Aller au contenu
Démarrer
Open search

Recrutement de faux télétravailleurs nord-coréens : détection grâce au playbook pour CISO/RSSI

Un individu représentant une menace nord-coréenne a-t-il postulé à un poste au sein de votre organisation, voire même, a-t-il été embauché ?

Novembre 5, 2025

Ross McKerchar
Rafe Pilling
Sarah Kern
Angela Gunn
Jane Adams
Mindi McDowell
Ryan Westman

Écrit par Ross McKerchar, Rafe Pilling, Sarah Kern, Angela Gunn, Jane Adams, Mindi McDowell, Ryan Westman

teletravailleurs nord-coreens
Security Operations

Nous mettons à votre disposition un toolkit pour vous aider à détecter et à éviter ce type de risque.

L’arnaque des faux télétravailleurs nord-coréens est devenue une menace mondiale. Bien qu’elle ait initialement ciblé les entreprises technologiques américaines, ce programme s’est étendu à d’autres régions et secteurs, notamment la finance, la santé et le secteur public. Toute entreprise qui embauche des télétravailleurs court des risques ; même Sophos, entreprise technologique privilégiant le télétravail, a été ciblée par des agents nord-coréens parrainés par un État se faisant passer pour des informaticiens.

Évaluation du risque

Les acteurs malveillants ciblent des emplois bien rémunérés et entièrement à distance, cherchant ainsi principalement à obtenir un salaire permettant de financer les intérêts du gouvernement nord-coréen. Ils postulent généralement à des postes en software engineering, développement web, IA/ML, science des données et cybersécurité, bien qu’ils se soient également diversifiés dans d’autres domaines.

Les organisations infiltrées par ces acteurs malveillants courent de nombreux risques. L’emploi de télétravailleurs nord-coréens peut constituer une violation de certaines sanctions. De plus, ces derniers pourraient mener des activités malveillantes internes classiques telles que l’accès non autorisé et le vol de données sensibles. Les employés malveillants peuvent augmenter leurs revenus en utilisant la menace de divulgation de données pour extorquer l’organisation, notamment après leur licenciement.

La taille de l’organisation ne semble pas être un facteur déterminant dans ce stratagème. Sophos a constaté que des entreprises à la recherche de sous-traitants ou de travailleurs temporaires étaient ciblées, et ce jusqu’à celles figurant au classement Fortune 500. Dans les grandes entreprises, les employés sont souvent embauchés par le biais d’une agence externe, où la vérification des données du candidat peut être moins rigoureuse.

Comment Sophos peut vous aider ?

Nous avons développé une initiative interne qui adopte une approche transversale pour faire face à cette menace. Tout au long de ce processus, nous avons constaté qu’une multitude de conseils en matière de défense étaient mis à la disposition des organisations. Toutefois, sa compilation en un ensemble de contrôles cohérent et exploitable a nécessité des efforts non négligeables. Pour les défenseurs, savoir quoi faire est souvent simple. Le véritable défi réside dans la manière de procéder.

Quiconque a déjà mis en œuvre des systèmes de contrôle sait que ce qui paraît simple sur le papier peut rapidement se transformer en un défi complexe en matière de conception, surtout lorsqu’il s’agit de trouver des solutions évolutives, pratiques et durables. Nous avons décidé de publier un guide pratique pour aider d’autres organisations à faire face à cette menace. Lors de l’élaboration de ces supports, nous avons privilégié la spécificité à une large applicabilité. Les contrôles sont basés sur les bonnes pratiques, nos propres processus et les renseignements sur les menaces (Threat-Intelligence) provenant de nos experts en sécurité qui surveillent les tactiques, techniques et procédures (TTP) utilisées par les acteurs malveillants nord-coréens.

Le playbook comprend un toolkit contenant deux versions d’une matrice de contrôle (l’une statique et l’autre prête à l’emploi pour les chefs de projet), un guide de mise en œuvre et des slides pour la formation. Nous avons divisé la matrice de contrôle en huit catégories qui couvrent l’ensemble du processus, de l’embauche des employés jusqu’au suivi post-recrutement :

  • Contrôles RH et des processus
  • Entretien et contrôle
  • Identité et vérification
  • Services bancaires, paie et finance
  • Sécurité et surveillance
  • Tierce partie et personnel
  • Formation
  • Chasse aux menaces

La matrice répertorie les contrôles techniques et ceux visant les processus, car tenter d’éviter et d’expulser les travailleurs nord-coréens malveillants n’est pas simplement, ni même principalement, une question de technologie. La solution nécessite une collaboration entre les équipes internes (RH, IT, légale, finance, cybersécurité) et les prestataires externes. La version “prête à l’emploi pour les chefs de projet” comprend des feuilles de calcul supplémentaires permettant de générer des tableaux croisés dynamiques (pivot) reflétant l’état du contrôle et les responsabilités. Les feuilles de calcul sont pré-remplies de données pour illustrer les fonctionnalités.

Certaines de ces contrôles peuvent ne pas convenir à toutes les organisations, mais nous proposons ce toolkit à titre de ressource. Nous encourageons les organisations à adapter les recommandations à leurs environnements et à leurs modèles de menaces.

Accédez à ce toolkit dès maintenant.

Billet inspiré de Detecting fraudulent North Korean hires: A CISO playbook, sur le Blog Sophos.

À propos de l'auteur

Ross McKerchar

Ross McKerchar

Ross McKerchar is the CISO of Sophos. Ross has a BSc in Computer Science from Edinburgh University and joined Sophos in 2007. During his years at Sophos, Ross established and built Sophos’ cybersecurity program through periods of high company growth, including multiple acquisitions and an IPO on the LSE.

At Sophos, the CISO team runs all aspect of Sophos' own security including Security Architecture, Trust and Compliance, Product Security, Red Teaming and Security Operations. Sitting in the Sophos technology group alongside Sophos Labs and our customer-facing MDR team, we are part of Sophos X-Ops joint task force.

Out of work Ross has a passion for the outdoors and, when he’s not spending time with his young family, loves to travel around the world rock climbing, trail running or surfing.

Rafe Pilling

Rafe Pilling

Rafe Pilling is a Director of Threat Intelligence in the Sophos Counter Threat Unit (CTU). He leads global threat intelligence production within the CTU, where he oversees all-source analysis focused on advanced cybercriminal and state-sponsored threats. This threat intelligence directly informs and supports organizations worldwide in strengthening security operations, guiding incident response, and shaping strategic cyber-risk decisions.

Sarah Kern

Sarah Kern

Sarah Kern is a security researcher, specializing in North Korean and emerging threats, in the Sophos Counter Threat Unit (CTU). With deep expertise in state-sponsored cyber adversaries, Sarah plays a critical role in identifying, analyzing, and mitigating sophisticated threats originating from North Korea and other advanced persistent threat groups.

Angela Gunn

Angela Gunn

Angela Gunn is a senior threat researcher in Sophos X-Ops. As a journalist and columnist for two decades, her outlets included USA Today, PC Magazine, Computerworld, and Yahoo Internet Life. Since morphing into a full-time technologist, she has focused on incident response, privacy, threat modeling, GRC, OSINT, and security training at companies including Microsoft, HPE, BAE AI, and SilverSky.

Jane Adams

Jane Adams

Jane Adams is a Principal Threat Researcher at Sophos. Before joining Sophos, she worked in security research at Secureworks, following 20+ years as a journalist and PR in the fintech and cards sectors.

Mindi McDowell

Mindi McDowell

Mindi McDowell is a Senior Threat Researcher in Sophos X-Ops. She holds a master's degree in professional writing from Carnegie Mellon University and began her cybersecurity career at the CERT Coordination Center, based at Carnegie Mellon University's Software Engineering Institute. She later joined Secureworks, where she was a member of the Counter Threat Unit (CTU).

Ryan Westman

Ryan Westman

Ryan Westman is a Senior Manager of Threat Research at Sophos. With over a decade of experience in cybersecurity and national security, Ryan specializes in threat intelligence and operations. He has led high-performing teams across government, Big Four consulting, and the MDR space.
Ryan has provided expert commentary to leading media outlets and spoken at major national and international conferences, including DEFCON, RMISC, Sleuthcon, ILTACon, and Evanta CISO events. He holds multiple degrees and industry certifications (GCTI, GCFA, GSLC) and is passionate about protecting organizations from foreign and domestic cyber threats.

Lire des articles similaires

Sophos excelle dans les rapports G2 Winter 2026 : N°1 Overall des solutions de protection Endpoint, XDR, MDR et Firewall

Sophos Insights

featured

Sophos excelle dans les rapports G2 Winter 2026 : N°1 Overall des solutions de protection Endpoint, XDR, MDR et Firewall

décembre 15, 2025

Sophos obtient ses meilleurs résultats lors de l’évaluation MITRE ATT&CK Enterprise 2025 - image

Products & Services

featured

Sophos obtient ses meilleurs résultats lors de l’évaluation MITRE ATT&CK Enterprise 2025

décembre 12, 2025

sophos intelix

Products & Services

featured

Présentation de Sophos Intelix pour Microsoft Security Copilot

décembre 8, 2025