Cyberattaques : « Dans 95% des cas, le collaborateur est le maillon faible »
Réseaux sociaux, connexions publiques et fuites de données clients : la grande majorité des cyberattaques réussissent à cause du manque de vigilance d’un collaborateur.
« Vous êtes une cible prioritaire, n’en doutez pas un instant » : lors de la convention des Entreprises du Voyage Île-de-France (EDV IDF), organisée du 11 au 15 novembre aux Açores, Julien Métayer, un « hacker éthique », s’est montré alarmiste devant la centaine de participants. Le but de son intervention est clair : convaincre les dirigeants de TPE/PME de se protéger des cyberattaques et de leurs conséquences parfois catastrophiques.
Selon Julien Métayer, 50% des TPE/PME victimes de cyberattaque « ne s’en relèveront pas ». La menace, identifiée comme « risque principal en 2025 » par 36% des entreprises du tourisme, ne va faire qu’augmenter dans les années à venir. « Dans 95% des cyberattaques qui réussissent, c’est le collaborateur qui est le maillon faible », chiffre Julien Métayer. D’où l’intérêt de former aux comportements vertueux.
« Quelques secondes » pour obtenir tous les mots de passe stockés dans un ordinateur
Les pirates informatiques chassent par exemple l’ensemble des informations publiées sur les réseaux sociaux professionnels ou personnels d’un collaborateur. « Un directeur de l’IT qui détaille ses compétences sur son CV LinkedIn indique potentiellement aux hackers quelles technologies et quels logiciels il utilise, et donc lesquels attaquer », illustre Julien Métayer.
Autre exemple : en analysant les publications d’un collaborateur sur ses réseaux sociaux personnels, les pirates peuvent aussi déterminer les mots de passe probables utilisés par la personne. « Quelqu’un qui publie des photos de son chat ou de son anniversaire avec ses petits-enfants donne des informations clés sans s’en rendre compte : date de naissance, prénoms… ce sont des éléments qu’on utilise tous pour nos mots de passe », illustre Julien Métayer.
Plus baroque, mais tout aussi risqué : l’imprudence avec le matériel informatique lors de salons, d’éductours ou autres conventions. « Si le hacker arrive à accéder au port USB physique (c’est-à-dire insérer une clé dans l’ordinateur, NDLR), il ne lui faudra que quelques secondes pour obtenir tous les mots de passe » qui y sont stockés.
« Ne pas avoir de garantie sur ce genre d’attaques pour une agence de voyages, c’est suicidaire »
En fait, tous les comportements, qu’ils soient virtuels ou physiques, livrent potentiellement des informations à quiconque les chercherait. Les attaques sont parfois très élaborées. « Le collaborateur va recevoir un mail des RH, avec la proposition de grille salariale pour l’année 2026. La réception du mail semble être une erreur, et accéder à ce genre d’informations est forcément tentant pour un salarié. Dans le mail, le lien qui renvoie vers la grille salariale est quasiment le même que celui utilisé habituellement par le collaborateur. S’il est envoyé par exemple un vendredi en fin de journée, moment pendant lequel la vigilance diminue, le collaborateur a encore plus de chance de cliquer », raconte Julien Métayer.
En ouvrant le lien, le collaborateur ouvre les portes des systèmes informatiques de son entreprise. Et notamment l’accès éventuel aux précieuses données clients. Mais si chaque post créé un nouveau danger et si chaque collaborateur doit se méfier de chaque mail reçu, quelles solutions concrètes peuvent être mises en place pour une entreprise qui n’a pas les moyens de s’offrir une protection informatique dernier cri ?
« Il est indispensable de consacrer un budget annuel à la cybersécurité, comme une sorte de fil rouge », conseille Julien Métayer. « Ne pas avoir de garantie sur ce genre d’attaques pour une agence de voyages, c’est suicidaire », lance Boris Reibenberg, le président d’Xplorassur. « Nous avons un ou deux dossiers ouverts par semaine en moyenne pour une agence qui se fait attaquer ».
Jusqu’à 40 euros par contact revendu
« Vous êtes des cibles, et rien n’empêchera qui que ce soit de rentrer chez vous s’il en a envie. Vous possédez des données extrêmement sensibles : numéro de carte bancaire, pièce d’identité, parfois des éléments médicaux », insiste Boris Reibenberg. Des donnés qui, sur le darkweb, peuvent se reprendre jusqu’à 40 euros par contact, selon Julien Métayer.
« A titre d’exemple, nous avons deux dossiers en cours. Et 80 000 euros de préjudice, pour une agence, c’est énorme. Certaines ne s’en relèvent jamais », poursuit le dirigeant d’Xplorassur. « Se protéger n’empêchera pas l’intrusion et la cyberattaque, mais cela limitera les conséquences, notamment financières ».
Conversation WhatsApp, utilisation du Cloud ou tout simplement protection des données stockées en agence : la conférence a suscité l’émoi parmi les participants. De quoi, sans doute, augmenter la proportion des entreprises du tourisme identifiant les cyberattaques comme risque numéro 1 pour leur business en 2026. En 2024, la cybercriminalité a coûté plus de 100 milliards d’euros aux entreprises françaises, selon Julien Métayer.
