12 conseils pour se prémunir contre le risque de recruter un collaborateur malveillant

À en croire les statistiques, le risque de recruter un collaborateur malveillant représente une menace majeure. Les initiés agissent généralement de manière organisée, réfléchie et méthodique.

Les processus de recrutement peuvent parfois révéler certains modes opératoires suspects et permettre ainsi aux entreprises de se prémunir contre les risques de recruter une personne peu fiable. À la lumière des récentes activités des cyberacteurs nord-coréens, ces modes opératoires doivent faire l’objet d’une attention particulière.

Compte tenu du niveau de menace, dont les cas de faux candidats qui cherchent à opérer via des entreprises tierces ou à distance depuis un autre continent, il devient essentiel d’associer les ressources humaines à la mise en place des mesures de protection. Leur rôle sera clé pour identifier les signaux d’alerte dès le recrutement et renforcer la sécurité organisationnelle. Voici donc 12 conseils pour protéger les équipes des ressources humaines et la sécurité des entreprises. Ils permettent de déjouer les tentatives des cyberacteurs qui se font passer pour des employés du service informatique pour infiltrer des systèmes critiques et accéder à des données sensibles.

Avant l'entretien :

●      Vérifier les lettres de motivation et les CV pour y déceler d’éventuels schémas suspects.

●      Vérifier l'authenticité des numéros de téléphone des contacts concernant les références.

●      Comparer le profil de la candidature avec les profils des candidats disponibles en ligne.

●      Vérifier le profil de la candidature avec les sources officielles disponibles en ligne.

●      Faire appel aux dernières technologies de vérification de l'identité pour détecter les faux documents d'identité.

Pendant l'entretien :

●      Vérifier les références directement par téléphone.

●      Si l’entretien a lieu par vidéoconférence, le candidat doit allumer sa caméra et désactiver le floutage de son écran, supprimer les filtres et les images d'arrière-plan. Chaque candidat doit s'y conformer.

●      Recourir aux technologies de pointe pour vérifier l’identité du candidat et s’assurer de l’authenticité de son visage lors des vidéoconférences.

●      Poser des questions précises auxquelles seul le véritable candidat peut répondre avec exactitude, comme celles concernant son lieu de naissance, sa résidence actuelle ou ses loisirs déclarés.

Après l'entretien :

●      Avant ou pendant l'entretien,  si des doutes existent concernant un ou plusieurs candidats, il va de soi qu’il faut en informer immédiatement le RSSI.

●      Lorsque les appareils de l’entreprise (tels que téléphones mobiles, ordinateurs portables, tablettes ou jetons matériels) sont expédiés à l’adresse personnelle d’un candidat recruté, celui-ci doit être le seul autorisé à les recevoir. Il doit confirmer son identité et son adresse en fournissant les documents appropriés, tels qu’une pièce d’identité et un justificatif de domicile et accuser réception des équipements livrés.

●      Une fois que l'employé a commencé à travailler dans l'entreprise, son accès au réseau doit être limité.

Mise en place d’un programme interne de conformité pour les lanceurs d’alerte

Les entreprises ont tout intérêt à mettre en place un programme interne de conformité pour les lanceurs d’alerte. Ce programme doit encourager une culture d’entreprise où chaque employé se sent libre de s’exprimer librement et en toute confiance en cas de problème. Cela implique l’élaboration de politiques écrites claires, des évaluations rigoureuses des risques et un traitement impartial des signalements. La création d’un canal de signalement simple, accessible et sécurisé est indispensable, avec une priorité absolue accordée à sur la protection de l’anonymat des lanceurs d’alerte.