Les attaques dites de « pirates de la paie » gagnent en ampleur et en complexité. Le mécanisme est documenté notamment par Microsoft : depuis le début de 2025, son service Threat Intelligence observe un afflux d’attaques ciblant les systèmes de gestion des ressources humaines, en particulier les plateformes de paie comme Workday. zataz.com Le groupe baptisé Storm‑2657 manipule des identifiants volés pour détourner les salaires d’employés légitimes.
Cette tendance s’étend désormais à la France : selon la plateforme Zataz, plusieurs campagnes ont visé des entreprises françaises.
Ainsi, un secteur traditionnellement conçu comme “interne” (la paie) devient une cible centrale pour les cyber-fraudeurs.
Mode opératoire typique
Voici le scénario que l’on retrouve :
-
Une campagne de phishing très ciblée est déployée : un courriel imitant le service d’une mutuelle d’entreprise, d’un organisme interne ou d’une alerte sanitaire est envoyé à un salarié ou à un gestionnaire RH.
-
Le lien renvoie à un document piège (souvent via Google Docs) puis à une fausse page d’authentification où les identifiants sont capturés.
-
Avec les identifiants et parfois le code MFA, les attaquants s’introduisent dans la messagerie (souvent Microsoft Exchange Online) ou dans la plateforme de paie comme Workday. Ils prennent le contrôle d’un compte légitime.
-
Dans Workday ou équivalent, modification discrète du RIB du salarié, paramétrage d’une règle Outlook pour supprimer certains messages (souvent nommés « … » ou « ’ ») afin que les notifications ne remontent pas.
-
Le salaire est versé sur un compte contrôlé par les fraudeurs, la victime ne reçoit pas de courrier d’alerte ou ne s’aperçoit de rien immédiatement.
En France, la CNIL explique que la fraude au « virement de salaire » consiste à usurper l’identité d’un salarié pour demander à modifier ses coordonnées bancaires. Selon un article, près de 200 000 victimes par an en France sont visées par ce type de fraude. TF1 INFO
Exemples réels en France
-
Une alerte publiée par le site de service public français indique : « Cette nouvelle arnaque consiste à usurper l’identité d’un salarié pour demander aux ressources humaines de l’entreprise de modifier les coordonnées bancaires où le salaire est versé. »
-
Un article de TF1 Info relate qu’un salarié ou son adresse mail a été usurpé : « Le fraudeur se fait passer pour l’employé, envoie un mail à son entreprise et donne un nouveau RIB pour toucher ensuite le salaire de l’employé. »
Ces cas montrent que l’attaque ne se limite plus aux universités américaines ou aux grandes entreprises : des structures françaises de toutes tailles sont concernées. Le lien avec des systèmes de paie mutualisés, télétravail, externalisation RH est également évoqué.
Pourquoi cela évolue-t-il ?
Plusieurs facteurs expliquent cette montée en puissance :
-
Le modèle change : il ne s’agit plus simplement de rançongiciel ou d’arrêt de service ; l’objectif est discret et financier (détournement de salaires) plutôt que visible.
-
Le « maillon humain » est réaffirmé comme le point faible : l’ingénierie sociale, les courriels crédibles, l’usurpation d’identité. La CNIL rappelle que l’alerte provient souvent d’un mail usurpé au service RH.
-
Les processus RH, parfois externalisés ou mutualisés, facilitent l’action : un change-bank-account moins bien vérifié, un accès système pas suffisamment segmenté.
-
Le partage d’informations entre éditeurs, institutions et autorités reste insuffisant, ce qui rend la détection et la remédiation plus lentes.
Risques pour le responsable de traitement et les entreprises
Pour un DPO ou un responsable de traitement, plusieurs implications sont à considérer :
-
Violation de données personnelles : la compromission d’identifiants, de RIB, de données de paie engage une violation « risque élevé » selon le RGPD. La CNIL indique qu’il peut y avoir obligation de notification.
-
Risque financier : l’entreprise peut subir des pertes directes (versement à un compte fraudeur), ou indirectes (réputation, investigations, sanctions).
-
Risque de conformité : cela peut mettre en défaut les obligations internes et légales de sécurité des données, d’authentification, de traçabilité.
-
Risque réputationnel : les salariés victimes, la médiatisation d’une fraude de paie, le manquement à la confiance peuvent affecter l’employeur.
Bonnes pratiques pour prévenir ce type d’attaque
Je formule ici des recommandations concrètes, que vous pouvez adapter à votre entreprise.
1. Renforcer l’authentification et les accès
-
Appliquer le principe du moindre privilège : chaque système RH, messagerie ou paie doit avoir des comptes dédiés et séparés.
-
Mettre en place une authentification forte (MFA) obligatoire sur les comptes RH/paie, et surveiller les connexions anormales (heure, localisation, IP).
-
Séparer les rôles : l’accès à la modification des coordonnées bancaires doit être distinct du traitement des salaires.
2. Vérifier les demandes de modification des RIB
-
Toute demande de changement de RIB doit faire l’objet de validation multi-facteurs : contact avec le salarié via un canal indépendant (téléphone, messagerie interne) pour confirmer.
-
Mettre en place un workflow formalisé, avec traçabilité, approbation par la hiérarchie ou par le contrôle interne.
-
Restreindre la possibilité de modification des coordonnées bancaires à certaines périodes/clôtures : en dehors du cycle de paie, bloquer automatiquement les changements pendant x jours.
3. Sensibiliser les utilisateurs et les services RH
-
Former le personnel RH, comptable, paie et les salariés à détecter les mails suspects : expéditeur, domaine inhabituel, ton urgent, lien vers Google Docs ou page externe.
-
Communiquer régulièrement sur ce type de fraude : cas concrets, consignes–> « Nous ne demanderons jamais vos identifiants par mail ».
-
Simulations de phishing ciblé sur la fonction RH : tester la réactivité et remédier aux écarts.
4. Surveiller et détecter les anomalies
-
Mettre en place des alertes sur les modifications de profils bancaires : nouvelle banque, nouvelle adresse bancaire, première paie versée sur un nouveau compte.
-
Traquer les règles de messagerie suspectes (ex : suppression automatique de mails entrants, règles nommées « … », « ’ ») sur les boîtes RH.
-
Consolider les journaux (logs) d’accès aux systèmes de paie, de messagerie, de modifications bancaires et les corréler avec les flux bancaires.
-
Collaborer avec votre banque pour mettre en place des alertes sur changement de bénéficiaire ou transfert inhabituel.
5. Procédures de réaction et remédiation
-
Définir un plan d’action pour chaque cas suspect : blocage du compte, réinitialisation des accès, audit de modifications, restitution des fonds si possible.
-
En cas de violation de données personnelles (identifiants, RIB, etc.) faire l’analyse de risque, notifier la Commission nationale de l’informatique et des libertés dans les 72 h si exigé, informer les personnes concernées. cnil.fr
-
Prévoir un retour d’expérience (post-mortem) pour adapter les processus, corriger les vulnérabilités organisationnelles ou techniques.
6. Capitaliser sur le partage d’informations
-
Adhérer aux réseaux d’échange d’indicateurs de compromission (IoC), aux bulletins d’alerte sectoriels, aux avis de l’ANSSI, du FBI, de Microsoft.
-
Partager avec vos prestataires RH, paie, externalisés les scénarios de fraude afin d’harmoniser les contrôles.
Vers une vision tournée vers l’avenir
Le phénomène des pirates de la paie montre que la cyber-criminalité financière exploite désormais les “flux invisibles” de l’entreprise (paie, RIB, messagerie interne) plutôt que la destruction ou rançon des systèmes. Pour les responsables de traitement, ceci implique de :
-
considérer le processus paie comme un processus critique de sécurité (au même titre qu’un serveur ou un réseau),
-
adopter une posture proactive de contrôle, de segmentation, de traçabilité et d’alerte,
-
réévaluer régulièrement les vulnérabilités liées à l’organisation (télétravail, externalisation), aux utilisateurs (phishing) et aux technologies (authentification, journaux) — en d’autres termes : l’« équation » utilisateurs + processus + technologie.
-
promouvoir la résilience : la fraude ne sera pas totalement éliminée, mais détectée et arrêtée avant qu’elle ne s’inscrive dans les flux de rémunération.
Lorsque les pirates détournent des salaires, ce n’est pas une attaque informatique classique : c’est une attaque organisationnelle, humaine et technologique, camouflée dans des processus RH banals. Le chef d’entreprise ou le responsable de traitement ne peut plus se contenter de sécuriser le périmètre IT : il doit intégrer la paie, les modifications bancaires, les accès messagerie et les utilisateurs dans sa stratégie de sécurité. En adoptant une approche globale (technique + processus + sensibilisation), il est possible de réduire significativement ce type de fraude et de protéger les salariés — et l’entreprise — contre des pertes parfois lourdes et des violations de données sensibles.
