On cherche à consulter un bulletin de paie ou poser un congé depuis chez soi, on tape « GTm Extranet La Poste » dans Google, et on tombe sur trois ou quatre liens qui se ressemblent. Lequel est le bon ? La question revient à chaque nouvelle vague de recrutement, et le risque ne se limite pas à perdre du temps : saisir ses identifiants RH sur un faux portail, c’est offrir son accès à un tiers.
L’adresse officielle de l’espace RH des postiers est maboxrh.laposte.fr, hébergée sur le domaine laposte.fr. Toute autre extension ou variante orthographique doit alerter.
A lire en complément : Ma Box RH La Poste Connexion sans bug : check-list de vérification 2026
Vérifier l’URL GTm Extranet avant de saisir ses identifiants
Sur un poste personnel ou un téléphone, le premier réflexe est de contrôler la barre d’adresse. Le domaine doit se terminer exactement par laposte.fr, sans caractère ajouté ni tiret supplémentaire. Les tentatives de typo-squatting jouent sur un détail : un « l » remplacé par un « 1 », un « .fr » transformé en « .com » ou un sous-domaine trompeur du type « laposte-gtm.fr ».
Les navigateurs récents bloquent ou signalent les domaines suspects, mais cette protection reste partielle. Avant de renseigner un identifiant RH et un mot de passe, on vérifie deux éléments concrets :
A lire en complément : 10 jours ouvrables : comment les calculer sans se tromper ?
- L’URL affiche le cadenas HTTPS et le domaine exact maboxrh.laposte.fr, sans redirection intermédiaire.
- La page de connexion propose un clavier virtuel pour la saisie du mot de passe (fonctionnalité propre au vrai portail GTm Extranet).
- Le logo du Groupe La Poste et le logo « GTA » apparaissent en haut de page, accompagnés d’un lien vers la page d’aide pointant vers maboxrh.laposte.fr/help.
Si l’un de ces repères manque, on ferme l’onglet sans rien saisir.
Accéder à MaBoxRH sans passer par un moteur de recherche
Le moyen le plus fiable de ne jamais se tromper de lien, c’est de ne pas chercher le lien. Les consignes internes recommandent aux managers de faire vérifier la première connexion à MaBoxRH avec le nouvel arrivant sur un poste sécurisé, précisément pour qu’il mémorise la bonne adresse dès le départ.
Depuis un poste connecté au réseau La Poste, le portail intranet métier (Safir ou la page d’applications RH) donne un accès direct à GTm Extranet. On n’a pas besoin de taper quoi que ce soit dans Google. Ce chemin élimine le risque de phishing par conception : le lien est géré par l’infrastructure interne.
Pour un accès depuis un appareil personnel, la méthode la plus sûre reste de créer un favori dans son navigateur lors de cette première connexion accompagnée. Une fois le marque-page enregistré, on ne retourne plus jamais sur un moteur de recherche pour retrouver GTm Extranet.
Que faire en cas de mot de passe oublié
La page officielle de réinitialisation se trouve à l’adresse maboxrh.laposte.fr/lost-password. On y renseigne son identifiant RH, et un email de procédure est envoyé. Si la question secrète ou l’adresse mail ne sont plus accessibles, le formulaire propose un parcours spécifique.
En cas de blocage persistant, le support technique se contacte à l’adresse [email protected]. Pour toute question liée aux informations personnelles affichées sur MaBoxRH, c’est le responsable hiérarchique ou le RH de proximité qui prend le relais, pas le support informatique.
Sensibilisation anti-phishing : ce que La Poste met déjà en place
Depuis 2023, La Poste s’appuie sur des campagnes internes de sensibilisation cybersécurité incluant un e-learning obligatoire. Un module spécifique porte sur la reconnaissance d’un vrai portail RH : captures d’écran de la page de connexion GTm Extranet, logos attendus, éléments d’URL à vérifier avant de saisir ses identifiants.
Le proxy réseau de La Poste bloque ou avertit l’utilisateur lorsqu’il clique sur des domaines proches imitant l’extranet GTm. Ce filtrage fait partie des politiques de sécurité renforcées sur les applicatifs RH.
Ces mesures protègent les postiers en poste, mais elles ne couvrent pas les accès depuis un réseau domestique ou un Wi-Fi public. C’est précisément dans ces situations que la vigilance individuelle reste le dernier rempart.
Rendre l’accès GTm Extranet anti-phishing par conception
La formation et la vigilance ont leurs limites. On peut former un agent dix fois, si le portail RH reste accessible par une simple recherche Google sur un navigateur personnel, le maillon faible subsiste. Plusieurs pistes techniques permettraient de réduire ce risque à la source.
Un système de SSO (authentification unique) lié à l’identité La Poste supprimerait la nécessité de retenir une URL distincte. L’agent se connecte une fois à son espace professionnel, et GTm Extranet s’ouvre sans saisie supplémentaire. Pas d’URL à taper, pas de lien à chercher.
Une application mobile dédiée éliminerait le passage par un navigateur. L’agent télécharge l’application officielle depuis un store vérifié, et l’accès à MaBoxRH ne dépend plus d’un lien cliquable ou d’un résultat de recherche. C’est le modèle adopté par la plupart des banques pour leurs espaces clients, et la logique s’applique directement aux portails RH.
Autres leviers envisageables :
- Un QR code distribué en interne (affiché dans les bureaux de poste ou imprimé sur les fiches d’accueil) qui pointe vers l’URL officielle avec un certificat vérifié.
- Des certificats visuels distinctifs sur la page de connexion (badge de sécurité propre à La Poste, numéro de certificat vérifiable), rendant toute copie immédiatement repérable.
- Une notification push en cas de connexion depuis un nouveau terminal, à la manière des alertes bancaires, pour que l’agent détecte un accès frauduleux en temps réel.
Les retours varient sur la faisabilité à court terme de ces mesures selon les branches du Groupe. Le déploiement d’une application dédiée implique des coûts de maintenance et de compatibilité avec l’ensemble du parc de terminaux des agents. L’approche la plus réaliste à court terme reste probablement la combinaison du SSO interne et du QR code physique pour couvrir à la fois les accès en poste et à domicile.
L’adresse à retenir reste maboxrh.laposte.fr. La créer en favori lors d’une première connexion encadrée, c’est la mesure la plus simple et la plus efficace pour ne plus jamais se poser la question. Tant que l’accès à GTm Extranet repose sur la capacité de chaque agent à retrouver le bon lien, le risque de phishing ne disparaîtra pas avec de la seule sensibilisation.
