MY TRUST PARTNER
MTP ACADEMY
Cybersécurité
pour les équipes RH
Formation pratique — 3h30 — Sensibilisation & Réflexes
5 modules
~42 slides
Ateliers inclus
Programme de la formation
01
Comprendre pourquoi les RH sont une cible
30 min — Enjeux & données stratégiques
02
Panorama des cybermenaces ciblant les RH
45 min — Phishing, social engineering, BEC
03
Scénarios de fraude spécifiques aux RH
45 min — Faux candidats, fraude documentaire
04
Ateliers pratiques & mises en situation
60 min — Analyse d'emails, scénarios réels
05
Bons réflexes & procédures RH
30 min — Checklist, fiches réflexes
01
Comprendre pourquoi
les RH sont une cible prioritaire
Module 1 — 30 minutes — 7 slides
Lundi, 08h42. Un email urgent.
Bonjour,
Je suis en déplacement et je n'ai pas accès au portail RH. Pouvez-vous modifier mon RIB avant la clôture de ce soir ? Je vous envoie le nouveau en PJ.
Merci de ne pas en parler à mon manager, c'est personnel.
Cordialement,
Marc
Urgence artificielle
Contournement processus
Demande de confidentialité
RH = Données + Confiance + Transversalité
Valeur stratégique des données RH
Identité
🪪
CNI, passeport, adresse, date de naissance — usurpation d'identité
Revente : 50-200 € / identité sur le dark web
Paie & RIB
💳
IBAN, bulletins de salaire, montants — fraude au virement
Perte moyenne : 15 000 — 50 000 € par fraude
Transversalité
🏢
Les RH touchent 100% des collaborateurs — point d'entrée idéal
1 compte RH compromis = accès à toute l'entreprise
Typologie des données RH
Identité
- CNI / Passeport
- Adresse personnelle
- N° Sécurité Sociale
- Situation familiale
Carrière
- Contrat de travail
- Grille salariale
- Évaluations annuelles
- Sanctions disciplinaires
Paie & Bancaire
- IBAN / RIB
- Bulletins de paie
- Primes & avantages
- Saisies sur salaire
Données sensibles (RGPD)
- Arrêts maladie
- Handicap / RQTH
- Opinions syndicales
- Origine ethnique
⚠️ Les données sensibles nécessitent une protection renforcée (Art. 9 RGPD)
Pourquoi les RH sont vulnérables
Flux entrants multiples
Candidats inconnus, prestataires, organismes sociaux — impossible de tout connaître
Urgence + Émotion
Clôture de paie, onboarding J-1, situations personnelles — la pression pousse à l'erreur
Exceptions fréquentes
"Juste cette fois", "c'est exceptionnel" — les processus sont contournés par habitude
Confiance aveugle interne
Un email "interne" inspire confiance — mais un compte compromis envoie des emails internes
Panorama des attaques visant les RH
1
Phishing ciblé — Emails imitant candidats, prestataires, organismes
2
Usurpation DG / Manager — "Envoyez-moi la liste des salaires"
3
Fraude au changement de RIB — Détournement de salaire vers compte frauduleux
4
Faux candidats — CV piégé (macro), liens portfolio malveillants
5
Compte compromis — Un collègue "piraté" envoie des demandes légitimes
Impacts d'une attaque réussie
Impact humain
💔
Perte de confiance des collaborateurs
Sentiment de trahison
Stress & culpabilité de l'équipe RH
Impact opérationnel
⚙️
Paie bloquée ou erronée
Onboarding suspendu
Mobilisation équipes IT + juridique
Impact juridique
⚖️
Sanctions RGPD (jusqu'à 4% du CA)
Obligation de notification CNIL
Recours des salariés
Impact réputation
📰
Médiatisation de la fuite
Perte d'attractivité employeur
Défiance des partenaires
Les 3 drapeaux rouges
🚨
URGENCE
"Il faut le faire MAINTENANT", "avant ce soir"
⚠️
EXCEPTION
"Juste cette fois", "hors process", "par mail plutôt que via l'outil"
🤫
CONTOURNEMENT
"Ne mets personne en copie", "entre nous", "confidentiel"
✋STOP
🔍VÉRIFIER
📢SIGNALER
02
Panorama des cybermenaces
ciblant les RH
Module 2 — 45 minutes — 11 slides
Objectifs du module
🎯
Identifier les principales menaces qui ciblent les RH
🧠
Comprendre les leviers psychologiques exploités
🛡️
Détecter les signaux faibles dans vos communications quotidiennes
Pourquoi les attaques fonctionnent
91%
des cyberattaques commencent par un email
3,4 Mrd
d'emails de phishing envoyés chaque jour dans le monde
82%
des violations impliquent le facteur humain
Ce que les attaquants savent :
- Vos noms, postes, organigramme (LinkedIn)
- Vos outils (signatures email, portail)
- Vos périodes de rush (clôture paie)
Ce qu'ils exploitent :
- Volume de mails traités quotidiennement
- Données à haute valeur marchande
- Contexte émotionnel du métier RH
Le vocabulaire essentiel
Phishing
Email frauduleux de masse imitant un expéditeur légitime
Spear Phishing
Phishing ciblé — l'attaquant vous connaît, personnalise son message
Smishing / Vishing
Phishing par SMS (smishing) ou par appel vocal (vishing)
Malware en PJ
Pièce jointe piégée : macro Word/Excel, PDF avec lien, .exe renommé
BEC — Business Email Compromise
Compromission d'une boîte mail professionnelle réelle — l'attaquant envoie depuis un vrai compte interne. Le plus dangereux car indétectable visuellement.
Phishing #1 : Faux collaborateurs
Bonjour,
Suite à mon changement de banque, pourriez-vous mettre à jour mon RIB pour le virement de ce mois ?
Je vous joins le nouveau RIB en pièce jointe.
Merci de traiter rapidement, la clôture de paie approche.
Sophie Martin — Service Commercial
Domaine imité (l → I)
Urgence temporelle
PJ potentiellement piégée
Pas de canal officiel
Phishing #2 : Faux prestataires sociaux
Madame, Monsieur,
Dans le cadre de la mise en conformité annuelle, nous vous prions de mettre à jour les données de vos affiliés
avant le 15 février.
👉 Accéder au portail de mise à jour
Passé ce délai, les remboursements seront suspendus.
Service Relations Entreprises — Mutuelle Santé Pro
Faux organisme
Lien externe piégé
Deadline artificielle
Menace de suspension
Phishing #3 : Faux organismes officiels
Madame la Directrice des Ressources Humaines,
Dans le cadre d'un contrôle de conformité, veuillez transmettre les documents suivants dans un délai de 48 heures :
— Liste nominative des salariés avec numéros de SS
— Derniers bulletins de paie
— Déclarations DPAE des 6 derniers mois
Tout retard entraînera une majoration de 10%.
Direction du Recouvrement — URSSAF
✅ Réflexe : l'URSSAF ne demande jamais de documents sensibles par email simple
Spear phishing : quand le mail "sait trop de choses"
Ce que l'attaquant trouve sur LinkedIn
- Votre nom, poste, entreprise
- Vos collègues et managers
- Vos outils (ADP, Workday, Lucca...)
- Les recrutements en cours
- Événements internes (séminaire, déménagement)
Ce que ça donne dans un email
"Bonjour [votre prénom],
[Nom du DRH] m'a transmis votre contact. Suite au séminaire de [mois dernier], nous finalisons l'intégration de [nom du nouvel outil]. Pourriez-vous..."
🔴 Plus c'est personnalisé, plus c'est dangereux
Les 6 leviers psychologiques
⏰
Urgence
"Avant ce soir", "dans l'heure", "deadline dépassée"
👔
Autorité
"Le DG demande", "ordre de la direction", "confidentiel"
😨
Peur
"Sanction", "contrôle URSSAF", "suspension des droits"
🤫
Confidentialité
"Entre nous", "ne mets personne en copie", "discrétion"
😊
Sympathie
"Merci pour votre aide", "je compte sur vous", flatterie
💎
Rareté
"Offre limitée", "dernier délai", "opportunité unique"
BEC : Le mail interne peut être dangereux
Comment ça fonctionne
L'attaquant compromet un compte email réel (phishing, mot de passe faible)
Il observe les échanges pendant des jours/semaines
Il envoie un email depuis le vrai compte au bon moment
L'email passe tous les filtres — c'est un vrai email interne
Pourquoi c'est redoutable
- Aucun signal technique (domaine correct, signature valide)
- Contexte parfait (le pirate a lu les échanges)
- Timing idéal (clôture paie, absence manager)
Seul rempart
La vérification par un autre canal — téléphone, face à face, messagerie interne
Atelier : Analysons cet email ensemble
Bonjour,
Dans le cadre d'un audit interne confidentiel, merci de m'envoyer le fichier des rémunérations de l'ensemble des collaborateurs.
Merci de traiter en priorité et de ne pas en informer d'autres personnes à ce stade.
Bien cordialement,
La Direction Générale
Drapeaux rouges ?
Leviers psychologiques ?
Quelle réaction ?
Décision rapide
Chaque signal d'alerte détecté réduit le risque de 60%
1
Identifiez les drapeaux rouges
(urgence, exception, secret)
2
Vérifiez par un autre canal
(téléphone, face à face)
3
Signalez même en cas de doute
(IT, manager, référent sécu)
✅ Mieux vaut un faux positif signalé qu'une vraie attaque ignorée
03
Scénarios de fraude
spécifiques aux RH
Module 3 — 45 minutes — 11 slides
Objectifs du module
🎭
Reconnaître des scénarios crédibles et spécifiques au quotidien RH
📅
Anticiper les périodes à risque (onboarding, clôture paie, absences)
Top 4 des scénarios de fraude RH
🎭
Faux candidat
CV piégé, faux diplômes, prétexte pour transmettre des documents ou liens malveillants
📄
Demande de documents
Demande frauduleuse de bulletins, attestations, contrats au nom d'un salarié
👔
Faux dirigeant
"Envoyez-moi la liste des salariés", "les salaires", "ne mettez personne en copie"
⏰
Attaque timée
Fraude synchronisée avec une période de rush : clôture paie, onboarding massif, absences
Faux candidats & CV piégés
Signaux d'alerte
- CV au format .doc avec macros (pas PDF)
- Lien "portfolio" vers site suspect
- Profil LinkedIn créé récemment, peu de connexions
- Incohérences dans le parcours
- Pression inhabituelle pour un entretien rapide
Bonnes pratiques
- N'ouvrir que les PDF, jamais les .doc/.exe
- Vérifier le profil LinkedIn (ancienneté, réseau)
- Ne pas cliquer sur les liens de portfolio inconnus
- Passer par l'ATS officiel, pas par email direct
- Si doute, vérifier le diplôme directement auprès de l'école
Faux documents de candidats
Faux diplômes
Photocopies "trop propres", logos pixelisés, dates incohérentes, établissements non vérifiables
Pièces "trop complètes"
Un candidat qui envoie spontanément CNI + RIB + attestation SS avant qu'on le demande = suspect
Liens piégés
"Mon CV et mes références sont sur ce lien" — le lien mène vers un site de phishing ou télécharge un malware
Règle : ne collecter les documents qu'au moment prévu par le processus, jamais en avance sur initiative du candidat
Demandes frauduleuses de documents salariés
Bonjour,
J'ai un rendez-vous bancaire demain matin pour mon prêt immobilier. Pourriez-vous m'envoyer par retour de mail mon attestation employeur et mes 3 derniers bulletins de paie ?
Le portail est en maintenance, je ne peux pas y accéder.
Merci d'avance !
Jean
Urgence
Contournement outil
Prétexte émotionnel
✅ Réflexe : vérifier par téléphone que c'est bien Jean, et l'orienter vers le portail
🔴 Pièce d'identité = Zone Rouge
🪪
NE JAMAIS envoyer de copie de CNI par email
Même sur demande interne, même pour un onboarding, même "juste cette fois"
Risques
- Usurpation d'identité complète
- Ouverture de comptes frauduleux
- Souscription de crédits au nom du salarié
- Responsabilité RGPD de l'entreprise
Alternatives sécurisées
- Coffre-fort numérique RH
- Vérification en présentiel
- Portail sécurisé avec authentification
- Transmission chiffrée si indispensable
Le faux dirigeant / manager
Bonjour,
Dans le cadre d'une opération confidentielle en cours, j'ai besoin que vous me transmettiez la liste complète des collaborateurs avec leurs salaires bruts.
Merci de ne mettre personne en copie à ce stade.
Je compte sur votre discrétion.
[Nom du PDG]
Autorité + Confidentialité
Isolement forcé
Données sensibles massives
Période à risque : l'onboarding
Pourquoi c'est critique
- Création de comptes et accès
- Collecte massive de documents
- Nouvel interlocuteur = pas de "baseline"
- Pression du "tout doit être prêt pour J1"
- Multiples allers-retours par email
Sécuriser l'onboarding
- Checklist standardisée (pas d'improvisation)
- Documents via portail sécurisé uniquement
- Vérification d'identité en présentiel / visio
- Création de comptes après validation complète
- Double validation pour les accès sensibles
Période à risque : clôture de paie & absences
Clôture de paie
J-3 : Demandes "urgentes" de modification RIB
J-1 : Pression maximale, vérifications bâclées
J : Virements exécutés — trop tard pour annuler
Périodes d'absences
Été / fêtes : effectifs réduits
Remplaçants moins formés aux procédures
Validation par des personnes inhabituelles
Règle d'or : toute modification de RIB nécessite une double vérification (appel + confirmation écrite via outil) — SANS EXCEPTION
Atelier : 3 scénarios, quelle décision ?
Scénario 1 : Un salarié vous appelle
"Je suis en déplacement, j'ai perdu ma carte. Pouvez-vous m'envoyer une copie de ma CNI stockée dans mon dossier ?"
A
Vous envoyez la CNI par email, c'est un collègue
B
Vous envoyez par email chiffré avec mot de passe
C
Vous refusez et orientez vers le portail sécurisé à son retour
Impacts RGPD pour les RH
Minimisation
Ne collecter que les données strictement nécessaires. Pas de "au cas où".
Art. 5.1.c RGPD
Accès restreint
Seules les personnes habilitées accèdent aux dossiers. Pas de partage "informel".
Art. 25 RGPD
Traçabilité
Chaque accès, modification, transmission doit être tracé et horodaté.
Art. 30 RGPD
Sanction maximale : 20 millions d'euros ou 4% du CA mondial — le montant le plus élevé
04
Ateliers pratiques
& mises en situation
Module 4 — 60 minutes — 8 slides
Objectifs : Détecter, Décider, Réagir
Grille d'analyse en 4 étapes
1️⃣
QUI
L'expéditeur est-il vérifié ?
2️⃣
QUOI
La demande est-elle habituelle ?
3️⃣
COMMENT
Le canal est-il normal ?
4️⃣
QUAND
Le timing est-il suspect ?
Appliquez cette grille à chaque email ou demande suspecte
Email #1 : Changement de RIB urgent
Bonjour,
Je suis actuellement en déplacement à Lyon et je n'arrive pas à me connecter au portail RH (erreur 503).
Pourriez-vous exceptionnellement modifier mon RIB directement ? Je vous envoie le nouveau en PJ.
La paie est demain, c'est vraiment urgent.
Merci beaucoup !
Claire
🔴 Urgence
"demain", "vraiment urgent"
⚠️ Contournement
"exceptionnellement", hors portail
🔍 Vérification
Appeler Claire sur son n° connu
Email #2 : Prestataire social — mise à jour
Madame, Monsieur,
Suite à l'évolution réglementaire du 1er janvier 2026, nous devons mettre à jour les données de l'ensemble de vos affiliés.
Merci de compléter le formulaire sécurisé ci-dessous avec les informations suivantes :
— Nom, prénom, n° SS de chaque salarié
— Salaire brut annuel
📋 Accéder au formulaire
Délai : 72 heures. Passé ce délai, les garanties seront suspendues.
Pression temporelle
Lien externe
Menace
Données sensibles en masse
Email #3 : Manager — demande confidentielle
Salut,
Je prépare les entretiens annuels et j'aurais besoin des infos suivantes pour mon équipe :
— Salaires actuels de chacun
— Historique des augmentations
— Éventuels arrêts maladie récents
Merci de m'envoyer ça rapidement et de ne pas en parler à l'équipe, évidemment.
Thomas
Autorité hiérarchique
Données santé = RGPD Art. 9
Isolement ("pas en parler")
Canal informel
Mise en situation : "Paie ce soir"
Il est 16h30. La paie doit être validée ce soir à 18h. Vous recevez un email d'un collaborateur demandant un changement de RIB. Son manager confirme par email. Mais le collaborateur est en congé et injoignable par téléphone.
A
Modifier le RIB — le manager a confirmé et la deadline est proche
B
Reporter la modification au prochain cycle et virer sur l'ancien RIB
C
Modifier le RIB mais bloquer le virement jusqu'à confirmation téléphonique
✅ Mieux vaut un virement sur l'ancien RIB valide qu'un virement frauduleux irréversible
Mise en situation : Onboarding "Jour J"
Lundi matin, un nouveau collaborateur arrive. Son manager vous appelle : "Il n'a reçu aucun accès, son badge ne fonctionne pas, et il n'a pas encore transmis sa CNI. Créez tout de suite ses accès, il commencera les formalités admin plus tard."
A
Créer tous les accès immédiatement — il est attendu et le manager est pressé
B
Créer un accès temporaire limité en attendant les documents
C
Suivre le processus : pas de documents = pas d'accès. Proposer un accueil invité en attendant
Les 8 erreurs qui coûtent cher
1
Modifier un RIB sur simple email
2
Envoyer une CNI par email non chiffré
3
Ouvrir une PJ .doc d'un candidat inconnu
4
Cliquer sur un lien de mise à jour prestataire
5
Transmettre des données sur demande "confidentielle"
6
Créer des accès sans vérification d'identité
7
Ignorer un doute "pour ne pas déranger"
8
Ne pas signaler un incident "mineur"
Mon engagement
Dès demain, je m'engage à appliquer
1 nouveau réflexe :
✋STOP
🔍VÉRIFIER
📢SIGNALER
"Un doute ? Je prends 20 secondes. Jamais je ne regrette d'avoir vérifié."
05
Bons réflexes
& procédures RH
Module 5 — 30 minutes — 5 slides
3 réflexes durables
✋STOP
Je m'arrête.
Je ne réponds pas impulsivement.
🔍VÉRIFIER
Je vérifie par un autre canal.
Téléphone, face à face, outil interne.
📢SIGNALER
Je signale, même si c'est un doute.
IT, manager, référent sécurité.
20 secondes de réflexion peuvent éviter des mois de crise
Checklist 20 secondes avant transmission
| Question | Zone | Action |
|---|
| L'expéditeur est-il vérifié (domaine, identité) ? | VERT | Continuer |
| La demande passe-t-elle par le canal habituel ? | VERT | Continuer |
| Y a-t-il une notion d'urgence ou de deadline ? | ORANGE | Vérifier par téléphone |
| Demande-t-on de contourner un processus ? | ORANGE | Refuser, escalader |
| Concerne des données sensibles (CNI, RIB, santé) ? | ROUGE | Double validation obligatoire |
| Demande de confidentialité / pas de copie ? | ROUGE | STOP — Signaler immédiatement |
Doute vs Incident avéré
En cas de DOUTE
Ne pas répondre à l'email suspect
Vérifier l'identité par téléphone / face à face
Consulter un collègue ou le manager
Signaler à l'IT / référent sécurité
Documenter (capture d'écran, heure, contexte)
En cas d'INCIDENT AVÉRÉ
STOP : ne plus toucher au poste / email
Alerter immédiatement l'IT / RSSI
Alerter le manager et la DRH
Changer ses mots de passe
Ne rien supprimer (preuves)
Notification CNIL sous 72h si données personnelles
Le rôle des RH dans la chaîne d'alerte
🛡️
Première ligne
Les RH sont souvent les premiers à recevoir une tentative de fraude — votre vigilance protège tous les salariés
🔗
Maillon de confiance
Votre rôle : relayer l'information à l'IT, au RSSI, au DPO. Ne portez pas le poids seul(e).
📣
Ambassadeur sécu
Sensibiliser les nouveaux arrivants, rappeler les règles, normaliser le signalement
Signaler n'est pas "déranger" — c'est un acte professionnel de protection collective
Fiche réflexe RH — Récapitulatif
Changement de RIB
- Jamais sur simple email
- Appel au salarié sur n° connu
- Validation via outil RH officiel
- Double signature si possible
Demande de documents sensibles
- Vérifier l'identité du demandeur
- Utiliser le portail sécurisé
- Pas de CNI / RIB par email
- Tracer chaque transmission
Demande "confidentielle" de la direction
- Vérifier par appel direct au dirigeant
- Jamais de données sensibles par email
- Informer le RSSI si doute
- "Confidentiel" ≠ "sans contrôle"
Contacts d'urgence
- IT / Support : [numéro interne]
- RSSI : [numéro interne]
- DPO : [numéro interne]
- cybermalveillance.gouv.fr
Merci pour votre
engagement
✋STOP
🔍VÉRIFIER
📢SIGNALER
La cybersécurité est l'affaire de tous.
Vous êtes la première ligne de défense.
Formation MTP Academy
Cybersécurité RH