La cyber-menace contre la masse salariale gagne en sophistication et en fréquence, selon le dernier rapport du FBI sur la cybercriminalité. Beaucoup de ces attaques exploitent des vulnérabilités corrigibles dans le processus de paie pour voler de l'argent ou accéder à des informations importantes telles que les comptes bancaires ou l'identification personnelle.
Avec d'énormes quantités d'argent changeant de mains au moins une fois par mois, la paie sera toujours une cible attrayante pour les cybercriminels. Ce qui rend la paie encore plus attrayante, c'est à quel point le domaine est loin dans le domaine des technologies avancées. Aujourd'hui, la plupart des états de paie sont traités manuellement, et une grande partie des informations utilisées pour calculer et remettre l'argent est souvent envoyée par des canaux qui ont leurs propres vulnérabilités.
Cette combinaison crée un processus avec une série de trous que les criminels qualifiés peuvent traverser et s'enfuir avec des données, causant d'innombrables problèmes pour des personnes innocentes. Alors que la liste des violations de la sécurité de la paie continue de s'allonger, les entreprises devraient envisager des moyens de réparer les trous dans leur processus.
1. Utiliser le courrier électronique pour transférer des données sensibles
Le courrier électronique a été l'un des meilleurs outils de l'histoire de l'informatique personnelle, mais c'est peut-être le pire moyen d'envoyer des données privées importantes. Ce qui le rend si utile dans la communication quotidienne le rend également dangereux pour la confidentialité et la sécurité. Nous l'utilisons tellement, en fait, nous remarquons à peine quand les voleurs l'utilisent contre nous.
Le compromis sur les courriels commerciaux (BEC) est une forme d'attaque courante dirigée contre les gestionnaires de la paie. Les voleurs envoient des e-mails qui semblent provenir de hauts responsables de l'entreprise avec des instructions pour transférer des fonds. Les voleurs s'en sortent alors avec l'argent.
Au moment des impôts, les finances et les comptables échangent constamment des informations sensibles, généralement par un va-et-vient par e-mail. Les voleurs ont appris à usurper les pages de courrier électronique pour qu'elles apparaissent comme provenant de sources légitimes. Ceux-ci contiennent souvent des liens vers des virus.
La solution à ce type de crime est simple – n'utilisez jamais de courrier électronique pour envoyer des données sensibles. Déjà. Si le courrier électronique n'est jamais utilisé, les tentatives de phishing ne fonctionneront jamais. Trouver des moyens de transfert de données meilleurs et plus sûrs peut faire toute la différence.
2. S'appuyer sur des fournisseurs tiers avec une mauvaise protection des données
Vous pouvez avoir des normes élevées en matière de sécurité et de confidentialité des données, mais vous n'êtes aussi sûr que le maillon le plus faible de la chaîne de paie. Si vous sous-traitez une partie de votre masse salariale mondiale, vous comptez sur le standard de cette entreprise pour être aussi élevé que le vôtre, et malheureusement, ce n'est pas toujours le cas.
Prenez, par exemple, la municipalité de Tallahassee, qui a subi ce qui aurait pu être la pire violation de la paie en 2019. Les cybercriminels ont réussi à voler un million de dollars en masse salariale en piratant le fournisseur tiers qui a géré la masse salariale de la ville.
Dans le cas de Tallahassee, la vulnérabilité était apparemment dans le logiciel de gestion des ressources humaines utilisé par la société externalisée. Le piratage a réussi à détourner les chèques de dépôt direct envoyés à de nombreux employés.
La leçon est claire: assurez-vous que les entreprises avec lesquelles vous travaillez ont les normes de sécurité les plus élevées. Les personnes qui perdent pourraient être votre propre main-d'œuvre.
3. Stockage des données dans des endroits vulnérables
Un autre cas majeur de vol de données de paie en 2019 s'est produit hors ligne, de la manière la plus banale possible. Un employé de Facebook a enregistré des informations sensibles sur un disque dur externe, qui a ensuite été volé dans la voiture de l'employé. Bien qu'il n'y ait pas eu d'argent perdu dans le vol, les informations privées de milliers d'employés ont été compromises, les rendant vulnérables au vol d'identité.
La situation souligne le fait que la plus grande menace à la sécurité des données est le facteur humain. Plus les entreprises font pour automatiser leur processus de paie, moins les gens ont de chances de faire des erreurs. Alors que l'automatisation fait gagner du temps dans le traitement de la paie et réduit les coûts en supprimant une grande partie de la main-d'œuvre dans le processus, elle présente également un avantage caché pour la sécurité en limitant les risques d'erreur humaine.
Idéalement, le logiciel d'automatisation serait également un système SaaS basé sur le cloud afin que les entreprises n'aient pas à se soucier des mises à jour de sécurité pour le logiciel lui-même. Dans le même temps, les entreprises doivent être certaines que les normes de sécurité des logiciels sont au plus haut niveau.
4. Donner à trop de personnes l'accès aux données de paie
En plus de l'automatisation, il est essentiel de limiter l'accès aux données sensibles pour réduire encore plus le facteur humain. Il n'y a aucune raison pour que quiconque n'est pas directement impliqué dans la collecte ou le traitement des données ou les paiements ait la permission de consulter les données ou de les traiter de quelque manière que ce soit. Moins il y a de personnes qui ont accès aux données, moins elles ont de chances de subir une violation accidentelle.
Assurez-vous que votre entreprise a des règles strictes d'accès aux données sur toute la gamme des informations propriétaires. Les responsables marketing et commerciaux, par exemple, n'ont pas besoin d'accéder aux données de paie, tout comme les responsables financiers n'ont pas besoin d'accéder aux informations informatiques importantes.
Cependant, les règles ne suffisent pas à elles seules. Assurez-vous que, quel que soit le système informatique utilisé par votre entreprise, les applications fournissent – et limitent – l'accès aux données. La prévention d'une violation peut être aussi simple que de garantir que le plus petit nombre de personnes puisse modifier le déverrouillage des données.
5. Ne pas tenir à jour le logiciel informatique
L'interaction entre les cybercriminels et les personnes qui tentent de les arrêter peut souvent être décrite comme un jeu de chat et de souris. Les pirates essaient de pénétrer dans des zones où ils ne sont pas autorisés à aller et les agents de sécurité essaient de les empêcher d'entrer. Lorsqu'une violation se produit, il peut souvent s'agir d'une nouvelle vulnérabilité que personne ne connaissait. À ce stade, les experts en sécurité trouvent un moyen de colmater le trou et de transmettre un correctif à tous les ordinateurs vulnérables via une mise à jour.
Malheureusement, le service de la paie est souvent une opération à nu qui ne dispose pas d'une équipe informatique dédiée pour s'assurer que le correctif est installé le plus rapidement possible. En conséquence, un service de paie pourrait être lent à fermer un trou découvert par la communauté des hackers. Cela laisse la masse salariale sensible aux hacks qui pourraient être évités.
C'est pourquoi il est essentiel que les entreprises aient une politique d'installation des mises à jour dès qu'elles apparaissent. Cela pourrait être la seule chose qui sauve une paie d'une attaque dans un processus de paie autrement sûr et sain.