Le recrutement à distance n’expose plus seulement les entreprises aux CV gonflés. Il ouvre une voie d’entrée dans le système d’information par la porte RH.
Le scénario est connu et documenté. Un fraudeur génère un CV crédible avec l’IA, fabrique un profil LinkedIn, utilise une identité volée. Il passe ensuite les entretiens avec un complice, un deepfake ou un « proxy worker ». Si le processus aboutit, l’entreprise n’a pas embauché un mauvais profil, elle a simplement ouvert son réseau à un inconnu.
Le cas le plus documenté vient des États-Unis. Le Département de la Justice a révélé que des travailleurs IT nord-coréens avaient obtenu des postes à distance dans plus de 100 entreprises américaines via de fausses identités, des facilitateurs locaux et des fermes d’ordinateurs portables. Résultat : risques cyber, violations de conformité, vol de propriété intellectuelle, etc.
Un processus fragmenté, une faille béante
Le problème structurel du recrutement tient à sa fragmentation. Le recruteur lit le CV. Le manager évalue l’entretien. Un prestataire vérifie les diplômes et le casier. L’IT crée les accès. Chaque étape contrôle un fragment, sans jamais garantir que c’est bien la même personne du début à la fin.
L’IA exploite précisément cette faille. Et voir un visage en visioconférence ne prouve ni l’identité réelle, ni ce qui se passe après l’embauche.
C’est ce que cible Nametag Recruit, lancé pour vérifier l’identité à chaque étape du processus : candidature, entretien, signature du contrat, remise des accès IT. Le produit s’intègre dans Workday et Greenhouse, sans stockage biométrique. D’autres acteurs couvrent des briques comparables dont Persona, HireRight, iProov.
Le marché structure sa réponse en trois couches :
- La vérification d’identité à distance d’abord : document officiel, selfie vivant, détection de vie, comparaison faciale, signaux de risque sur l’appareil et la session.
- La continuité ensuite : le même candidat doit rester vérifié à chaque étape clé.
- Le lien RH-IT enfin : MFA robuste, passkeys, contrôle du terminal, détection d’anomalies.
La fraude dans l’autre sens : la fausse offre d’emploi
La fraude fonctionne aussi à l’envers. Des acteurs malveillants publient, en effet, de fausses annonces, imitent des entreprises connues, contactent des candidats sur LinkedIn ou par mail, puis réclament CV détaillé, pièce d’identité, RIB, justificatif de domicile, voire un paiement direct.
Les chiffres de la FTC indiquent que les signalements de job scams ont presque triplé ces dernières années, et les pertes déclarées sont passées de 90 à 501 millions de dollars. Le FBI alerte d’ailleurs régulièrement sur ces fausses offres.
Pour l’entreprise usurpée, la marque employeur devient un appât. Pour les candidats, les données collectées servent à ouvrir des comptes frauduleux, à monter de fausses candidatures et à alimenter des campagnes de phishing. En France, France Travail et Cybermalveillance.gouv.fr rappellent les signaux d’alerte : une offre trop attractive, un contact non sollicité, une adresse mail suspecte, une demande d’argent ou de documents sensibles avant toute étape justifiée.
Ce qu’il faut verrouiller
La réponse n’est pas de biométriser tous les recrutements. L’approche sérieuse est proportionnée au risque. Un développeur, un administrateur cloud, un profil finance ou un poste avec accès aux données clients justifie des contrôles renforcés. Un poste sans accès sensible, non.
Côté entreprise, les mesures prioritaires sont à peu près toujours les mêmes, à savoir publier les offres exclusivement sur la page carrière officielle, sécuriser les domaines mail, surveiller les annonces usurpées et en obtenir le retrait rapide. Communiquer clairement ce que l’entreprise ne demandera jamais, paiement, mot de passe, RIB ou pièce d’identité avant une étape justifiée, fait aussi partie de la réponse.
Côté recrutement, la vérification d’identité doit être liée au logiciel RH ou de gestion des candidatures, ainsi qu’au provisioning IT. Les données collectées restent minimales, accessibles aux seuls habilités et conservées pour une durée justifiée, comme le rappelle la CNIL.
