Lorsque nous embauchons quelqu'un de bonne foi pour travailler dans notre entreprise, nous partons du principe qu'il respectera notre organisation, nos politiques et nos données métier sensibles. Mais malheureusement, nous ne vivons pas encore dans cette utopie. Nous devons donc prendre des précautions pour garantir la sécurité et l'intégrité de notre entreprise ainsi que des données métier et personnelles critiques auxquelles nous avons accès.
Cela fait un an que j'ai écrit un article sur les risques liés aux nouvelles recrues au cours des 90 premiers jours. L'adoption des technologies deepfake et d'IA générative fait qu'il est de plus en plus facile pour les acteurs malveillants d'usurper l'identité de candidats crédibles. Le mois de la sensibilisation aux menaces internes est une bonne occasion d'évaluer votre stratégie de vérification des nouvelles recrues et vos contrôles de sécurité pendant les premiers mois d'un collaborateur. Après tout, vous ne voulez pas que votre nouvelle recrue devienne votre prochaine menace interne.
La nouvelle réalité
Les cybercriminels ont toujours ciblé les zones les plus vulnérables d'une entreprise. Lorsque nous travaillions tous dans des bureaux physiques, il était très difficile de s'introduire dans les locaux en tant que menace interne. Cependant, ce n'est pas le monde dans lequel nous vivons aujourd'hui. Le télétravail a engendré un manque de visibilité sur les individus au-delà de leur identité numérique. Il est désormais facile d'utiliser les technologies deepfake et l'IA générative pour créer des façades qui connaissent les réponses les plus probables et peuvent les articuler avec clarté.
Les équipes RH étant amenées à filtrer un nombre croissant de candidatures par poste, elles ont recours à l'IA et aux outils d'apprentissage automatique pour analyser les CV et établir un premier contact avec les candidats. Il s'agit d'une nécessité qui joue en faveur des capacités des cybercriminels. Ils ont l'expérience et les outils nécessaires pour déduire les éléments essentiels des offres d'emploi et créer les profils adéquats afin de passer les premières étapes de sélection en tant que candidats les plus intéressants. Cela pourrait être le premier signe que quelque chose ne va pas : lorsqu'un candidat semble trop beau pour être vrai, c'est probablement le cas. C'est ce qui s'est produit lorsque KnowBe4 a embauché par inadvertance un cyberpirate nord-coréen se faisant passer pour un ingénieur logiciel en 2024.
Bonnes pratiques pour réduire les risques liés aux nouvelles recrues
Mettre en place des processus de vérification rigoureux
Les équipes RH doivent adapter leurs processus afin de s'assurer qu'aucun collaborateur malveillant ne passe entre les mailles du filet. Plusieurs mesures peuvent être prises pour réduire les risques liés à l'embauche d'un nouveau collaborateur :
- Enregistrez l'entretien. Avec l'accord de la personne concernée, enregistrez l'entretien. Assurez-vous que le département juridique a donné son accord, mais il est important de veiller à ce que la personne participant à l'entretien et le recruteur agissent en toute bonne foi.
- Effectuez des recherches approfondies sur les candidats. À l'aide des outils disponibles et d'une intervention manuelle, recoupez le parcours professionnel du candidat avec ses réseaux sociaux publics, ses lieux de travail et ses adresses. Recherchez les divergences entre ce qui figure dans son CV et les retours de ses anciens employeurs.
- Effectuez des vérifications rigoureuses des antécédents. Utilisez les outils juridiques fournis pour effectuer des vérifications des antécédents et vous assurer que les personnes concernées ne figurent pas sur les listes des cybercriminels à la solde d'un État. Assurez-vous que les adresses e-mail et les numéros de téléphone fournis fonctionnent et ne sont pas invalides ou inexistants. Ne vous fiez pas aux références fournies par e-mail ; discutez avec des personnes qui ont travaillé avec le candidat.
Il existe de nombreux outils permettant d'y parvenir et de nombreuses entreprises disposent déjà de capacités similaires. Il est maintenant temps de cibler l'élément le plus faible de tout processus : les personnes.
Sensibiliser grâce à une formation continue et ciblée
Pour aider les personnes participant aux entretiens à acquérir des conseils et des techniques, les entreprises doivent mettre en place des processus de formation et de sensibilisation à la cybersécurité. Il est important que les recruteurs soient au courant des tendances actuelles en matière d'usurpation d'identité et sachent comment y faire face. Les recruteurs doivent interagir avec la personne participant à l'entretien à un niveau plus profond, en posant des questions qui dépassent le cadre des exigences professionnelles de base et en engageant une interaction physique. Pour garantir l'efficacité d'un programme de gestion des risques internes, il est essentiel que l'équipe chargée de la sécurité et les RH travaillent en étroite collaboration. Cette communication continue garantit que, lorsqu'une activité suspecte est détectée, un mécanisme de retour d'information et une procédure de remontée sont déjà en place.
Par exemple, lors d'un précédent entretien, j'ai fait un commentaire sur quelque chose qui se trouvait à l'arrière-plan du bureau à domicile de la personne avec qui je m'entretenais. Cela l'a amenée à tourner la tête pour regarder derrière elle. Si elle avait utilisé la technologie deepfake, cette action aurait produit un flou ou une dégradation de l'image. Ensuite, je lui ai demandé de brandir un autre objet dont nous parlions. Si la technologie de remplacement numérique de la caméra avait présenté le moindre défaut, cela aurait déformé l'image. Ces demandes ont également contraint la personne à parler d'un sujet sans rapport avec son travail. En plus de garantir la légitimité du candidat, cela permettait d'avoir un aperçu de la personne derrière le clavier, et pas seulement de l'image qu'elle renvoyait pendant l'entretien.
Rester vigilant pendant les 90 premiers jours
Maintenant, supposons que l'entretien soit un franc succès et que le candidat soit embauché. Nous savons que les 90 premiers jours peuvent être l'une des périodes les plus risquées en termes de partage accidentel de données, d'exfiltration malveillante de données et d'autres comportements à risque. Alors, comment pouvons-nous nous assurer que le nouveau collaborateur se comporte de manière responsable ?
- Forcez l'inattendu. Assurez-vous que la personne qui se présente le premier jour est bien celle qui a passé l'entretien, et non quelqu'un d'autre. Oui, cela arrive et c'est quelque chose à surveiller. S'il s'agit d'un collaborateur en télétravail, adoptez des tactiques similaires à celles utilisées lors du processus d'entretien : interagissez avec la personne de manière dynamique par vidéo afin de vous assurer qu'elle est bien qui elle prétend être et qu'il n'y a pas de deepfake ou de manipulation d'image. Il est préférable de combiner réunions planifiées et réunions improvisées. Invitez le nouveau collaborateur à participer à un appel vidéo sans lui laisser le temps de se préparer. Son emploi du temps ne sera pas trop chargé, il n'y aura donc pas de bonne raison d'éviter cette réunion. Cela constitue un signal d'alarme.
- Considérez la nouvelle recrue comme un utilisateur à haut risque. D'un point de vue technologique, tous les nouveaux collaborateurs devraient être placés dans des groupes de surveillance avancée pendant les 90 premiers jours suivant leur embauche. Cela permet d'assurer une visibilité — et souvent de fournir des preuves numériques si nécessaire — sur les comportements à risque. Il est essentiel de détecter les collaborateurs malveillants qui souhaitent nuire à l'entreprise, mais aussi d'aider à prévenir les fuites accidentelles de données pendant que les nouveaux collaborateurs découvrent les processus et procédures de l'entreprise.
- N'accordez pas d'accès sans formation. Il est courant de simplement reproduire les niveaux d'accès de l'ancien collaborateur pour le nouveau collaborateur. Bien que cela soit logique pour des raisons d'uniformité (dans les systèmes de gestion des identités et des accès, ou IAM, cette pratique est appelée « droits héréditaires »), vous ne devez pas accorder l'accès à des données sensibles sans avoir préalablement discuté de leur utilisation appropriée avec le nouveau collaborateur. Dans de nombreuses entreprises, les droits hérités pour un rôle donné accordent aux nouveaux collaborateurs un accès complet dès le premier jour. Même si le collaborateur suivra une formation sur l'utilisation acceptable, ce laps de temps est largement suffisant pour que de nombreux cybercriminels en tirent pleinement parti. Collaborez avec l'équipe IAM de votre entreprise afin de déterminer les mesures à prendre pour créer un système de contrôle de ces droits et ne les attribuer que lorsque les formations requises ont été suivies. Ajoutez des contrôles de sécurité à cette approche afin d'empêcher l'exfiltration de données sensibles.
Conclusion
Enfin, et surtout, faites confiance à l'intuition humaine. En tant que responsable du recrutement, si vous pensez que quelque chose ne va pas, prenez des mesures pour renforcer la surveillance des utilisateurs pendant une courte période. Après tout, les humains sont doués pour capter les signaux subtils. Il est important de vous fier à votre instinct lorsque vous apprenez à connaître un nouveau collaborateur. Ne négligez pas les éléments qui pourraient présenter un risque pour votre entreprise. En cas de doute, recourez à une stratégie à l'ancienne : rencontrez-vous en personne. Cela contribuera grandement à instaurer la confiance nécessaire.
- Pour éviter que votre entreprise ne fasse la une des journaux en adoptant une approche proactive face aux menaces internes, lisez notre article de blog.
- Pour profiter d'une série de ressources consacrées à l'élaboration et au renforcement d'un programme de gestion des menaces internes, explorez notre pack de prise en main de Proofpoint Insider Threat Management.
