IA et recrutement : détecter un faux candidat espion

63% des entreprises ont déjà subi au moins un incident lié à un insider (malveillance, négligence ou compromission) d’après plusieurs baromètres sectoriels récents. Et depuis 2024, une variante est devenue franchement inquiétante : le “candidat” est parfois un acteur hostile, entraîné, outillé… et embauché.

Le scénario n’a rien d’un film d’espionnage. Une entreprise recrute un profil IT en télétravail, le candidat passe les entretiens vidéo, fournit des pièces “propres”, puis, une fois le PC d’entreprise reçu, installe des outils de prise en main à distance, commence des transferts de fichiers, tente d’exécuter des logiciels non autorisés. Trop tard : l’accès est là, les droits aussi.

Dans cette série « Intelligence artificielle dans la cybersécurité », je défends une idée simple : l’IA est un accélérateur des attaques, mais aussi un excellent capteur de signaux faibles. Et le recrutement est devenu un périmètre de sécurité à part entière. Pas “en plus” du SOC : dans la surface d’attaque.

Pourquoi le recrutement est devenu une porte d’entrée cyber

Réponse directe : parce que l’identité “humain” donne accès à tout ce que les attaquants cherchent (données, outils, privilèges), et parce que le télétravail facilite l’infiltration.

Pendant longtemps, les menaces identitaires se résumaient aux mots de passe volés et aux comptes piratés. La réalité actuelle est plus large : un attaquant peut chercher à devenir un salarié. Une embauche réussie contourne beaucoup de contrôles : on crée un compte, on attribue des permissions, on donne un ordinateur, on ajoute dans des canaux internes, parfois même dans des dépôts de code.

Des campagnes attribuées à des filières de faux travailleurs IT nord-coréens ont été documentées sur plusieurs années. Les chiffres communiqués par des acteurs du secteur et des autorités américaines évoquent plus de 300 entreprises victimes sur une période 2020–2022, y compris de grands groupes. Et les chercheurs ont observé un déplacement d’intérêt vers l’Europe, France incluse.

La conséquence la plus sous-estimée : le recrutement devient une étape de la chaîne d’approvisionnement numérique. Un “salarié” malveillant peut agir comme un prestataire, un administrateur, un développeur, un support… avec une crédibilité interne.

Le facteur 2025 : l’IA rend l’usurpation plus scalable

Réponse directe : deepfakes, clonage vocal et profils synthétiques rendent la fraude plus convaincante et plus industrialisable.

En 2025, les attaques ne reposent plus uniquement sur des documents falsifiés. Elles combinent :

• Vidéo truquée (face swap, deepfake temps réel) pour passer des entretiens.
• Clonage de voix pour unifier l’identité entre appels et visio.
• Profils “propres” (réseaux sociaux, GitHub, historiques d’emploi) parfois volés, parfois synthétiques.
• Automatisation (scripts, IA génératives) pour produire CV, lettres, réponses techniques cohérentes.

Le résultat : le filtre “on le sentait bizarre” ne suffit plus. Il faut instrumenter le recrutement comme un contrôle de sécurité, avec des signaux observables et des mesures vérifiables.

Comment fonctionne l’arnaque du « faux travailleur IT » (vue côté défense)

Réponse directe : l’attaquant fabrique une identité locale crédible, s’appuie sur des facilitateurs sur place, puis opère à distance via VPN/RMM.

Le schéma le plus fréquent est étonnamment pragmatique :

1. Création/vol d’identité alignée avec le pays ciblé (nom, adresse, historique).
2. Preuves numériques : comptes e-mail, profils sociaux, présence sur des plateformes développeurs.
3. Facilitateurs locaux : ouverture de comptes, réception du matériel, validation “humaine” lors des vérifications.
4. “Laptop farm” : le PC de l’entreprise est allumé et connecté localement (dans le pays), pendant que l’opérateur réel travaille depuis l’étranger via VPN/proxy et outils RMM.

Ce qui rend la menace sérieuse, ce n’est pas seulement la fraude RH. C’est l’après : accès à des systèmes internes, à des dépôts de code, à des secrets (API keys), à des consoles cloud, à des tickets support. Une infiltration réussie peut mener à :

• vol de données sensibles,
• compromission de la chaîne CI/CD,
• persistance via comptes secondaires,
• extorsion (ransomware) si des privilèges sont obtenus.

Phrase à garder en tête : un faux employé, c’est un compte privilégié en devenir.

Les signaux d’alerte à repérer… et ceux que l’IA détecte mieux que nous

Réponse directe : combinez des contrôles “humains” (cohérence, culture locale, références) et des contrôles “machine” (anomalies, corrélations, détection de deepfakes).

Côté RH : red flags concrets (et testables)

Les signaux suivants ne prouvent rien seuls. Mais leur accumulation doit déclencher une vérification renforcée :

• Comptes récents (réseaux, GitHub) ou activité incohérente avec un niveau “senior”.
• CV trop lisse, peu vérifiable, sociétés introuvables, dates approximatives.
• Références difficiles à joindre ou relayées par des intermédiaires.
• Refus de visio ou caméra “en panne” de façon répétée.
• Filtres vidéo systématiques, arrière-plans artificiels, lumière/ombre “bizarre”.

Ajoutez un test simple que j’aime bien : des questions de contexte local (trajet, événements du quartier, petites habitudes culturelles, repères de la vie quotidienne). Pas pour “piéger”, mais pour vérifier la naturalité du récit.

Côté cybersécurité : les signaux post-embauche

Une fois l’onboarding lancé, certains comportements sont très révélateurs :

• installation immédiate d’outils RMM/prise en main,
• connexions à des heures atypiques dès le premier jour,
• transferts volumineux ou accès à des zones non nécessaires au rôle,
• authentifications provenant d’IP ou d’ASNs incohérents avec le pays déclaré,
• tentatives d’installer des logiciels non autorisés.

Où l’IA aide vraiment (et où elle peut échouer)

Réponse directe : l’IA excelle à corréler des signaux faibles à grande échelle, mais doit être encadrée (biais, faux positifs, conformité).

Cas d’usage IA très efficaces :

1. Détection de deepfakes sur flux vidéo/audio (artefacts visuels, incohérences labiales, signatures de synthèse). Utile, mais à considérer comme un indice, pas une preuve.
2. Analyse de cohérence de profil : corrélation entre expériences déclarées, traces publiques, maturité des dépôts, chronologie, styles d’écriture.
3. Scoring de risque d’identité : combinaison de signaux (numéro de téléphone, e-mail, empreinte d’appareil, géolocalisation réseau, vitesse de création de comptes).
4. UEBA (User & Entity Behavior Analytics) : détection d’anomalies comportementales après embauche (pattern d’accès, volumes, horaires, latéralisation).

Là où il faut être prudent :

• Biais : un modèle peut sur-alerter sur des profils atypiques mais légitimes.
• Conformité (RGPD) : minimisation, transparence, durée de conservation, base légale.
• Faux positifs : un contrôle IA mal réglé peut faire rater des talents… ou créer des tensions internes.

L’approche qui marche : IA pour trier et prioriser, humain pour décider.

Un “playbook” IA + process pour sécuriser vos embauches IT

Réponse directe : mettez en place un parcours en 3 temps : vérification renforcée avant embauche, onboarding sous contrôle, puis surveillance comportementale proportionnée.

1) Avant embauche : vérification d’identité orientée fraude

Objectif : rendre l’usurpation coûteuse.

• Entretiens vidéo multiples, espacés, avec consignes simples : pas de filtre, caméra stable, éclairage correct.
• Vérification des références en direct (appel) et pas uniquement par e-mail.
• Contrôle de cohérence OSINT (manuel + assisté par IA) : dates, entreprises, traces techniques.
• Épreuve technique “vivante” : pairing en temps réel, explications à l’oral du raisonnement, revue de code. Les deepfakes peuvent imiter un visage, pas une pensée structurée sur 45 minutes.

2) Onboarding : réduire l’impact si vous vous êtes trompé

Le principe : zéro confiance par défaut, surtout les 30 premiers jours.

• Compte avec droits minimaux, montée en privilèges progressive.
• Poste de travail durci : liste blanche applicative, blocage RMM non approuvé.
• MFA fort et conditions d’accès (device compliant, localisation, risque).
• Secrets gérés via coffre, rotation rapide, pas de clés statiques en clair.

3) Après embauche : détection d’insider threat pilotée par l’IA

• UEBA : baseline + alertes contextualisées (pas juste “anomalie”).
• DLP ciblé sur les dépôts sensibles et les exports massifs.
• Revue périodique des accès (IAM) et des permissions cloud.

Une règle simple : si la sécurité n’a aucune visibilité sur les 15 premiers jours d’un nouvel arrivant, vous jouez à pile ou face.

Questions fréquentes (et réponses utiles sur le terrain)

“On fait déjà un background check, ça suffit, non ?”

Non. Les filières s’adaptent : identités volées, facilitateurs, documents cohérents. Le background check reste utile, mais il doit être complété par des contrôles techniques et comportementaux.

“Est-ce qu’on doit revenir au présentiel pour être sûr ?”

Pas forcément. Le télétravail peut rester la norme, mais il faut augmenter le niveau de preuve (visio répétée, étapes synchrones, vérifications, onboarding à privilèges limités).

“L’IA ne va-t-elle pas créer une surveillance excessive ?”

Elle peut, si on la déploie sans garde-fous. La bonne pratique : proportionnalité, transparence interne, minimisation des données, et gouvernance RH + RSSI + juridique.

Ce que ça change pour votre stratégie « IA dans la cybersécurité »

Le message de fond est clair : l’identité est devenue le nouveau périmètre, et le recrutement est l’un des points les plus exploitables. Si vous investissez déjà dans l’IA pour la détection des menaces, étendez la logique à l’entrée du système : le processus RH.

Le meilleur résultat, ce n’est pas “attraper des espions”. C’est plus concret : éviter qu’un faux candidat obtienne un compte, un laptop, puis un chemin vers vos données. Une fois que l’accès initial est accordé, chaque minute compte.

Si vous deviez prendre une seule action avant la rentrée de janvier : mettez en place un parcours “embauche IT à risque” (contrôles renforcés + onboarding à privilèges minimaux + détection comportementale). Votre équipe RH y gagne en sérénité, votre équipe sécurité en visibilité, et votre direction en réduction de risque.

Et vous, dans votre organisation, qui “possède” réellement le risque du recrutement : RH, IT, sécurité… ou personne ?