Le nombre d’entrées en stages déclaré par les entreprises aurait diminué de 22 % par rapport à 2019[i], d’après un rapport publié en mars 2021 par la Dares. Néanmoins, il semblerait que le marché de l’emploi connaisse actuellement une reprise plus favorable.
Depuis la pandémie, les entreprises ont fait évoluer le système d’information et de communication. Si les stagiaires, les alternants et les travailleurs temporaires sont de nouveau accueillis par les entreprises pour soutenir la croissance ; ces jeunes recrues demandent une attention singulière et être initiées aux bonnes pratiques en matière de sécurité. Ceci est d’autant plus vrai, qu’ils utiliseront leurs propres outils (BYOD) pour accéder au système d’information dès lors que l’entreprise leur en donnera l’autorisation.

Une responsabilité collective

Avec la généralisation du télétravail, des appareils qui sont hors de portée pour les outils de gestion de l’entreprise ont été utilisés par les collaborateurs. De fait, il est possible que des terminaux aient été compromis par des menaces comme le cheval de Troie ou la bombe logique. Les cybercriminels pourraient alors pénétrer l’infrastructure des entreprises à la suite d’une connexion au bureau des équipements en question.
La sensibilisation des nouveaux venus aux habitudes de l’entreprise mais aussi aux bonnes pratiques liées à la cybersécurité doit être assurée par des maîtres de stage. Or, une baisse de leur vigilance en termes de cybersécurité pourrait se faire ressentir chez les collaborateurs. Cela peut être dû à de nombreux facteurs comme de mauvaises habitudes acquises pendant ces longues périodes de télétravail mais aussi une évolution de la charge de travail lié au retour dans les locaux.

De plus, en raison des tâches que les jeunes recrues effectuent qui se font de plus en plus importantes au cours de leur stage, les informations personnelles voire sensibles, comme les identifiants, sont partagées sans l’utilisation de protection spécifique ou de moyen de chiffrement. Des actions comme l’envoi d’un mot de passe d’accès à une application dans un courrier électronique peuvent paraitre anodines. En réalité, des personnes non-destinataires et potentiellement malveillantes pourraient intercepter et utiliser ces informations.

Les fraudeurs ont fait évoluer leurs techniques pour collecter des renseignements personnels afin de commettre une usurpation d’identité, par phishing ou smishing (par sms). Pour être davantage efficace, ils combinent désormais des techniques industrialisées et manuelles. Les cybercriminels cherchent à connaitre les habitudes de potentielles victimes afin de trouver l’instant le plus propice pour lancer une attaque. Désormais, ils y parviennent à partir d’un simple clic sur un lien piégé envoyé aux victimes, leur permettant de s’introduire dans le système d’information et de s’y maintenir suffisamment longtemps. Au sein de l’entreprise, stagiaires, alternants et télétravailleurs sont concernés et ciblés par ces failles. C’est pourquoi, afin de prévenir des conséquences désastreuses, il est nécessaire de disposer d’une politique de sécurité cohérente et éprouvée sur la totalité des appareils et du réseau.

Les menaces peuvent toucher toutes les entreprises, peu importe leur taille. Il est primordial qu’elles restent informées et qu’elles instaurent des politiques de sécurité appropriées afin d’éviter les pièges tendus par les cybercriminels qui se font de plus en plus pernicieux.

La force des étudiants avertis

Lors du processus d’intégration des stagiaires et des alternants, différents facteurs clés doivent pris en considération. Tout d’abord, une sensibilisation importante accompagnée d’une formation aux risques concernant la cybersécurité. Mais également les prérogatives conséquentes aux bonnes pratiques comme le filtrage web ou le contrôle des applications et des terminaux. Il est d’ailleurs essentiel d’intégrer de nouveaux filtres sécuritaires au filtrage web légal pour limiter l’accès aux sites malveillants voire potentiellement néfastes. Dans l’optique d’éduquer, de tester et de mesurer le niveau de sensibilisation des utilisateurs aux attaques, un système d’envoi de messages électroniques de faux phishing (hameçonnage) devrait être également inclus à l’arsenal de l’écosystème de sécurité. En raison d’une évolution rapide et constante des techniques de phishing, les fondements de l’apprentissage que sont l’entraînement et la répétition sont d’autant plus importants à mettre en œuvre pour le secteur de la cybersécurité.
Les nouveaux arrivants doivent, dès leur entrée dans l’entreprise, être formés et sensibilisés aux bonnes pratiques concernant la cybersécurité. Les stagiaires pouvant potentiellement se transformer en futurs collaborateurs, il est nécessaire pour les entreprises d’instaurer cet apprentissage à l’image d’un investissement fructueux sur le long terme.

[i] https://dares.travail-emploi.gouv.fr/sites/default/filesc086953e537720a51ff852302ec601c82/Dares_Formation_Stages%20en%20entreprise%20en%202020.pdf