Les ressources humaines sont tout particulièrement exposées à un piratage à cause de leurs fonctions dans l’entreprise et leurs outils de travail, explique Steven Meyer. « Lors de recherches de candidats, les recruteurs reçoivent par email des centaines de CV venant de sources inconnues. Dans ce contexte, ils devront ouvrir des pièces jointes qui, aujourd’hui, sont le facteur principal d’infections pour une organisation. » Mais l’exposition des recruteurs ne se limite pas aux emails: souvent, ils doivent parcourir le web afin de trouver des informations sur les candidats, en naviguant les réseaux sociaux et blogs. « Cette navigation les expose au risque d’infection par des sites web malveillants (deuxième source la plus élevée d’infection d’ordinateur), et permet aux chevaux de Troie de communiquer vers l’extérieur. C’est pour cela que nombreuses entreprises bloquent l’accès à ces sites web, mais font néanmoins une exception pour les ressources humaines. »

Deuxième raison: les RH gèrent de nombreuses données privées et sensibles des employés. La base de données des ressources humaines contient toutes les informations personnelles des employés de la compagnie: noms, adresses, dates de naissance, numéros de téléphone, coordonnées bancaires, assurances, etc. « Ces informations ont une grande valeur sur le marché noir et se monétisent très facilement. Un hackeur, ayant eu accès à ces données sensibles, pourrait chercher à les vendre ou faire un chantage de les publier ; une telle action rendrait la compagnie non conforme au RGPD (loi européenne sur la protection des données) la confrontant ainsi à une amende allant jusqu’à 4% de son revenu global. »

Enfin, les RH sont souvent un pivot central dans l’entreprise, collaborant avec tous ses départements. « Ces interactions horizontales permettent à un hackeur de développer rapidement son emprise à travers l’entreprise. A travers un ordinateur des ressources humaines infecté, le hackeur peut facilement pivoter et propager l’infection en envoyant, par exemple, des emails internes à d’autres employés avec des pièces jointes malveillantes. Les ressources humaines assument aussi la responsabilité des salaires des employés. Que les salaires soient versés par des paiements directs sur le ebanking, ou en envoyant des instructions au département des finances, les ressources humaines sont vulnérables à un piratage qui peut s’avérer très rentable. Un hackeur peut modifier les numéros iban des employés et récupérer l’argent du salaire, ou ajouter des employés fictifs liés à son compte bancaire. La création d’un employé fictif a des avantages additionnels pour un hackeur. Selon les processus internes, cette création est transmise au département informatique qui va ensuite créer des accès à l’infrastructure. Le hackeur pourra donc avoir un accès ‘légitime’ au sein de l’entreprise qu’il est en train de pirater, lui permettant d’avancer plus facilement dans son attaque. »

Source: www.bilan.ch