Le secteur des services dans le viseur des attaquants
Les entreprises de services occupent une position singulière dans la chaîne de cybersécurité. Centres d’appels, agences de travail temporaire, cabinets de recrutement, sociétés d’externalisation RH et de gestion administrative ne manipulent pas leurs propres données sensibles : elles manipulent celles de leurs clients. Cette position de sous-traitant les transforme en multiplicateurs de risque. Un attaquant qui compromet un cabinet de recrutement accède aux CV confidentiels de centaines de candidats. Un accès frauduleux à la messagerie d’une agence d’intérim expose les fiches de paie, les numéros de sécurité sociale et les coordonnées bancaires de milliers d’intérimaires placés chez des dizaines d’entreprises clientes.
C’est ce qui rend le secteur des services aussi attractif pour les cybercriminels. Une seule cible, plusieurs victimes. Le Verizon 2024 Data Breach Investigations Report confirme que les attaques par ingénierie sociale restent le vecteur principal de compromission dans les services aux entreprises, avec le phishing comme méthode dominante.
Les données RH : un trésor pour les attaquants
Les données traitées par les entreprises de services ont une valeur marchande directe sur les marchés parallèles. Un CV complet se revend entre 10 et 50 dollars sur le dark web selon le rapport Secureworks 2024 State of the Threat. Un numéro de sécurité sociale avec pièce d’identité associée vaut davantage : il permet l’usurpation d’identité, l’ouverture de comptes bancaires frauduleux et les escroqueries au crédit. Les agences d’intérim, qui collectent systématiquement ces pièces pour les dossiers de placement, centralisent ces données par milliers.
Le centre d’appels : un point d’entrée sous-estimé
Les centres d’appels traitent les données clients de leurs donneurs d’ordres : coordonnées personnelles, historiques de commandes, données bancaires pour le recouvrement ou la vente à distance. Un email de phishing qui vole les identifiants d’un agent de plateau suffit pour accéder aux données de milliers de clients. Le turnover élevé dans les centres d’appels aggrave le risque : les nouveaux agents, formés à la production mais rarement à la cybersécurité, sont des cibles vulnérables.
Le recrutement : la candidature piégée
Les cabinets de recrutement reçoivent des dizaines de CV par jour. Les attaquants exploitent ce réflexe en envoyant de faux CV contenant des pièces jointes piégées (macros malveillantes dans des fichiers Word ou PDF exploitant des vulnérabilités). La victime ouvre le document par réflexe professionnel : c’est son métier de lire des CV. L’ANSSI a signalé la progression de ces attaques par pièces jointes malveillantes ciblant les PME dans son panorama de la cybermenace 2024.
Ce que disent les chiffres
Les données montrent que le secteur des services combine un volume élevé de données sensibles avec des protections email insuffisantes.
Notre analyse : 2 755 entreprises de services passées au crible
Nous avons analysé les configurations de sécurité email (SPF, DKIM, DMARC) des domaines de 2 755 entreprises du secteur services et administration en France. Le constat : 36 % obtiennent un score de C ou pire. Cela signifie que plus d’un tiers des centres d’appels, agences d’intérim, cabinets de recrutement et sociétés de services analysés présentent des failles dans leurs protections email qui facilitent l’usurpation de leur identité par des attaquants. Un domaine mal configuré en DMARC ou en SPF permet à n’importe qui d’envoyer des emails en se faisant passer pour l’entreprise — un problème critique quand vos emails contiennent des bulletins de paie, des contrats de travail et des données RH.
Ce taux de 36 % doit se lire au regard du volume de données personnelles que chaque entreprise traite pour le compte de tiers. Une agence d’intérim avec un domaine mal protégé expose non pas ses propres données, mais celles de ses milliers d’intérimaires et de ses entreprises clientes.
Les statistiques du secteur
L’ANSSI signale dans son panorama 2024 que les PME et ETI restent les cibles principales des cyberattaques en France, avec une prédominance des attaques par phishing et ransomware. Les entreprises de services, souvent des PME, correspondent directement à ce profil de risque.
Le Verizon 2024 DBIR montre que 68 % des violations de données impliquent un facteur humain — email de phishing, identifiants volés, erreur de manipulation. Dans les entreprises de services, chaque clic sur un email suspect met en jeu les données de clients tiers.
Le coût moyen d’une violation de données dans le secteur des services atteint 4,43 millions de dollars selon le rapport IBM Cost of a Data Breach 2024. Pour une PME française, les conséquences dépassent le financier : perte de contrats clients, sanctions CNIL et atteinte durable à la réputation commerciale.
La CNIL a enregistré 4 668 notifications de violation de données personnelles en 2023, soit 14 % de plus qu’en 2022. Son rapport d’activité 2023 souligne que les manquements à l’obligation de sécurité restent le motif de sanction le plus fréquent, et que les sous-traitants de données sont de plus en plus dans le viseur des contrôles.
Les attaques qui visent votre secteur
Les attaquants adaptent leurs scénarios aux habitudes de travail de chaque secteur. Voici les méthodes qui ciblent spécifiquement les entreprises de services et d’administration.
Fausses demandes clients pour l’envoi de données salariés
L’attaquant se fait passer pour un client donneur d’ordres et demande en urgence l’envoi de fichiers contenant des données personnelles de salariés : listes d’intérimaires avec coordonnées bancaires, fichiers de paie, attestations d’emploi. L’email imite le format habituel du client, mentionne un numéro de dossier et invoque une urgence (« audit », « contrôle URSSAF du client », « fusion en cours »). Le gestionnaire de compte, habitué à répondre vite aux demandes clients, envoie le fichier sans vérification complémentaire. C’est une forme de spear phishing qui exploite la relation de confiance entre sous-traitant et donneur d’ordres.
Faux emails de paie pour les agences d’intérim
Les agences d’intérim traitent des centaines de bulletins de paie chaque mois. Les attaquants envoient de faux emails imitant le logiciel de paie ou le prestataire de gestion (Silae, PayFit, ADP) avec un lien vers un « portail de vérification » qui demande les identifiants d’accès. Une variante consiste à envoyer un email au nom d’un intérimaire demandant la modification de ses coordonnées bancaires — une demande banale dans le flux quotidien, mais qui peut détourner des dizaines de virements de salaires vers un compte frauduleux.
Fausses candidatures contenant des pièces jointes piégées
Pour les cabinets de recrutement et les services RH externalisés, recevoir des CV par email est une activité quotidienne. Les attaquants exploitent ce réflexe en envoyant des candidatures avec des pièces jointes piégées : macros dans un fichier Word, PDF exploitant une faille connue, ou archive ZIP contenant un exécutable masqué. Le nom du fichier est crédible (« CV_Martin_Dupont_Comptable.docx »). L’ouverture installe un accès distant ou un ransomware qui chiffre les données du cabinet et celles de ses clients.
BEC ciblant la comptabilité des sociétés de services
La fraude au président (BEC, Business Email Compromise) touche le secteur des services avec une variante propre : le « faux client » qui annonce un changement de RIB pour les prochaines factures et demande le remboursement d’un trop-perçu sur les nouvelles coordonnées. Dans les sociétés de services qui traitent des volumes importants de facturation client, cette attaque passe dans le flux de gestion quotidien. Le FBI IC3 a mesuré 2,9 milliards de dollars de pertes liées au BEC en 2023 — les PME de services représentent une part significative des victimes.
Usurpation d’identité pour l’accès aux portails clients
Les sociétés de services utilisent des portails en ligne pour accéder aux systèmes de leurs clients : portails RH, outils de gestion des temps, systèmes de facturation. Les attaquants envoient des emails imitant ces portails (« Votre mot de passe expire dans 24 heures ») avec un lien vers une page de connexion contrefaite. Des identifiants volés donnent accès non seulement au portail du sous-traitant, mais aux systèmes du client. C’est une attaque par phishing classique, rendue plus dangereuse par les accès multiples que détient un sous-traitant.
RGPD et vos obligations
Le RGPD est le cadre réglementaire principal pour les entreprises de services qui traitent des données personnelles pour le compte de tiers. Votre position de sous-traitant crée des obligations spécifiques que les attaquants exploitent indirectement.
Sous-traitant au sens du RGPD : des obligations renforcées
La plupart des entreprises de services agissent comme sous-traitants au sens de l’article 28 du RGPD. Cette qualification impose des obligations directes :
- Mesures de sécurité appropriées (article 32) : le sous-traitant doit mettre en place des mesures techniques et organisationnelles garantissant un niveau de sécurité adapté au risque. La sensibilisation du personnel aux cybermenaces fait partie de ces mesures organisationnelles.
- Notification des violations : en cas de violation de données, le sous-traitant doit notifier le responsable de traitement « dans les meilleurs délais » (article 33). Le responsable notifie ensuite la CNIL dans les 72 heures.
- Clause contractuelle : le contrat entre sous-traitant et client doit préciser les mesures de sécurité. De plus en plus de donneurs d’ordres exigent des preuves de sensibilisation au phishing dans leurs appels d’offres et audits fournisseurs.
La chaîne de sous-traitance : responsabilité en cascade
L’article 28 du RGPD encadre aussi la sous-traitance ultérieure. Un centre d’appels qui sous-traite une partie de son activité à un autre prestataire reste responsable de la sécurité des données vis-à-vis de son client. Cette chaîne de responsabilité signifie qu’un incident de phishing chez un sous-traitant de rang 2 remonte contractuellement jusqu’au donneur d’ordres initial. Vos clients vous demanderont des comptes.
La CNIL dans le viseur
La CNIL renforce ses contrôles sur les sous-traitants. Le plan stratégique 2022-2024 de la CNIL a identifié les flux de données liés à la sous-traitance comme un axe de contrôle prioritaire. Les sanctions pour manquement à l’obligation de sécurité (article 32) peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour un sous-traitant.
En pratique, la CNIL évalue si l’entreprise a mis en place des mesures de sensibilisation proportionnées aux risques. Des campagnes de simulation de phishing documentées constituent une preuve concrète de conformité. L’absence de toute mesure de formation est un facteur aggravant lors d’un contrôle post-incident.
Pour un panorama complet de vos obligations de conformité et de la manière dont nos rapports y répondent, consultez notre page Conformité.
Des scénarios de simulation adaptés aux services
Les simulations de phishing génériques ne reflètent pas les attaques qui ciblent votre secteur. Les attaquants utilisent des prétextes métier spécifiques aux services et à l’administration. Vos simulations doivent faire de même. Voici les scénarios que nous déployons pour le secteur :
Fausse demande client urgente de données personnelles
Un email imitant un client donneur d’ordres demande en urgence l’envoi d’un fichier contenant les données personnelles d’une liste de salariés (intérimaires, sous-traitants, candidats). Le motif invoqué est crédible : audit social, rapprochement de fichiers, contrôle URSSAF. Ce scénario teste la capacité des gestionnaires de comptes à appliquer les procédures de validation des demandes avant l’envoi de données sensibles.
Faux portails RH et outils de gestion
Un email prétendument envoyé par l’éditeur de votre logiciel RH (Silae, PayFit, Lucca, ADP) signale une mise à jour de sécurité ou une expiration de mot de passe. Le lien mène vers une page de connexion contrefaite qui utilise le typosquatting (payflt.com au lieu de payfit.com). Ce scénario mesure le réflexe de vérification de l’URL et la détection des noms de domaine frauduleux.
Faux onboarding d’intérimaire
Un email imitant le processus d’inscription d’un nouvel intérimaire contient un lien vers un « portail de dépôt de documents » (pièce d’identité, RIB, attestation de sécurité sociale). La page collecte les identifiants de l’agent avant de demander les documents. Ce scénario cible les équipes des agences d’intérim qui traitent des dizaines d’inscriptions par semaine et dont le réflexe est de faciliter le processus.
Fausse notification de modification bancaire
Un email imitant un intérimaire ou un salarié externe demande la modification de ses coordonnées bancaires pour le prochain virement de salaire. Le message est rédigé simplement et mentionne un « changement de banque ». Ce scénario teste les procédures de vérification des changements de RIB, une faille que les attaquants exploitent systématiquement dans les entreprises qui gèrent la paie pour des tiers.
Fausse candidature avec pièce jointe piégée
Un email de candidature spontanée contient un CV au format Word ou PDF. Le fichier est nommé de manière crédible et l’email est bien rédigé. Ce scénario cible les recruteurs et les assistants RH dont le réflexe professionnel est d’ouvrir les pièces jointes de candidatures. Il mesure la vigilance face aux documents reçus de sources inconnues.
Chaque simulation ratée déclenche une micro-formation de 3 à 5 minutes sur les signaux d’alerte du scénario. Pas de vidéo de 45 minutes, pas de quiz générique : un retour contextuel et immédiat sur l’erreur commise.
Protéger votre entreprise de services
La protection contre le phishing dans une entreprise de services suit quatre étapes progressives.
Étape 1 : Auditer votre sécurité email
Avant de former les collaborateurs, vérifiez que votre domaine email n’est pas vulnérable à l’usurpation d’identité. Un domaine sans DMARC en mode « reject », sans DKIM correctement configuré ou avec un SPF trop permissif permet à n’importe qui d’envoyer des emails en votre nom — y compris des emails contenant prétendument les fiches de paie de vos intérimaires. Nos données montrent que 36 % des entreprises de services analysées ont des configurations insuffisantes.
Testez gratuitement la sécurité email de votre domaine en 30 secondes. Le rapport détaille votre configuration SPF, DKIM, DMARC et MTA-STS, avec des recommandations de correction prioritaires.
Étape 2 : Lancer une simulation de référence
La première campagne de simulation établit votre taux de clic de référence (baseline). Nous utilisons des scénarios adaptés au secteur des services pour mesurer la vulnérabilité réelle de vos équipes : fausses demandes clients, faux portails RH, faux emails de gestion de paie. Selon nos données agrégées, le taux de clic initial dans les PME de services se situe entre 20 % et 35 % — des chiffres qui baissent significativement après trois mois de simulation et formation continues.
Étape 3 : Former par micro-learning contextuel
Chaque collaborateur qui échoue à une simulation reçoit immédiatement une micro-formation de 3 à 5 minutes sur les signaux d’alerte du scénario en question. Ce format court et contextuel est plus efficace que les sessions de formation annuelles de deux heures. Les gestionnaires de comptes reçoivent des scénarios de spear phishing imitant leurs clients. Les équipes administratives reçoivent des scénarios de BEC ciblant la comptabilité. Les recruteurs reçoivent des candidatures piégées. La formation est adaptée au poste.
Étape 4 : Documenter la conformité RGPD
Chaque campagne produit automatiquement les métriques nécessaires : taux de participation, taux de signalement, évolution du taux de clic, couverture des équipes formées. Ces rapports constituent des preuves tangibles de vos mesures organisationnelles au sens de l’article 32 du RGPD. Vos clients donneurs d’ordres les intègrent à leurs propres dossiers de conformité, et vous les présentez lors des audits fournisseurs ou des contrôles CNIL.
Votre domaine email est-il protégé contre l’usurpation d’identité ? 36 % des entreprises de services que nous avons analysées présentent des failles. Testez le vôtre gratuitement — le diagnostic prend 30 secondes et le rapport est immédiat.
Questions fréquentes
Pourquoi les entreprises de services sont-elles ciblées par le phishing ?
Les entreprises de services traitent les données personnelles de leurs clients et des salariés de leurs clients : fiches de paie, CV, coordonnées bancaires, contrats de travail. Une compromission chez un prestataire de services donne aux attaquants un accès indirect aux données de dizaines d'entreprises clientes. Le rapport coût d'attaque / volume de données récupérées est très favorable pour les cybercriminels.
Le RGPD impose-t-il des obligations spécifiques aux sous-traitants de données ?
Oui. L'article 28 du RGPD impose aux sous-traitants (centres d'appels, cabinets de recrutement, agences d'intérim) de garantir la sécurité des données traitées pour le compte de leurs clients. Cela inclut des mesures techniques et organisationnelles appropriées, dont la sensibilisation du personnel. En cas de violation, le sous-traitant doit notifier le responsable de traitement dans les meilleurs délais.
Quels sont les scénarios de phishing les plus courants dans les services ?
Les scénarios les plus fréquents sont les fausses demandes clients urgentes réclamant l'envoi de données personnelles, les faux portails RH imitant les outils de gestion du personnel, les fausses candidatures contenant des pièces jointes piégées, et les fraudes au virement ciblant la comptabilité. Ces attaques exploitent les flux de communication habituels du secteur.
Comment sensibiliser des collaborateurs en centre d'appels sans perturber la production ?
Les simulations de phishing arrivent dans les boîtes mail comme des messages normaux, sans interrompre l'activité. Quand un collaborateur clique sur un lien piégé, il reçoit un micro-module de formation de 3 à 5 minutes sur son poste. Les campagnes peuvent être programmées en dehors des pics d'activité pour limiter l'impact sur les plannings.
Une agence d'intérim de 30 personnes est-elle vraiment concernée par ces risques ?
Oui, et de manière disproportionnée. Une agence d'intérim de 30 collaborateurs peut gérer les données de plusieurs milliers d'intérimaires : identité, coordonnées bancaires, numéros de sécurité sociale, attestations médicales. Le volume de données sensibles traitées est sans rapport avec la taille de l'entreprise, ce qui en fait une cible à forte valeur pour les attaquants.
Comment prouver sa conformité RGPD en matière de sensibilisation ?
Chaque campagne de simulation produit des rapports documentant le taux de participation, le taux de signalement, l'évolution du taux de clic et la couverture des équipes formées. Ces documents constituent des preuves tangibles de vos mesures organisationnelles de sécurité, exploitables lors d'un audit CNIL ou d'une demande de votre client donneur d'ordres.