IA et recrutement : repérer un faux candidat espion

Intelligence artificielle dans la cybersécurité••By 3L3C

L’IA peut détecter un faux candidat avant l’embauche. Red flags, anti-deepfake et plan d’action RH+RSSI pour limiter les menaces internes.

IAcybersécuritérecrutementdeepfakemenace internefraude à l'identité
Share:

Featured image for IA et recrutement : repérer un faux candidat espion

IA et recrutement : repérer un faux candidat espion

La plupart des entreprises pensent que la menace interne commence après l’onboarding. Mauvais pari. En 2024, un éditeur cybersécurité a découvert qu’un “nouvel embauché” manipulait des fichiers suspects et tentait d’exécuter des logiciels non autorisés… avant que l’enquête ne révèle un opérateur nord-coréen recruté à distance, passé entre les mailles de plusieurs entretiens vidéo et d’un contrôle préalable.

Ce scénario n’a rien d’un film d’espionnage. C’est une réalité opérationnelle qui touche déjà des centaines d’organisations, y compris de très grands groupes. Et en 12/2025, avec la généralisation du télétravail, des freelances et des processus RH largement numérisés, la porte d’entrée “recrutement” est devenue un vecteur d’attaque à part entière.

Dans cette série Intelligence artificielle dans la cybersécurité, j’insiste souvent sur un point : l’IA ne sert pas seulement à détecter des malwares, elle sert aussi à détecter des humains frauduleux. Le recrutement est désormais un terrain de jeu pour la fraude à l’identité, les deepfakes et l’infiltration. La bonne nouvelle ? Les mêmes techniques d’IA peuvent aider à repérer les incohérences, corréler des signaux faibles et réduire drastiquement le risque.

Pourquoi le recrutement est devenu une surface d’attaque

Le constat est simple : si un attaquant obtient un contrat, un badge ou un laptop, il obtient souvent un accès. Même avec des droits limités, un profil IT, support, DevOps ou data a rapidement des opportunités : dépôts de code, environnements de test, outils de téléadministration, tickets d’incident, documentation interne.

Ce basculement est accéléré par trois tendances très “2025” :

  • Recrutement Ă  distance : moins d’indices physiques, plus d’intermĂ©diaires, et une confiance excessive dans la visio.
  • Pression de time-to-hire : les Ă©quipes veulent “staffer” vite, surtout sur des profils pĂ©nuriques.
  • Industrialisation des identitĂ©s synthĂ©tiques : comptes sociaux rĂ©alistes, historique GitHub “cosmĂ©tique”, rĂ©fĂ©rences fabriquĂ©es, voix modifiĂ©es, face swapping.

Phrase à retenir : le processus de recrutement est un contrôle d’accès. Traitez-le comme tel.

Le mode opératoire : faux profils, vrais accès

Les campagnes attribuées à des travailleurs IT frauduleux (notamment liés à la Corée du Nord) reposent sur une mécanique efficace : se faire embaucher comme ressource distante, puis monétiser l’emploi (salaire), et surtout exploiter l’accès (données, rançongiciel, espionnage industriel).

Une chaîne de fraude “complète”, pas un candidat isolé

Ce qui surprend souvent, c’est l’existence d’un écosystème : des facilitateurs à l’étranger aident à créer des comptes, obtenir des numéros, ouvrir/“prêter” des comptes bancaires, et valider l’identité auprès de services de vérification. Ensuite, le matériel de l’entreprise peut être réceptionné localement et opéré depuis une “laptop farm”, pendant que l’attaquant se connecte via VPN, proxys, VPS, voire outils de RMM.

L’IA côté attaquants : deepfake, voix, cohérence narrative

Le saut qualitatif vient de l’IA générative :

  • VidĂ©o : face swapping plus discret, filtres “camĂ©ra” convaincants, gestion des angles.
  • Audio : voix modifiĂ©e, accent neutralisĂ©, rythme de parole calibrĂ©.
  • Documents : CV et lettres parfaitement formatĂ©s, sans fautes, avec jargon plausible.

Résultat : un candidat peut réussir plusieurs entretiens vidéo sans que l’équipe ne “sente” l’arnaque, surtout si elle n’a pas de protocole de vérification.

Les signaux d’alerte RH + sécurité (et ceux qu’on rate)

La détection marche quand on accepte une idée simple : un faux candidat produit des incohérences. Pas forcément une preuve unique, plutôt une accumulation de signaux faibles.

Pendant le recrutement : les “détails” qui comptent

Voici les red flags les plus utiles, parce qu’ils sont actionnables et vérifiables :

  1. Empreinte numérique artificielle

    • comptes crĂ©Ă©s rĂ©cemment (rĂ©seaux sociaux, plateformes dev)
    • activitĂ© GitHub gĂ©nĂ©rique, commits “dĂ©coratifs”, projets clonĂ©s
    • incohĂ©rences entre senioritĂ© revendiquĂ©e et profondeur technique observable

  2. Identité et joignabilité fragiles

    • numĂ©ro de tĂ©lĂ©phone non unique, virtuel, ou changeant
    • adresses postales floues, justificatifs “trop propres”
    • rĂ©fĂ©rences difficiles Ă  joindre ou qui refusent visio/appel direct

  3. Visio “contrôlée”

    • camĂ©ra qui “ne marche jamais”
    • refus de dĂ©sactiver les filtres d’arrière-plan
    • micro-coupures rĂ©pĂ©tĂ©es au moment de questions prĂ©cises
    • dĂ©calage labial/son, expressions faciales rigides

  4. Culture locale jouée

    • rĂ©ponses vagues sur la ville, les transports, les jours fĂ©riĂ©s
    • mĂ©connaissance d’élĂ©ments basiques (ex. pratiques administratives, horaires, repères culturels)

Mon opinion : le recrutement doit cesser de confondre politesse et confiance. Un candidat légitime peut être stressé ou réservé. Un candidat frauduleux, lui, cherche à éviter tout contrôle reproductible.

Après l’embauche : les comportements techniques typiques

Côté SOC/IT, certains signaux sont très corrélés aux infiltrations :

  • installation rapide d’outils RMM ou tentatives d’outils non autorisĂ©s
  • connexions Ă  des horaires atypiques, changements brusques de rythme
  • authentifications depuis des IP/ASN incohĂ©rents avec la localisation dĂ©clarĂ©e
  • transferts de fichiers anormalement volumineux, accès “curieux” Ă  des dĂ©pĂ´ts ou coffres

Ici, l’erreur fréquente est de traiter chaque alerte isolément. Ce qui compte, c’est le contexte et la trajectoire : un nouveau collaborateur qui cumule “RMM + horaires + exfil potentielle”, ce n’est pas une maladresse.

Comment l’IA aide vraiment : du “signal faible” à la décision

L’IA en cybersécurité est utile quand elle fait gagner du temps et quand elle réduit les angles morts. Sur le recrutement, elle peut apporter trois capacités très concrètes.

1) Détection de fraude à l’identité et d’incohérences documentaires

Réponse directe : l’IA excelle à comparer et à corréler. Elle peut rapprocher CV, profils publics, historiques techniques, adresses e-mail, numéros, et détecter des motifs : réutilisation d’éléments, similarités de style, clusters d’identités.

Exemples d’usages pragmatiques :

  • scoring de cohĂ©rence (anciennetĂ© revendiquĂ©e vs traces publiques)
  • dĂ©tection de duplications (mĂŞmes descriptions de projets sur plusieurs candidats)
  • analyse de risque sur la chaĂ®ne de vĂ©rification (rĂ©fĂ©rences, sociĂ©tĂ©s, domaines e-mail)

2) Défense “anti-deepfake” lors des entretiens

Réponse directe : on ne gagne pas contre les deepfakes avec une seule astuce, mais avec un protocole + des contrôles. L’IA peut assister :

  • analyse de liveness (micro-mouvements, artefacts visuels)
  • dĂ©tection d’anomalies audio (compression, synthèse vocale)
  • alertes quand la vidĂ©o semble recapturĂ©e ou filtrĂ©e

Mais le plus efficace reste hybride : IA + gestes métiers.

Un protocole d’entretien robuste (et simple) :

  • 2 entretiens vidĂ©o Ă  des jours diffĂ©rents
  • demande ponctuelle de couper les filtres et d’ajuster l’éclairage
  • mini-exercice en direct (partage d’écran, explication d’un diff, debug d’un log)

3) Détection de menace interne après onboarding (UEBA)

Réponse directe : l’IA est pertinente quand elle modélise le “normal” d’un poste, puis détecte les écarts. Les solutions de type UEBA (User and Entity Behavior Analytics) repèrent :

  • dĂ©rives d’accès (un dev qui explore des rĂ©pertoires finance)
  • exfiltration progressive (petits transferts rĂ©pĂ©tĂ©s)
  • automatisations suspectes (scripts, tokens, accès API)

L’important : relier ces signaux aux événements RH (date d’embauche, rôle, périmètre). Un nouveau salarié n’a pas le même “baseline” qu’un admin historique.

Un plan d’action en 30 jours (RH + RSSI)

Réponse directe : il faut un dispositif léger, répétable, auditable. Voici ce que je recommande quand on veut avancer vite sans transformer les RH en brigade anti-espions.

Semaine 1 : cadrer et fermer les angles morts

  • dĂ©finir un workflow “recrutement Ă  risque” pour les postes IT sensibles
  • imposer des entretiens vidĂ©o (sauf exception documentĂ©e)
  • formaliser les preuves acceptĂ©es (identitĂ©, adresse, rĂ©fĂ©rences)

Semaine 2 : standardiser les contrôles pendant l’entretien

  • check-list anti-fraude (camĂ©ra, filtres, questions de contexte local)
  • exercice technique en live pour les profils IT
  • escalade claire : Ă  partir de X signaux, passage en “revue sĂ©curité”

Semaine 3 : sécuriser l’onboarding technique

  • accès par paliers (principe du moindre privilège), surtout les 30 premiers jours
  • poste durci (MDM/EDR), liste blanche applicative si possible
  • interdiction d’installer RMM sans validation IT

Semaine 4 : mettre en place la surveillance comportementale proportionnée

  • règles SOC spĂ©cifiques “nouvel arrivant IT” (horaires, IP, accès dĂ©pĂ´ts)
  • revue hebdo des anomalies (RH + sĂ©curitĂ© + IT), cercle restreint
  • procĂ©dure de prĂ©servation de preuves et de gestion discrète en cas de suspicion

One-liner utile : un bon onboarding réduit le risque plus vite qu’un énième questionnaire.

Questions fréquentes (et réponses franches)

“Est-ce qu’on va pénaliser les bons candidats avec trop de contrôles ?”

Si vous le faites mal, oui. Si vous le faites bien, non. La clé, c’est la prévisibilité : annoncer dès le départ qu’il y aura 2 visios, une vérification d’identité et un test technique court. Les candidats sérieux préfèrent un processus clair à un processus flou.

“Un deepfake suffit-il à tromper tout le monde ?”

Un deepfake peut suffire à tromper un entretien isolé. Il trompe beaucoup moins bien un processus qui multiplie les points de contrôle (jours différents, exercices live, validation de références en appel direct) et qui corrèle les signaux.

“Quel est le minimum vital si on manque de budget ?”

  • 2 entretiens vidĂ©o sans filtres imposĂ©s
  • rĂ©fĂ©rences appelĂ©es en direct (pas seulement par e-mail)
  • accès par paliers + EDR sur le poste
  • alerte SOC sur installation RMM et transferts massifs

Ce que cette menace change pour la cybersécurité (et pourquoi l’IA est centrale)

Le vrai changement, c’est culturel : la sécurité ne commence plus au pare-feu, elle commence au recrutement. Tant qu’on considérera l’embauche comme un sujet uniquement RH, les attaquants auront un boulevard.

L’IA a un rôle propre, et je prends position : elle doit devenir la “colle” entre RH, IT et SOC. Non pas pour surveiller tout le monde en permanence, mais pour détecter plus tôt les identités douteuses et les trajectoires anormales, là où un humain seul n’a ni le temps ni la visibilité.

Si vous voulez réduire le risque dès ce trimestre, choisissez un périmètre simple : les postes IT à accès élevé. Formalisez un protocole anti-deepfake. Corrélez les signaux d’identité et de comportement. Et surtout, faites un exercice de simulation : “Que fait-on si on suspecte un faux employé ?”

La question qui reste, en 2026, ne sera pas “est-ce que ça peut nous arriver ?” mais “est-ce qu’on saura le voir avant le premier accès critique ?”