Clone of Clone of Clone of Clone of Avant de partir en vacances… vos accès sont-ils sécurisés ?
Préparer son absence est devenu un réflexe : organiser ses dossiers, prévenir ses collègues, activer son message d’absence... Mais la sécurité IT est encore trop souvent mise de côté.
Pourtant, c’est justement pendant les congés que les cybercriminels profitent des effectifs réduits et des délais de réaction plus longs.
Pourquoi ces messages automatisés sont-ils ciblés et comment encadrer cette pratique pour protéger votre infrastructure pendant l'été ?
La récolte d'informations : l'arme secrète des cyberattaquants
Avant de lancer une attaque ciblée, un attaquant cherche à cartographier sa cible. Un message d'absence trop détaillé lui fournit, en mode automatique, trois données stratégiques :
1. La chronologie de la vulnérabilité : Connaître les dates exactes de vos congés permet à l'attaquant de planifier son action au moment où la chaîne de décision est la plus fragile et où vous êtes indisponible pour infirmer une anomalie.
2. L'organigramme opérationnel : Mentionner explicitement le nom et les coordonnées de la personne qui assure votre intérim (« En mon absence, contactez Sophie au... ») permet au pirate d'identifier immédiatement le maillon à solliciter.
3. Le contexte métier : Préciser qu'un dossier ou qu'un projet spécifique est en attente donne à l'attaquant le prétexte parfait pour légitimer sa prise de contact auprès de vos équipes.
Le mécanisme de l'attaque par rebond en période estivale
Grâce à ces informations, le scénario de compromission devient redoutable. Fort des données récoltées, l'attaquant contacte le collaborateur désigné pour l'intérim. En usurpant l'identité d'un partenaire ou d'un fournisseur légitime, il utilise le contexte précis du message d'absence pour instaurer un faux sentiment de confiance et d'urgence.
Face à des détails aussi spécifiques, la vigilance du collaborateur souvent surchargé par la gestion des affaires courantes en effectif réduit peut être trompée, ouvrant la voie à un virement frauduleux ou à une exfiltration de données.
3 bonnes pratiques pour un message d'absence hautement sécurisé
Pour concilier obligation professionnelle et exigences cyber, la mise en place d'une politique stricte de gestion des réponses automatiques est recommandée :
- Appliquer le principe de sobriété informationnelle : Un message d'absence doit être factuel et minimaliste. Privilégiez une formulation neutre du type « Je ne suis pas joignable actuellement. Vos demandes seront traitées à mon retour », sans mentionner de localisation géographique ni de date précise de retour.
- Segmenter les réponses (Interne vs Externe) : La majorité des clients de messagerie professionnels permettent de configurer deux réponses distinctes. Réservez les détails organisationnels (noms des collaborateurs relais) à vos équipes internes, et diffusez un message générique et épuré pour l'extérieur de l'organisation.
- Utiliser des points de contact génériques : Plutôt que de fournir le numéro de mobile direct ou l'adresse e-mail nominative de votre remplaçant, redirigez les flux externes vers une boîte partagée surveillée (ex : commercial@company.com ou support@company.com). Cela casse la personnalisation de l'attaque.
La sécurité collective s'anticipe
La résilience d'une entreprise face au risque cyber repose sur la somme des comportements individuels. En sensibilisant vos collaborateurs à la portée de leurs publications automatisées, vous réduisez considérablement la surface d'attaque de votre organisation pendant la trêve estivale.