Facilitez la vie aux hackers avec linkedin

Écrit par Lotfi BENYELLES

"Trop fier d’avoir participé au déploiement du nouveau datacenter ! 3 mois de boulot intense avec l’équipe projet pour mettre en place l’infra réseau et virtualisation. Merci à @Sébastien L. et @Julie R. pour leur dispo et leur expertise. Un gros chantier qui s’achève bien !"
— Hugo M., Ingénieur Systèmes & Réseaux, publication LinkedIn, mars 2025

Ce post, enthousiaste et sincère, aurait pu rester dans l’anonymat d’un réseau professionnel en perpétuel défilement. Mais très vite, les collègues tagués le repartagent, commentent, like. D'autres membres du projet rebondissent :"Un vrai plaisir de bosser avec toi Hugo sur ce site sensible." "Une belle mise en œuvre, malgré la pression sur la redondance physique."
@Emilie D., Cheffe de projet infra.

Peu à peu, une structure sociale et technique se dessine : noms, rôles, technologies, site critique ou sensible, contraintes opérationnelles. En croisant les profils, un attaquant attentif peut déduire :

  • le client final, par recoupement géographique ou secteur,

  • les expertises en jeu en consultant les profils Linkedin,

  • l’architecture technique approximative (virtualisation, pare-feu, HCI),

  • le niveau d’autonomie ou de sous-traitance de l’intégrateur,

  • l’état d’avancement d’un projet d’infrastructure critique..

Ce type d’exposition ne relève pas d’une négligence isolée, ni d’un incident de sécurité au sens traditionnel. Il témoigne plutôt d’un angle mort structurel dans la gouvernance de l’information : celui des comportements numériques ordinaires, qui, agrégés, donnent aux attaquants une visibilité précieuse sur l’organisation interne.

Dans le contexte actuel, où les systèmes sont mieux protégés que les usages, ce sont les interactions humaines, les gestes de communication, les signaux faibles émis par les collaborateurs, qui deviennent les premières couches exploitables par un attaquant.

Dès lors, il ne s’agit plus uniquement de “protéger les systèmes”, mais bien de maîtriser la représentation de l’organisation dans les espaces publics numériques, à commencer par LinkedIn. Cette représentation, partielle, désynchronisée, parfois enthousiaste, constitue une surface d’attaque. Face à cela, il est possible d’agir sans lourdeur, par des moyens proportionnés et intégrés au fonctionnement quotidien. Quelques pistes concrètes :

1. Cartographie simplifiée des sujets sensibles

Créer une liste restreinte d’items à ne pas mentionner publiquement, coconstruite entre la DSI (ou le prestataire cybersécurité), un référent RH et un responsable opérationnel. Ce document de travail, synthétique, pourrait inclure :

  • les noms des systèmes critiques ou en migration,

  • les outils de sécurité utilisés,

  • les partenaires sous contrat pour des projets sensibles.

L’objectif est de rendre visible en interne ce qui ne doit pas l’être à l’extérieur, sans recourir à un formalisme lourd.

2. Mini-kit de communication responsable

Un document de deux pages maximum, diffusable au moment de l’onboarding ou lors de moments clés (nouvelle embauche, lancement de projet), peut aider à structurer les bons réflexes :

  • Ce que je peux dire (mon rôle, mes missions générales),

  • Ce que je dois éviter (détail technique, temporalité d’un projet, identités hiérarchiques non publiques),

  • Comment formuler des posts valorisants sans livrer d’informations exploitables.

3. Séquence de sensibilisation annuelle

Sans former à outrance, une séquence courte intégrée à un temps collectif (réunion d’équipe, webinaire, pause sécurité) peut suffire pour rappeler :

  • les conséquences concrètes de certaines publications (avec un ou deux exemples parlants),

  • les moyens de s'exprimer sans s'exposer,

  • la disponibilité d’une personne-ressource en cas de doute (interne ou externe).

Cette sensibilisation peut être animée par le prestataire cybersécurité ou un référent SSI, sans besoin de former un comité dédié.

4. Canal informel de relecture volontaire

Dans une petite structure, il peut être utile d’ouvrir un canal de validation amicale, non contraignant : un collègue de la com, ou référent peut relire un post avant publication, simplement pour éviter les maladresses. Ce fonctionnement souple permet de responsabiliser sans formaliser.

5. Lien avec les obligations de cybersécurité (y compris NIS 2 si applicable)

Même si cette problématique dépasse le cadre strict de NIS 2, elle peut y être rattachée intelligemment si l’entreprise est concernée. Dans ce cas, il s’agit d’intégrer cette exposition à la cartographie des risques numériques, au même titre que les prestataires, les systèmes ou les accès distants.

En résumé, il s’agit moins d’ajouter une couche de formalisme que d’ancrer une écologie de l’attention dans les gestes quotidiens de communication. La prudence sur LinkedIn devient alors un réflexe partagé, à faible coût, mais à haute valeur de prévention.

Lotfi BENYELLES
Précédent

Normes pleines, pratiques creuses ? (Gap analysis)
Suivant

Cartes parallèles