Groupe de Travail temporaire – La cible parfaite des pirates informatiques !
L’actualité en est témoin, la cybersécurité dans le domaine des ressources humaines et particulièrement du travail temporaire est LE sujet de l’année 2023.
La cyberattaque subie par le groupe Adecco en décembre dernier, le guide dédié au secteur RH réalisé par la CNIL en janvier… Tout nous pousse à prendre en considération ce danger et à chercher des solutions efficaces.
Chez VIAWEB CONSULTING RH, cela fait déjà plusieurs années que nous travaillons sur ce phénomène afin de le comprendre, de l’appréhender et de pouvoir proposer à nos clients des outils de sensibilisation pour leurs équipes. Car s’il y a une chose sur laquelle les experts s’accordent, c’est que dans 85% des cas, une attaque réussie est due à une défaillance humaine.
Pourquoi les groupes de travail temporaire sont-ils particulièrement visés ? Quelles sont les problématiques spécifiques des agences d’intérim en matière de cybersécurité ? Quelles précautions prendre pour éviter le danger ?
Donnons la parole à Florent Tramu notre DPO (délégué à la protection des données).
Groupe de travail temporaire – une mine d’or pour les hackers
« Un groupe d’agence d’intérim est une cible intéressante pour les pirates informatiques, pour plusieurs raisons.
Premièrement, posons-nous la question « qu’est ce qui est le plus rentable pour un pirate informatique lorsqu’il mène une action ? » Entre hacker une entreprise du bâtiment avec 50 salariés ou un groupe d’agences d’intérim avec des milliers d’intérimaires et des centaines de salariés permanents ?
Le deuxième point est lié à la « stratégie de l’écosystème ». Lorsque l’on veut pirater une grosse entreprise, on peut choisir de l’attaquer en direct, mais elle est souvent bien protégée. Dans ce cas, on peut passer par son écosystème : prestataires, sous-traitants… En effet, un groupe de travail temporaire qui place des intérimaires, chez Vinci ou EDF par exemple, partage souvent des outils avec ses clients. Les hackers essayent donc de passer par eux pour remonter jusqu’aux grands groupes.
Enfin, les données les plus intéressantes pour les pirates sont les données de ressources humaines. Les usages d’un numéro de sécurité social, d’un RIB, ou d’un IBAN, sont nombreux et très lucratifs. Avec un numéro de sécurité sociale, on peut facilement usurper l’identité de quelqu’un. Avec un RIB on peut mettre en place des prélèvements automatiques.
Autant de raisons qui font que les groupes de travail temporaire se retrouvent dans le viseur des hackers.
Des problématiques spécifiques au travail temporaire
Aujourd’hui, en matière de cybersécurité, les agences de travail temporaire se heurtent à différentes problématiques.
Premièrement, la disparité au niveau des processus. Entre le siège et les différentes agences, il y a souvent un défaut de communication. Le siège met en place ses directives en termes de cybersécurité et les agences les appliquent… ou pas !
Cette disparité peut également être liée à l’ancienneté de l’agence. Une agence historique peut être plus réticente aux changements, à l’inverse d’une nouvelle agence qui prendra en compte ces directives dès le début de son activité.
Deuxièmement, le manque de sensibilisation des collaborateurs. La cyberattaque du groupe Adecco semble en être un exemple flagrant. Nous n’avons pas d’information officielle, mais de ce que je constate, il semblerait que l’attaque soit issue d’une opération de phishing (hameçonnage, une technique utilisée par des fraudeurs pour obtenir des renseignements) due à un manque de sensibilité à la cybersécurité des salariés. Grâce à cela, les pirates ont eu accès aux IBAN et aux RIB de certains intérimaires et ont mis en place des virement automatiques.
Avec nos clients du travail temporaire, nous avons constaté, grâce à des campagnes de phishing tests, des taux de clics sur un lien frauduleux jusqu’à 50%. Ce qui est énorme aujourd’hui. Dans des entreprises plus sensibilisées ou spécialisées dans le numérique, nous sommes plutôt sur des taux de 1 à 2%.
Enfin, la gestion des administrations informatiques, n’est pas forcément la même dans toutes les agences et le niveau de sécurité peut donc différer. Ce sont des problématiques qui ont un coût financier et qui nécessitent un temps humain élevé. Uniformiser la sécurité d’une trentaine ou d’une centaine d’agences, n’est pas un projet que l’on peut réaliser en quelques jours.
Entre 1 et 3 ans sont nécessaires pour déployer quelque chose de viable en cas de contrôle dans toutes les entités d’un groupe de travail temporaire.
Des solutions de sécurité informatique et juridique
Aujourd’hui, il y a une vraie prise de conscience. Mais, au-delà des grands groupes qui ont des collaborateurs en interne qui travaillent sur la cybersécurité, pour les structures de plus petite taille l’enjeu est connu, mais appréhendé de manière différente. La partie sécurité informatique est acceptée mais la partie sécurité juridique beaucoup moins. C’est un peu la mentalité « on attend de se faire taper dessus avant de se mettre dans les règles ». À ce jour, tout s’accélère un peu, les attaques de groupes de travail temporaire ont mis en lumière la sensibilité des données que traitent les groupes d’intérim ce qui attire l’attention de la CNIL (Commission nationale de l’informatique et des libertés). Elle avait le projet d’un guide dédié au domaine des RH qui a été validé en début d’année. Elle a donc fait son rôle d’accompagnatrice et de conseil, et s’attend maintenant à ce que les structures les appliquent. Concrètement pour les agences, la première étape c’est d’uniformiser les processus.
C’est dans cette optique que VIAWEB CONSULTING RH, a développé un outil pensé pour les agences d’intérim : DATA+. Il permet de définir des processus et de les rendre accessibles facilement aux responsables d’agence pour qu’ils puissent les mettre en place dans leur agence mais également faire remonter leurs difficultés.
Un autre point essentiel et urgent, c’est la sensibilisation. Aujourd’hui, nous voyons trop souvent des personnes qui ne sont pas alertes avec les problèmes de cybersécurité et qui ne savent pas comment opèrent les pirates informatiques. Ils peuvent par exemple avoir des mots de passe type « 123456 » pour se connecter à leurs outils métier. Pourtant si on réglait cette problématique de mots de passe, on réduirait de 80 à 90% des problèmes de sécurité. DATA+ permet cette sensibilisation.
Un point à prendre en compte également, dans le domaine du travail temporaire, c’est la sensibilisation des intérimaires. L’outil DATA+ permet de différencier la sensibilisation en interne et celle des collaborateurs intérimaires. En effet, lorsque l’on place un salarié en entreprise, s’il a accès à un ordinateur et au réseau, prouver que nous l’avons sensibilisé à la sécurité informatique permet de rassurer notre client. Le fait d’évaluer en amont le niveau de connaissance du salarié et d’introduire les notions de bases de la cybersécurité permet de satisfaire aux exigences des entreprises. Pour cela, nous avons créé des questionnaires généraux, avec des questions type « quelle est l’autorité de contrôle en protection des données » « qu’est-ce qu’un bon mot de passe ». Nous avons également développé des questionnaires par métier (marketing, commercial, logistique, ressources humaines…). Par exemple pour les métiers RH « je reçois la copie de la pièce d’identité d’un salarié, qu’est-ce que j’en fait ? ». Ces questionnaires peuvent également être réalisés en collaboration avec les entreprises qui utilisent DATA+ pour répondre à leurs besoins spécifiques.
Autre point à prendre en compte, c’est la distinction à faire entre les outils professionnels et les outils personnels. Par exemple, pour les commerciaux en agence qui sont souvent en déplacement, ils peuvent avoir tendance à utiliser leurs outils professionnels à titre personnel ou inversement. C’est un problème majeur en termes de sécurité. Vous téléchargez une application mobile de jeux par exemple, si elle a une faille de sécurité, elle peut être une porte d’entrée pour pouvoir pirater l’outil et l’ensemble des informations qu’il contient. »
Bon, ça fait beaucoup d’informations… Le plus simple, c’est qu’on en parle ensemble !