Alerte cybersécurité, une nouvelle arnaque vise les RH et fait trembler les boîtes

Cyrille Jeunehomme — 27 juillet, 2025

Sommaire
alerte cybersécurité

Depuis quelques semaines, les experts en cybersécurité tirent la sonnette d’alarme face à une campagne de phishing d’une sophistication inédite. Cette attaque vise directement les ressources humaines (RH) et utilise des documents personnalisés si crédibles qu’ils dupent même les employés les plus vigilants. À première vue, il s’agit de simples emails d’entreprise. Mais derrière chaque message, se cache une mécanique redoutable, capable d’induire en erreur le personnel et de dérober leurs identifiants professionnels en un éclair.

La méthode fait froid dans le dos : chaque email cible un employé précis, reprend son nom, et semble provenir d’un expéditeur vérifié. Le message n’est pas du texte classique mais une image bien réalisée, échappant ainsi à la plupart des filtres anti-spam. Le véritable danger se trouve dans la pièce jointe : un « manuel RH » personnalisé, qui contient un QR code malveillant et des modifications surlignées censées attirer la curiosité. Le nom de la victime y figure plusieurs fois, renforçant l’illusion d’un document officiel et sur-mesure.

Pourquoi ce phishing est plus redoutable que les autres attaques classiques ?

Le vrai tour de force de cette attaque, c’est l’automatisation : les hackers ont conçu un système qui génère, pour chaque employé, un faux document RH distinct. Les QR codes piégés renvoient vers des pages de connexion frauduleuses qui imitent à la perfection celles de l’entreprise, subtilisant en un clic les identifiants et mots de passe. Résultat : même les systèmes de sécurité les plus avancés peinent à détecter l’arnaque avant qu’il ne soit trop tard.

Selon les experts Kaspersky, cette vague de phishing marque un tournant dans la sophistication des attaques, rendant l’intervention humaine plus cruciale que jamais pour éviter une catastrophe informatique.

Astuce utilisée par les hackersPourquoi c’est dangereux ?Comment s’en prémunir ?
Email-image sans texteÉchappe aux filtres anti-spamMettre à jour et diversifier les protections
Document RH personnaliséCrédibilité maximale pour la victimeSensibilisation continue des employés
QR code malveillantDifficile à contrôler sur mobileNe jamais scanner de code inconnu
Faux badge expéditeur vérifiéRenforce la confiance de la cibleToujours vérifier auprès du service RH

Comment protéger efficacement votre entreprise et vos équipes ?

Face à ces nouvelles menaces, la meilleure défense reste d’adopter une approche multicouche. D’abord, en installant des solutions de sécurité avancées sur les serveurs de messagerie : certains outils peuvent repérer la structure des emails frauduleux, même s’ils sont très bien cachés. Mais la vraie clé, c’est la sensibilisation du personnel. Les RH et tous les collaborateurs doivent être formés à repérer les nouveaux signaux d’alerte : pièces jointes inattendues, QR codes douteux, messages invitant à des actions urgentes ou inhabituelles.

Le conseil essentiel : ne jamais cliquer ou scanner un code depuis un document inattendu, même s’il paraît authentique. En cas de doute, il faut vérifier auprès du service RH ou de la DSI, et signaler tout email suspect à l’équipe de cybersécurité.

L’avenir de la cybersécurité : la vigilance collective au centre de la défense

Ce nouveau type de phishing prouve que les cybercriminels redoublent d’inventivité pour contourner les protections techniques. Désormais, la protection d’une entreprise ne repose plus uniquement sur la technologie : elle dépend de la vigilance et de la formation continue de chaque salarié.

Renforcer les réflexes, sensibiliser régulièrement les équipes et instaurer un climat de confiance pour signaler tout doute, voilà le secret d’une entreprise capable de résister aux attaques les plus sophistiquées.

Infogérance & services hébergés,
géré par des Experts