Cybersécurité : pourquoi les stagiaires et les saisonniers sont une cible idéale (et comment y remédier)

Senior Systems Engineer EMEA chez Outpost24, Aymen Ben Aouicha explique à BDM pourquoi l’arrivée des stagiaires, alternants et saisonniers ouvre une fenêtre de vulnérabilité, et comment les entreprises peuvent s’en prémunir.

Aymen Ben Aouicha Outpost24
Pour Aymen Ben Aouicha, les cyberattaques fonctionnent « parce qu'elles combinent une cible peu aguerrie et un contexte crédible ». © Montage BDM
Sommaire

Chaque été et à la rentrée, les entreprises accueillent des stagiaires, alternants et saisonniers. En quoi cet afflux représente-t-il une opportunité pour les cybercriminels ?

Ces périodes créent une fenêtre de vulnérabilité concentrée dans le temps : beaucoup de nouveaux comptes créés en même temps, des accès provisionnés dans l’urgence, et des personnes qui n’ont pas encore intégré les politiques de sécurité de l’entreprise. Pour un attaquant qui fait de la reconnaissance, ces profils sont faciles à identifier (post LinkedIn, dates d’arrivée publiques, intitulés de poste juniors) et représentent un point d’entrée moins surveillé que les comptes des collaborateurs.

Vous dites que ce sont souvent les seules personnes qui ne savent pas encore ce qui paraît normal dans l’entreprise (et ce qui devrait leur sembler suspect). Concrètement, qu’est-ce que cela change au niveau de leur exposition aux attaques informatiques ?

Un collaborateur en poste depuis un an sait, par réflexe, qu’un DAF (directeur administratif et financier, ndlr) ne demande jamais un virement par mail un vendredi soir, ou que l’équipe IT n’appelle jamais pour demander un mot de passe. Un stagiaire n’a pas encore ces réflexes. Il ne peut pas détecter l’anomalie parce qu’il n’a tout simplement pas de référentiel auquel comparer la sollicitation.

Techniquement, cela ne change rien à la surface d’attaque, mais cela change radicalement le taux de succès, puisque la couche de détection humaine est quasi absente.

Le besoin d’obtenir rapidement des accès à de nombreux outils, dès les premiers jours, constitue-t-il un facteur aggravant ?

Oui, pour deux raisons.

D’abord, la pression du « Il faut qu’il soit opérationnel dès le jour 1 » pousse souvent à donner des droits plus larges que nécessaire, faute de temps pour affiner.

Ensuite, la multiplication des comptes et des mots de passe créés en quelques jours augmente la probabilité de mots de passe faibles, ou envoyés en clair, autant de traces exploitables.

Quels types d’attaques ciblent le plus souvent ces profils, et pourquoi ?

Trois types de cyberattaques dominent :

  • le phishing classique : le faux mail RH, la fausse plateforme de paie ou de formation à activer,
  • le spearphishing : l’usurpation d’un manager demandant un accès à un partage de document ou des informations confidentielles,
  • le vishing : l’appel téléphonique se faisant passer pour le support IT, afin d’obtenir un mot de passe ou de faire installer un outil d’accès à distance.

Ces attaques fonctionnent parce qu’elles combinent une cible peu aguerrie et un contexte crédible (l’arrivée récente justifie qu’on lui demande « encore » des informations).

Ces collaborateurs sont décrits comme moins enclins à remettre en question une demande venant d’un supérieur hiérarchique. Comment les cybercriminels exploitent-ils précisément ce réflexe ?

L’attaquant s’appuie sur l’asymétrie hiérarchique perçue : un stagiaire n’a pas le statut pour questionner un N+2 ou un directeur qui le sollicite en urgence. Le prétexte classique combine autorité, urgence et confidentialité : « C’est moi, je suis en réunion, ton manager est injoignable, tu es le(la) seul(e) à pouvoir m’aider ».

Cette combinaison empêche le réflexe de vérification, car vérifier reviendrait, dans l’esprit du stagiaire, à désobéir ou à faire perdre du temps précieux à un supérieur.

Derrière ces attaques réussies, quelles failles retrouve-t-on le plus souvent du point de vue de l’organisation qui les accueille ?

Le plus souvent, on retrouve :

  • une absence de sensibilisation à la cybersécurité spécifique à l’onboarding,
  • des comptes créés avec des droits par défaut trop larges plutôt que selon le principe du moindre privilège,
  • l’absence de MFA (pour authentification multifacteur, ndlr) généralisé sur les comptes temporaires,
  • aucun canal clair de vérification (« Qui contacter s’il y a un doute »),
  • et un manque de coordination entre RH et IT sur la désactivation/activation des accès en fonction de la durée réelle du contrat.

Comment une entreprise peut-elle concilier un onboarding rapide (nécessaire pour être opérationnel) et une sécurité des accès rigoureuse, sans opposer les deux ?

Les deux ne s’opposent pas si la sécurité est industrialisée en amont plutôt que gérée au cas par cas. Cela passe par des profils d’accès prédéfinis par fonction (templates de droits), un provisioning automatisé mais borné au strict nécessaire dès le premier jour, et le MFA activé par défaut sans effort supplémentaire pour le manager.

La rapidité vient de la standardisation, pas du relâchement des contrôles.

Quelles sont les bonnes pratiques prioritaires que vous recommandez aux RH et aux managers de mettre en place, afin de limiter les risques dès les premiers jours d’intégration ?

Ce que je recommande :

  • intégrer un module de sensibilisation à la cybersécurité dans les premiers jours (pas seulement RGPD et sécurité physique),
  • activer le MFA systématiquement dès la création du compte,
  • appliquer le moindre privilège avec une revue des droits à 30 jours,
  • définir un point de contact IT unique et connu de tous les nouveaux arrivants pour vérifier toute demande sensible,
  • et synchroniser étroitement RH et IT sur les dates de début/fin de contrat pour éviter les comptes fantômes.

Quels réflexes essentiels donneriez-vous directement à un stagiaire, un alternant ou un saisonnier, pour qu’il sache repérer une sollicitation suspecte ?

Voici trois réflexes simples à mettre en place :

  1. Ne jamais agir dans l’urgence sur une demande financière ou de données sensibles, même venant d’un supérieur apparent.
  2. Toujours vérifier par un second canal (appel direct, passage au bureau) ; ne jamais communiquer un mot de passe, y compris à quelqu’un qui se présente comme de l’IT, car aucun service légitime ne le demande ; et se rappeler qu’il n’y a jamais de mauvaise question.
  3. Signaler tout doute à son tuteur ou à l’IT ne coûte rien, alors qu’une erreur peut coûter cher.

Avec l’arrivée de l’été et son lot de saisonniers et stagiaires, y a-t-il une urgence particulière à agir sur ce sujet maintenant, ou est-ce un risque permanent mal identifié, selon vous ?

Les deux à la fois. C’est un risque structurel permanent, présent dès qu’il y a du turnover ou de la saisonnalité dans les effectifs, mais l’été et la rentrée l’intensifient artificiellement en concentrant les arrivées.

C’est donc le bon moment pour tester et corriger les processus d’onboarding sécurisés, sachant que ces mêmes failles existeront toute l’année dès qu’un nouveau collaborateur arrive.

Picture of Aymen Ben Aouicha

Aymen Ben Aouicha, Senior Systems Engineer EMEA, Outpost24

Aymen Ben Aouicha est Senior Systems Engineer chez Outpost24. Fort de 15 années d’expérience dans la cybersécurité et l’architecture d’entreprise, il a précédemment occupé des postes chez F5, Symantec, NTT Com Security, Dimension Data et BNP Paribas. Spécialiste de la gestion de l’exposition aux menaces, de la sécurité applicative et des architectures réseau, il intervient sur les sujets liés à la gestion des vulnérabilités, l’EASM, la threat intelligence et la sécurité cloud.

Le métier de Consultant cybersécurité vous intéresse ?

Tout savoir sur le métier de consultant cybersécurité, qui conseille et accompagne ses clients pour sécuriser leurs données et leurs systèmes informatiques face aux cybermenaces. Voir la fiche métier Consultant cybersécurité
Sujets liés :
Publier un commentaire
Ajouter un commentaire

Votre adresse email ne sera pas publiée.

Visuel enquête Visuel enquête

Community managers : participez à notre enquête 2026

L'objectif est de comprendre comment évolue votre métier : missions, réseaux utilisés, outils...

Je participe

Les meilleurs logiciels Antivirus