Phishing dans le monde des RH : mieux vaut prévenir que guérir

3 décembre 2019

Plusieurs entreprises nous ont informés qu’elles avaient été victimes de (tentative de) fraude. Les responsables RH ont reçu des courriels frauduleux visant à détourner le salaire des collaborateurs. Découvrez dans cet article comment les fraudeurs procèdent et comment faire pour réduire leurs chances de succès.

La vigilance est de mise avec les courriels que vous recevez. De plus en plus souvent, les escrocs utilisent les courriels pour se faire passer pour quelqu’un d’autre et obtenir des informations ou dérober de l’argent. Il y a de grandes chances pour que, tôt ou tard, ce type de courriels de phishing (hameçonnage) bien particuliers atterrisse également dans votre boîte de réception.

Dans ce cas concret, les escrocs recherchent qui est la personne responsable de l’administration RH ou des paiements dans l’organisation et repèrent les collaborateurs qui gagnent beaucoup. Ensuite, ils écrivent au collaborateur RH en lui demandant d’adapter le numéro de compte de la personne bien rémunérée dont ils usurpent l’identité. Ce sont souvent les membres du haut management, comme le CEO ou le responsable d’un service.

Pour réduire les chances de fraude :

  • Rappelez régulièrement à vos collaborateurs quels sont les dangers du phishing et comment reconnaître les faux courriels.
  • Effectuez un contrôle supplémentaire des expéditeurs. Les courriels de phishing proviennent souvent d’adresses inconnues ou de variantes d’adresses connues.
  • Redoublez de vigilance avec les courriels urgents. Ils précisent souvent par exemple qu’il faut agir rapidement.
  • Soyez attentif lorsqu’il s’agit d’un numéro de compte étranger.
  • Indiquez (plus clairement) tous les courriers reçus de personnes externes à l’organisation dans l’application de courrier électronique

Ne dérogez pas aux procédures internes

En plus de reconnaître les messages de phishing, il est également recommandé de mettre en place des procédures infaillibles et de veiller à ce que les collaborateurs les respectent en toute circonstance, même si c’est un prétendu cadre supérieur ou un CEO qui insiste pour y déroger. En demandant aux collaborateurs de modifier eux-mêmes leurs numéros de compte en banque dans des applications en libre-service (comme eBlox HR ou Proxy HRSS), vous ne laissez aucune chance aux fraudeurs.

Si vous êtes la seule personne habilitée à procéder à ces changements de données, vérifiez toujours l’authenticité de la requête auprès du demandeur au moyen de son adresse professionnelle ou de son numéro de téléphone.

Que faire si le salaire est malgré tout versé sur un mauvais numéro de compte bancaire ?

Contactez la banque au plus vite. Elle pourra peut-être bloquer le virement dans les 24 à 48 heures qui suivent la transaction. Soyez préparé et conservez les coordonnées de l’équipe de fraude de la banque à portée de main.

N’oubliez pas également de faire une déclaration à la police. Le numéro du procès-verbal peut être nécessaire pour libérer un montant bloqué. Plus les dépositions seront nombreuses et plus les chances d’attraper les fraudeurs seront grandes.

phishing rh