Récemment, une entreprise américaine a découvert qu’elle avait accidentellement embauché un hacker nord-coréen, identifié grâce à des protocoles de sécurité efficaces. Ce pirate a tenté de déployer des logiciels malveillants dès son premier jour de travail. Heureusement, il a été neutralisé en moins de 30 minutes. Cet événement a mis en lumière une technique de cyber-infiltration particulièrement sophistiquée, qui pourrait déjà être à l’œuvre en Europe.

Une menace dissimulée derrière des faux employés

En Europe, aucun grand scandale public n’a encore révélé de telles intrusions. Toutefois, cela n’implique pas l’absence d’attaques. La réalité est que de nombreuses entreprises préfèrent garder le silence sur les incidents de cybersécurité, tant qu’elles peuvent prouver que leurs données n’ont pas été compromises. Sous le RGPD, ou plus récemment NIS2, ces entreprises ne sont pas toujours dans l’obligation de divulguer ces incidents si aucun accès aux données n’a été détecté.
Or, certaines entreprises européennes pourraient déjà rémunérer des faux employés sans même le savoir, les flux financiers passant par d’autres pays ou sous forme de cryptomonnaie, transferts bancaires vers la Corée du Nord à la clé, sans même le savoir. Au-delà du préjudice financier, ces infiltrations pourraient permettre aux hackers d’accéder à des systèmes critiques, y installant des portes dérobées ou capturant des informations sensibles.

Or, plusieurs entreprises françaises sont déjà dans la ligne de mire des cybercriminels liés à des États. Airbus, l’un des fleurons de l’aéronautique en France, a été la cible de plusieurs cyberattaques en 2019, avec des pirates cherchant à voler des informations sensibles. Même si les auteurs n’ont pas été officiellement identifiés, ce type d’attaques rappelle celles orchestrées par des groupes affiliés à des régimes comme la Corée du Nord.

De même, en janvier 2019, Altran Technologies, une société de conseil en ingénierie, a été victime d’une cyberattaque majeure qui a paralysé ses systèmes en France et en Europe. Ce type d’incidents démontre la vulnérabilité des entreprises françaises à des attaques sophistiquées, souvent orchestrées par des groupes comme LAZARUS, un groupe de cyberespionnage lié à la Corée du Nord.

Des opérations ciblées sur les entreprises occidentales
L’attaque de cet employé nord-coréen s’inscrit dans une campagne de cyberespionnage plus large, connue sous le nom d’Opération Dream Job. Débutée il y a cinq ans, cette campagne visait initialement le secteur de la défense et de l’aérospatiale aux États-Unis, avant d’étendre ses tentacules jusqu’en Espagne. Des pirates affiliés à la Corée du Nord ont réussi à pénétrer une entreprise espagnole de ce secteur, avec pour objectif de déployer des rançongiciels, causant des perturbations financières majeures.

L’Opération Dream Job utilise des techniques de social engineering très avancées. Les hackers créent des profils crédibles de faux chasseurs de tête sur LinkedIn, ciblent des employés clés et leur proposent des opportunités professionnelles attractives. Après plusieurs échanges, ils demandent aux victimes d’ouvrir des documents PDF ou de télécharger des logiciels malveillants, leur permettant ainsi d’infiltrer les systèmes de l’entreprise.

Cependant, contrairement à l’attaque des faux employés, l’objectif principal de l’Opération Dream Job n’est pas un gain financier direct, mais bien l’espionnage, notamment par l’exfiltration de données sensibles et la prise de contrôle des systèmes.

L’Europe, nouvelle cible de choix
Les incidents de cybersécurité comme celui en Espagne ne sont pas isolés. Plus récemment, c’est une entreprise allemande qui a été visée par le groupe Kimsuky, une autre unité de hackers nord-coréens. Si cette attaque a été déjouée, elle montre que le champ d’action de ces groupes s’étend désormais aux infrastructures critiques, cherchant non seulement à obtenir des gains financiers, mais aussi à déstabiliser des États et des entreprises stratégiques.
En Europe, les gouvernements et les agences de sécurité commencent à tirer la sonnette d’alarme, mais beaucoup d’organisations restent sous-informées ou réticentes à admettre leur vulnérabilité. Le silence, s’il permet d’éviter un scandale à court terme, ne fait que renforcer la persistance de la menace.

Ne pas sous-estimer le risque pour les entreprises européennes
Si les secteurs de l’aérospatiale et de la défense restent des cibles privilégiées, les récentes attaques montrent que d’autres industries sont tout aussi vulnérables. Les infrastructures critiques, la finance, l’énergie, et même les entreprises technologiques sont dans la ligne de mire. Le fait que l’Europe soit jusqu’à présent épargnée par des incidents spectaculaires ne doit pas conduire à l’inaction.
Pour éviter de devenir les prochaines victimes, les entreprises européennes doivent revoir leurs protocoles de cybersécurité, renforcer leurs vérifications des employés et s’assurer que leurs équipes sont formées à reconnaître les signaux d’alarme, même les plus subtils. Un recrutement ne devrait jamais être pris à la légère, et l’illusion de la sécurité ne doit pas servir de prétexte à l’inaction.

Vers une cybersécurité proactive
Les entreprises européennes ont une responsabilité cruciale : celle de protéger non seulement leurs actifs, mais aussi leur écosystème et leurs partenaires. La collaboration avec les autorités et le partage d’informations sur les cybermenaces émergentes sont essentiels pour rester vigilants. L’Opération Dream Job, tout comme d’autres campagnes d’espionnage nord-coréennes, continue de poser un risque tangible pour les organisations à travers l’Europe.

La question n’est donc plus de savoir si les entreprises européennes sont visées, mais quand l’une d’entre elles sera la prochaine à dévoiler une infiltration. Pour l’éviter, le moment est venu de renforcer la cybersécurité et d’aborder de manière proactive ce nouveau type de menace.