Les postulations numériques sont parfois des attaques sous couvert

La transformation digitale a radicalement modifié la manière de trouver le collaborateur idéal. En 2018, 96% des candidats et 91% des recruteurs ont utilisé des plateformes digitales (jobboards). 54% des actifs ont postulé via leur téléphone portable1. L’époque du dossier plastifié est reléguée au rang de souvenir des années 2000.

Les processus modernes de recrutement de talents nécessitent des interactions numériques permanentes, sur les réseaux sociaux professionnels, les plateformes d’emploi ou plus simplement par courriers électroniques. Ces procédés sont devenus une porte d’entrée privilégiée des hackers. Tentatives d’extorsions, fraudes, dossiers de postulations vérolés ou encore vols de données font partie des principales menaces récurrentes auxquelles sont confrontés directement les services de ressources humaines.

L’année passée, les extorsions numériques par courriels (Business Email Compromise) ont atteint un montant record de 1,2 milliards de francs à travers le monde2 , en progression de 77% par rapport à 2017. Le vecteur d’infection privilégié reste le courrier électronique dans plus de 90% des cas3. Quant au coût d’un vol de données, il peut atteindre plusieurs millions de francs par cas.

Quels sont les scénarios auxquels sont confrontés les sociétés romandes et comment gérer ces nouvelles menaces?

Menace N°1: e-mail frauduleux (BEC)

Dans le cas des tentatives d’extorsions par courriels, même si la motivation commune est l’argent, on est très loin des schémas d’arnaques peu crédibles de type «scam 419». Dans le cadre de fraudes ciblant les ressources humaines, un scénario fréquemment choisi est la demande d’actualisation des données bancaires servant au versement du salaire par un compte sous contrôle d’un hackeur. Pour rendre l’escroquerie difficilement détectable, plusieurs techniques sont utilisées.

L’ingénierie sociale (social engineering) va dans un premier temps cibler une personne particulière des RHs. Le cybercriminel va rassembler soigneusement des informations sur sa victime et le contexte pour parfaire la supercherie. Cette personnalisation rend la tromperie très difficile à différencier par rapport au contenu d’un courriel authentique.

Ensuite, pour usurper l’identité d’un collaborateur prétextant la mise à jour de ses coordonnées bancaires, l’enveloppe ou le header du courriel doit également paraître conforme. L’email spoofing, un nom de domaine similaire, une falsification d’adresse e-mail, ou encore une boîte mail corrompue peuvent être utilisés comme feinte.

La prévention de ces attaques passe par des mesures techniques et organisationnelles. Les processus impliquant des transactions financières pouvant être initiées par un simple courrier électronique doivent être identifiés afin d’y ajouter une validation supplémentaire, comme une confirmation téléphonique ou par sms. Les solutions de sécurité avancées de courriels permettent de détecter les tentatives d’escroqueries en utilisant, entre autres, l’intelligence artificielle pour monitorer les activités suspectes ou les comportements anormaux. Des contrôles supplémentaires sont également opérés pour vérifier l’authenticité de l’expéditeur (Sender Policy Framework, Domain-based Message Authentication, Reporting and Conformance, DomainKeys Identified, Mail, From/ Reply-To...).

Menace n°2: le vol de données

Le vol de données (Data Breach) concerne de nombreuses sociétés quelles que soient leurs tailles ou secteurs d’activité. Les conséquences tant financières que réputationnelles peuvent être fatales pour l’organisation. Pour éviter de faciliter la tâche aux cybercriminels, quelques précautions sont nécessaires, notamment lors de la rédaction d’une annonce de recrutement.

Il est impératif de rester discret quant aux solutions et outils informatiques utilisés au sein de votre société. Ces informations technologiques sont une mine d’or pour tout hackeur. En indiquant la marque de vos équipements de sécurité ou encore les versions de vos logiciels métiers, une personne malintentionnée peut adapter et focaliser son attaque sur vos points faibles informatiques augmentant ainsi ses chances de réussite.

Les personnes en charge de la rédaction d’un profil de poste doivent être sensibilisées sur les indications à garder confidentielles lors d’une publication et ne pas dérouler un tapis rouge aux hackeurs.

Menace n°3: la postulation comme vecteur d’attaque

La multiplication des canaux utilisés dans le recrutement offre autant de nouveaux vecteurs d’attaques. Les réseaux sociaux professionnels, les plateformes d’emploi ou plus simplement les courriels permettent d’entrer en communication avec votre entreprise en prétextant naturellement répondre à une offre d’emploi.

Afin de compromettre un de vos terminaux (endpoints), différentes techniques peuvent être utilisées. Un curriculum vitae électronique peut dissimuler de bien mauvaises surprises. Comme par exemple, un code malicieux unique pouvant installer une porte dérobée, une macro activant un rançongiciel (ransomware), un lien exploitant une vulnérabilité donnant un accès total à votre machine.

Lorsque la menace peut potentiellement arriver par mail, LinkedIn ou être uploadée directement dans un logiciel HR comme SAP, un système de sécurité à couches multiples est essentiel. Le service de messagerie, les applications et les postes de travail doivent bénéficier d’une technologie de pointe pouvant identifier et isoler les logiciels malveillants, les chevaux de Troie, rançongiciel et toute autre source d’ennuis plus ou moins dommageables.