Les emplois saisonniers, porte d'entrée des pirates

Avec la période de vacances estivales qui commence, cela signifie aussi le début des emplois saisonniers. Attention toutefois, cela signifie aussi que c'est la porte d'entrée des pirates!

Méconnaissance de l'entreprise

Par définition, le saisonnier ne connait pas particulièrement votre entreprise, les méthodes de travail, les interlocuteurs etc... Cela signifie qu'il sera sans doute plus sensible aux tentatives de phising. Pourquoi ? Quelqu'un ne connaissant pas les habitudes de l'entreprise ne serait peut-être pas surpris de recevoir un mail avec un fichier Excel de facture en pièce jointe par exemple, s'il ignore que ce ne sont pas vos manières de fonctionner.

De plus, un employé saisonnier n'a pas forcément l'habitude de vos interlocuteurs habituels chez des fournisseurs ou clients, et peut donc encore une fois mordre à l'hameçon sur un mail en provenance d'un de ces contacts potentiels.

Maîtriser son cycle arrivée/départ au sein de son SI

Un employé temporaire, c'est aussi un risque au sein du SI. Un compte oublié lors du départ par exemple peut être une jolie porte dérobée pour un attaquant. D'autant plus qu'il peut parfois y avoir de nombreux comptes dans ce cas durant l'été, par exemple dans un hôtel.

Cela signifie aussi qu'il est nécessaire d'auditer les permissions de ces employés (comme celles de tous les autres) afin de vérifier que seul le strict nécessaire est autorisé. Il ne faut jamais oublier que l'attaque peut aussi venir de l'intérieur (comme j'en parlais dernièrement dans mon autre article) et rester attentif aux actions de ces comptes "temporaires".

Sensibiliser le personnel

Je ne répéterai jamais assez ce point, la sensibilisation à la sécurité est primordiale. Il est indispensable de rappeler les bonnes pratiques de sécurité régulièrement, cela permet de gagner sur deux fronts à la fois : l'employé est plus attentif à ses propres actions et lors de ses prochaines missions dans votre entreprise ou non, il sera plus sensible à l'aspect sécuritaire de son environnement de travail.

La sécurité informatique n'est jamais trop rappelée, dans le contexte actuel, où les vols de données deviennent monnaie courante.

Pour rappel, dernièrement, deux grosses condamnations pour violation du RGPD sont tombées :

• British Airways : condamnée à 204 millions d'euros (1.5% de son chiffre d'affaire de 2017) d'amende
• Mariott : condamnée à 111 millions d'euros (1.5% de son chiffre d'affaire de 2017) d'amende

En conclusion

Encore une fois, la sécurité informatique est souvent un aspect mis de côté dans les entreprises. Néanmoins, la mise en place des règles liés au RGPD rend cet aspect bien plus primordial, les sanction étant en pourcentage du chiffre d'affaire, l'impact peut être impressionnant.

De plus, aujourd'hui, ce genre de faille est souvent communiquée au public, et cela écorne toujours l'image de l'entreprise.

Pour information, un simple PC infecté peut bloquer toute une production, voire pour certaines petites entreprises, leur faire mettre la clé sous la porte.

Ne prenez pas ces risques! Pensez à la sécurité de votre SI!