00e9curit\u00e9 de l\u2019entreprise en envoyant \u00e0 un des employ\u00e9s un message qui contient une pi\u00e8ce jointe ou un lien malveillant. C\u2019est pourquoi nous disons toujours \u00e0 nos lecteurs qu\u2019il ne faut en aucun cas ouvrir la pi\u00e8ce jointe des messages qui semblent suspects ou cliquer sur les liens, surtout si l\u2019exp\u00e9diteur est inconnu. Ce conseil n\u2019a aucun sens pour un employ\u00e9 des ressources humaines puisqu\u2019il ne conna\u00eet pas l\u2019exp\u00e9diteur de la plupart des messages externes re\u00e7us. De plus, de nombreux candidats envoient leur CV en pi\u00e8ce jointe ou introduisent un lien qui permet d\u2019avoir un aper\u00e7u de leur travail. Nous estimons qu\u2019au moins la moiti\u00e9 de ces messages peut \u00e9veiller les soup\u00e7ons.<\/p>\n
De plus, les portfolios ou les \u00e9chantillons de travail ont souvent un format peu courant. C\u2019est notamment le cas des fichiers hautement techniques des logiciels de CAO. La nature m\u00eame de leur travail exige aux employ\u00e9s des ressources humaines d\u2019ouvrir et d\u2019analyser le contenu des fichiers. M\u00eame si nous laissons de c\u00f4t\u00e9 le fait que les cybercriminels cachent parfois le v\u00e9ritable objectif d\u2019un fichier en modifiant son extension (est-ce un fichier CAO, des photos RAW, un document DOC ou un programme EXE\u00a0?), certains logiciels ne sont pas toujours mis \u00e0 jour et test\u00e9s minutieusement pour d\u00e9tecter les vuln\u00e9rabilit\u00e9s. Les experts trouvent m\u00eame des failles de s\u00e9curit\u00e9 qui permettent l\u2019ex\u00e9cution d\u2019un code arbitraire dans certains programmes pourtant tr\u00e8s utilis\u00e9s et r\u00e9guli\u00e8rement analys\u00e9s, comme Microsoft Office.<\/p>\n
Les grandes entreprises disposent peut-\u00eatre de plusieurs sp\u00e9cialistes responsables de la communication avec les candidats et avec les employ\u00e9s actuels, mais les petites entreprises n\u2019ont s\u00fbrement qu\u2019un seul responsable des ressources humaines qui s\u2019occupe de tout. Il est fort probable que cette m\u00eame personne ait acc\u00e8s \u00e0 toutes les donn\u00e9es personnelles d\u00e9tenues par l\u2019entreprise.<\/p>\n
Pourtant, si vous avez de mauvaises intentions, la bo\u00eete de r\u00e9ception du responsable RH pourrait \u00eatre une vraie mine d\u2019or. Les candidats qui envoient leur CV donnent explicitement ou implicitement leur accord \u00e0 l\u2019entreprise pour traiter et stocker leurs donn\u00e9es personnelles, mais ils n\u2019autorisent pas les intrus \u00e0 y acc\u00e9der. Les cybercriminels peuvent profiter de l\u2019acc\u00e8s \u00e0 ces informations pour faire du chantage.<\/p>\n
Lorsqu\u2019il s\u2019agit d\u2019extorsion, nous ne pouvons pas n\u00e9gliger les ransomwares. Avant de priver le propri\u00e9taire de son acc\u00e8s aux donn\u00e9es, le dernier effort consiste d\u2019abord \u00e0 le lui voler<\/a>. Si ce genre de malware s\u2019installe dans l\u2019ordinateur d\u2019un employ\u00e9 RH, les escrocs peuvent toucher le jackpot de donn\u00e9es personnelles.<\/p>\n Vous prenez des risques si vous d\u00e9cidez de faire uniquement confiance \u00e0 vos employ\u00e9s, parfois cr\u00e9dules ou pas assez bien form\u00e9s. L\u2019utilisation d\u2019une attaque de compromission de la messagerie d\u2019entreprise (BEC)<\/a> est certes plus difficile mais aussi beaucoup plus efficace. C\u2019est pour cela que c\u2019est un acteur majeur et l\u2019option \u00e9vidente pour s\u2019en prendre aux RH. Les attaques de ce type cherchent souvent \u00e0 prendre le contr\u00f4le de la bo\u00eete de r\u00e9ception des employ\u00e9s pour convaincre leurs coll\u00e8gues de faire un virement ou de transf\u00e9rer des informations confidentielles. Pour garantir le succ\u00e8s de cette action, les cybercriminels doivent pirater le compte d\u2019une personne dont les employ\u00e9s suivront les ordres, la plupart du temps un cadre. La phase active de l\u2019op\u00e9ration est pr\u00e9c\u00e9d\u00e9e d\u2019une longue et minutieuse t\u00e2che\u00a0: trouver un employ\u00e9 de haut rang. C\u2019est pour cela que la bo\u00eete de r\u00e9ception du responsable RH peut s\u2019av\u00e9rer particuli\u00e8rement utile.<\/p>\n Pour r\u00e9duire au minimum le risque d\u2019avoir des intrus qui arrivent \u00e0 acc\u00e9der aux ordinateurs du service des ressources humaines, nous vous conseillons de suivre ces quelques conseils :<\/p>\nUn tremplin pour des attaques BEC plus convaincantes<\/h3>\n
Comment prot\u00e9ger l\u2019ordinateur des RH<\/h2>\n
\n