info@zendata.security

Les Ressources Humaines : la nouvelle cible préférée des hackeurs

Les hackeurs cherchent toujours des astuces ingénieuses pour pénétrer une entreprise et s’attaquent généralement aux cibles les plus faciles. Les directeurs et les départements financiers restent la cible habituelle des pirates, toutefois les ressources humaines semblent être leurs nouvelles proies de prédilection.
Nombreuses raisons motivent un hackeur à viser le département de ressources humaines pour mener son attaque : parmi elles, nous notons la facilité d’infection, la valeur des informations détenues par le département et leur influence dans l’entreprise.

La facilité de pénétration

Les ressources humaines sont tout particulièrement exposées à un piratage à cause de leurs fonctions dans l’entreprise et leurs outils de travail. Lors de recherches de candidats, les recruteurs reçoivent par email des centaines de CV venant de sources inconnues. Dans ce contexte, ils devront ouvrir des pièces jointes qui, au jour d’aujourd’hui, sont le facteur principal d’infections pour une organisation.

À la fin de l’année dernière, une campagne de piratage appelé GoldenEye attaquait les recruteurs dans les entreprises. L’email de phishing, contenant une postulation pour un poste ouvert dans l’entreprise, prétendait provenir de l’agence fédérale pour l’emploi. L’email consistait d’un court message du faux demandeur et de deux pièces jointes: un CV du candidat et un tableau Excel avec des résultats de tests. Le CV ne contenait aucun virus et soulignait la crédibilité de la fausse application. Cependant, le fichier Excel était, lui, malveillant et à son ouverture infectait la machine hôte.

L’exposition des recruteurs ne se limite pas aux emails ; souvent, ils doivent parcourir le web afin de trouver des informations sur les candidats, en naviguant les réseaux sociaux et blogs. Cette navigation les expose au risque d’infection par des sites web malveillants (deuxième source la plus élevée d’infection d’ordinateur), et permet aux chevaux de Troie de communiquer vers l’extérieur. C’est pour cela que nombreuses entreprises bloquent l’accès à ces sites web, mais font néanmoins une exception pour les ressources humaines.
Par exemple, l’été dernier, un groupe de cyber-espionnage connu sous le nom de Turla (considéré faisant partie du cyber-renseignement russe) a déployé un cheval de Troie qui utilisait des commentaires sur les photos Instagram de Britney Spears pour communiquer avec les hackeurs. Pour mener cette attaque, les pirates se sont servis d’ordinateurs ayant accès aux réseaux sociaux.

 

L’accès à des informations sensibles

Les ressources humaines gèrent de nombreuses données privées et sensibles des employés. La base de données des ressources humaines contient toutes les informations personnelles des employés de la compagnie : noms, adresses, dates de naissance, numéros de téléphone, coordonnées bancaires, assurances, etc…

Ces informations ont une grande valeur sur le marché noir et se monétisent très facilement. Un hackeur, ayant eu accès à ces données sensibles, pourrait chercher à les vendre ou faire un chantage de les publier ; une telle action rendrait la compagnie non conforme au RGPD (loi européenne sur la protection des données) la confrontant ainsi à une amende allant jusqu’à 4% de son revenu global.

L’interaction avec les autres

Les ressources humaines sont souvent un pivot central dans l’entreprise, collaborant avec tous ses départements. Ces interactions horizontales permettent à un hackeur de développer rapidement son emprise à travers l’entreprise. A travers un ordinateur des ressources humaines infecté, le hackeur peut facilement pivoter et propager l’infection en envoyant, par exemple, des emails internes à d’autres employés avec des pièces jointes malveillantes.

Les ressources humaines assument aussi la responsabilité des salaires des employés. Que les salaires soient versés par des paiements directs sur le ebanking, ou en envoyant des instructions au département des finances, les ressources humaines sont vulnérables à un piratage qui peut s’avérer très rentable. Un hackeur peut modifier les numéros iban des employés et récupérer l’argent du salaire, ou ajouter des employés fictifs liés à son compte bancaire.

La création d’un employé fictif a des avantages additionnels pour un hackeur. Selon les processus internes, cette création est transmise au département informatique qui va ensuite créer des accès à l’infrastructure. Le hackeur pourra donc avoir un accès « légitime » au sein de l’entreprise qu’il est en train de pirater, lui permettant d’avancer plus facilement dans son attaque.

Alors, comment se protéger ?

De façon générale, le niveau de sécurité et de protection dans le cadre d’une entreprise doit être adapté à chaque employé, selon son exposition, les menaces et les risques auxquels il risque être exposé..

Les ressources humaines nécessitent d’une sécurité accrue dans leur processus et dans leurs outils de travail. Afin de mitiger au mieux les menaces, une entreprise pourrait mettre en place les protections suivantes:

Les ressources humaines devraient limiter au maximum l’utilisation de leurs emails pour des contacts avec des inconnus. Les demandes publiques de recrutement devraient être effectuées par une adresse générique du département ; cela empêcherait un hackeur de connaître (facilement) et d’usurper l’adresse de la victime. Aussi, plutôt que de recevoir les formulaires des candidats par email, ils pourraient être mis sur un formulaire en ligne, rendant ainsi suspect tout email externe contenant un CV.

L’équipe des ressources humaines devrait bénéficier de formations régulières et être testée sur ses compétences avec, par exemple, des fausses campagnes de phishing. Ceci validerait le niveau des collaborateurs de l’équipe et les maintiendrait alertes aux dangers.

Plus techniquement, il est intéressant d’activer des fonctionnalités avancées dans les antivirus du département des ressources humaines, comme de l’analyse comportementale ou des systèmes d’intelligence artificielle. Ceci protégerait mieux les potentiels « patients zéros » (le premier ordinateur à se faire infecter par un malware dans une organisation). Leurs emails pourraient être filtrés avec des “boites à détonation”, afin que les pièces jointes soient ouvertes dans un environnement fictif capable de détecter une activité malveillante. Enfin, leurs ordinateurs pourraient être isolés sur un Vlan indépendant, limitant et contrôlant ainsi les communications réseau.

Le budget de cyber-sécurité d’une entreprise n’est pas illimité. Ainsi, l’énergie et les ressources doivent être déployées là où le danger est le plus grand. Une analyse peut déceler quels sont les départements et les groupes d’utilisateurs les plus vulnérables, comprendre quelles sont leurs menaces et leur offrir une protection avancée et efficace.

Ceci permet à terme d’optimiser les dépenses et la sécurité, rendant les utilisateurs plus conscients des risques potentiels tout en gênant le moins possible les processus business.

Isabelle Meyer
Isabelle Meyer

I'm a passionate blogger who shares insights, experiences, and thoughts on various topics through my blog, connecting with a like-minded online community.

Sign up for our Cybersecurity Newsletter