Lorsque nous décrochons un nouveau job, nous n’avons qu’une hâte : en parler à tout le monde. Sur LinkedIn ou sur Twitter, les nouvelles recrues n’hésitent pas à dévoiler leur date d’embauche, la localisation de leur nouveau travail (et leur éventuel projet de déménagement), ainsi que l’intitulé de leur poste. Or, les hackers n’ont besoin de rien de plus pour lancer une attaque de spear phishing ciblée contre votre entreprise.

Ils dévoilent leur statut professionnel sur les médias sociaux

La plupart des utilisateurs craignent que leurs données sensibles, comme leurs mots de passe ou numéros de sécurité sociale et de carte bancaire, se retrouvent sur le marché noir. Ils ignorent en revanche que leur profil, qu’il ait été dérobé ou qu’ils l’aient publié sur le Web, est tout aussi précieux pour les hackers. 

En effet, les médias sociaux constituent pour eux une véritable manne. Les nouvelles recrues y publient leur statut professionnel, mais également de nombreuses informations permettant de déduire leur formation (sophistication), leur expérience (faculté de jugement) et leurs centres d’intérêt (caractère).

Toutes ces informations sont essentielles à la réussite d’une attaque de spear phishing. Bien que certains amateurs continuent à envoyer des emails à des employés choisis aléatoirement en leur demandant d’exécuter des actions qu’ils ne sont pas en mesure d’accomplir, les plus expérimentés explorent minutieusement les profils sur les médias sociaux et font preuve de stratégie dans le choix de leurs victimes.

Armés du profil de l’utilisateur, ils connaissent alors son rôle dans l’entreprise, les systèmes auxquels il a accès et sa capacité à honorer certaines demandes, comme effectuer des achats, payer des factures, modifier des coordonnées bancaires pour le paiement des salaires et transférer des fonds.

[Document connexe] Vade Secure met au jour des attaques de spear phishing continues visant les virements automatiques

Ils ne connaissent pas bien leurs collègues ni les processus

C’est au cours des premières semaines à leur poste que les employés sont les plus vulnérables. En fonction de son rôle, la nouvelle recrue n’a pas encore « les codes » et peut ne pas comprendre clairement quels processus ou comportements sont inhabituels.

Est-ce qu’un PDG enverrait à un responsable de niveau intermédiaire un email pour lui demander une « faveur » en urgence ? Dans une entreprise de 5 000 employés, sans doute pas. Dans une PME de 50 employés ? Peut-être. Tout dépend de sa culture, culture que le nouveau venu ne maîtrise pas encore.

Un nouvel employé ne connaît pas non plus parfaitement les rôles de ses collègues et leur personnalité. Il ne sait pas nécessairement ce qu’ils pourraient ou ne pourraient pas faire, dire ou demander. Il ignore ainsi que John, du service financier, n’est JAMAIS en déplacement professionnel et ne demanderait pas en urgence à ce qu’un fournisseur soit payé, car il « prend l’avion pour rencontrer un client ».

Un nouvel employé ne comprend par ailleurs pas nécessairement les contrôles en place. Toutes les factures doivent-elles être approuvées par la hiérarchie ? Les employés doivent-ils renseigner un formulaire pour modifier leurs coordonnées bancaires ou une simple demande par email suffit-elle ? Dans un monde parfait, l’employé aurait obtenu les réponses à ces questions au cours de son intégration ou les demanderait de lui-même.

[Document connexe] Scams aux cartes cadeaux : le spear phishing n’épargne personne

Ils veulent faire plaisir et craignent de faire des erreurs

Les petits nouveaux veulent impressionner pour vous montrer que vous avez pris une bonne décision en les recrutant. S’il reçoit un email d’une personne qu’il pense importante ou qui l’est réellement, l’employé peut se sentir obligé d’accéder à la requête formulée sans délai. Le sentiment d’urgence est une motivation puissante qui peut aussi déconcerter et altérer nos facultés de jugement.

Lors d’une tentative de spear phishing, ce sentiment peut pousser la victime à ne pas voir les signes subtils de ces attaques, comme les fautes de frappe contenues dans un email censé être envoyé par un professionnel qualifié, ou des signes plus évidents, comme l’usurpation de l’adresse email.

Bien que certains nouveaux employés puissent répondre rapidement aux demandes pour prouver leur réactivité et leur efficacité, d’autres le font, car ils craignent les conséquences de ne pas réagir immédiatement. La pression est au cœur de la stratégie des hackers et explique le succès des attaques de spear phishing ciblées.

[Infographie] Apprendre à reconnaître un email de phishing

Protéger vos employés

Les attaques de spear phishing sont toujours liées à des transactions financières. Vous devez donc former vos nouveaux employés aux processus et procédures requis pour lancer ou modifier de telles transactions, qu’il s’agisse du paiement de factures, de la réalisation de virements ou de la modification de coordonnées bancaires. Ce point est particulièrement important au cours des premières semaines suivant l’embauche. La formation limitera la propension des employés à prendre de mauvaises décisions en raison de l’urgence.

L’intégration demande du temps. Malheureusement, la sensibilisation à la sécurité n’intervient pas toujours dès le premier jour. Pour autant, il est essentiel de la démarrer dès que possible. Cette formation doit également être continue et ne pas se limiter à une unique session annuelle. Bien souvent, les employés oublient ce qu’ils ont appris au bout de quelques mois.

Enfin, intégrez la cybersécurité à la culture de votre entreprise. Cette notion doit être présente dans les esprits à tout moment. Les attaques de spear phishing sont toujours plus fréquentes et difficiles à repérer, même pour les employés les plus expérimentés.