DRH et cybersécurité en entreprise : 10 points clés à retenir

cybersecurite en entreprise rh

La Direction des Ressources Humaines (DRH) occupe une place centrale au sein de toute organisation, ce qui lui confère un rôle moteur dans de nombreux aspects de la vie de l’entreprise. Et plus encore, depuis quelques années, avec la digitalisation des outils et avec la complexification des process de travail, due notamment à la généralisation du télétravail. La cybersécurité rentre logiquement dans le champs d’action de la DRH : afin de prévenir d’éventuelles cyberattaques préjudiciables à l’entreprise, elle doit sensibiliser les collaborateurs aux bonnes pratiques informatiques et instaurer un dialogue nourri avec plusieurs interlocuteurs incontournables, dont la DSI, le DPO et le RSSI. Voici une fiche pratique destinée à tout(e) RH souhaitant gagner en efficacité.

[Nous vous proposons de télécharger à la fin de cet article le mémo du dernier webinaire « Cybersécurité : les essentiels pour un RH », organisé conjointement par l’ANDRH et Digitemis]

1. Entreprise : un verrou nommé cybersécurité
2. Pourquoi il faut apporter une attention nécessaire à la cybersécurité
3. Conséquences de cyberattaques
4. Déroulement d’une cyberattaque de type rançongiciel
5. Concrètement, comment réduire les risques de cyberattaque ?
6. Les 3 interlocuteurs cybersécurité d’une DRH
7. La DRH, maillon essentiel de la cybersécurité
8. Les moments clés pour une DRH dans le domaine de la cybersécurité
9. La DRH est naturellement la garante RGPD du traitement adéquat des données personnelles
10. La webographie de la DRH cyber-entraînée

1. Entreprise : un verrou nommé cybersécurité

Le terme Cybersécurité définit l’ensemble des moyens utilisés pour assurer la sécurité des systèmes et des données informatiques d’une entreprise. Du fait de la recrudescence des attaques à l’encontre des TPE, PME, ETI et des grands groupes, la cybersécurité constitue un verrou essentiel de l’entreprise. Elle concerne tous les membres de l’organisation, de l’entreprise et au premier chef la DRH, qui doit être particulièrement attentive aux risques cyber et sensibiliser les salariés de l’entreprise aux bons gestes et aux pratiques sécures.

2. DRH : pourquoi il faut apporter une attention nécessaire à la cybersécurité

Pour se convaincre de la nécessité de mener une stratégie de cybersécurité efficace en entreprise, voici quelques chiffres explicites publiés par l’ANSSI :

– les attaques par rançongiciel (ou ransomware en anglais) ont été multipliées par 4 en 2021. L’objectif des pirates est de verrouiller un système et de contraindre une entreprise à payer une rançon. Le coût financier et opérationnel pour une entreprise peut s’avérer très élevé (perte de millions d’euros et de journées entières de fonctionnement).

– la cyberattaque est le 1er risque auquel les entreprises sont confrontées, devant le risque incendie ou financier

– environ 12 milliards de comptes sont compromis ou ont été rendus publics (adresse email ou numéro de téléphone)

– dans plus de 9 cas sur 10, l’email est le 1er vecteur d’attaque, qui se fait via les collaborateurs d’une entreprise (piratage de mots de passe, phishing ou corruption de comptes). 

3. Conséquences de cyberattaques

Les cyberattaques peuvent, par exemple, entraîner l’usurpation d’identité virtuelle ou réelle de dirigeant(s) d’entreprise(s). Des opérations financières directes, des ordres de virement sur de nouveaux comptes ou des comptes existants sont alors réalisés aux dépens de l’entreprise. Le problème, c’est qu’il peut s’écouler un certain temps avant la découverte du délit.

4. Déroulement d’une cyberattaque de type rançongiciel

Comment procède un pirate lors d’une cyberattaque ?

cybersécurité et ressources humaines

1ère phase

Le pirate (ou hacker) cherche à pénétrer un réseau comme s’il était un employé soit par hameçonnage soit par attaque automatique et ciblée dans le but d’usurper l’identité d’un administrateur du réseau.

cyberattaque cartographie

2ème phase

Le pirate cartographie le système. Il acquiert une connaissance très fine du parc informatique et de la structuration des serveurs de l’entreprise. Son but est de préparer sa prise de contrôle.

prise de contrôle par le pirate

3ème phase

Le pirate prend le contrôle du système : les données sont chiffrées et deviennent inaccessibles, copiées et éventuellement extraites. Les sauvegardes sont touchées.

rançongiciel

4ème phase

Le pirate va demander une rançon afin que vous puissiez, en échange, obtenir une clé pour déverrouiller l’accès au système.

5. Concrètement, comment réduire les risques de cyberattaque ?

La DRH dispose de plusieurs moyens d’action pour réduire le risque cyber :

a) par la formation. Il s’agit de cibler des équipes ou des services qui ont besoin d’être sensibilisées

b) en s’assurant de la compréhension des dispositifs par les collaborateurs, de leurs droits utilisateurs et de leur accès – ou non – aux différents dossiers présents sur le serveur

La DRH doit s’assurer auprès du pôle informatique qu’il existe des sauvegardes des données personnelles (dont le nom, le prénom, le numéro de sécurité sociale…).

6. Les 3 interlocuteurs cybersécurité d’une DRH

les interlocuteurs du rh : dsi, dpo et rssi

a) le DSI : c’est l’expert informatique, mais pas forcément l’expert cyber. Il s’assure que l’outil informatique répond aux enjeux de son entreprise et met en place des mesures de sécurité.

b) le Responsable de la Sécurité des Systèmes d’Information (RSSI) est en charge des mesures de sécurité dans l’entreprise et a pour objectif d’intégrer la cybersécurité au sein des projets.

c) le délégué à la protection des données personnelles (DPO) est une fonction instituée par le RGPD. Il est le garant de la conformité des traitements de données personnelles. Ses missions sont de documenter l’ensemble des aspects de la gestion de données personnelles et de chercher la conformité à la réglementation RGPD.

Ces 3 fonctions sont complémentaires au sein de l’entreprise et constituent des interlocuteurs privilégiés en matière de données RH

Question : comment procéder si une entreprise n’a pas les ressources pour recruter ces 3 postes ?

L’essentiel est de se faire accompagner par un professionnel externe – ayant une excellente connaissance de la sécurité et des outils informatiques – capable d’effectuer un audit de sécurité. Le but est d’obtenir un état des lieux complet et, en priorité, de combler les plus grosses failles.

7. La DRH, maillon essentiel de la cybersécurité

La DRH travaille en premier lieu sur l’humain. Et l’humain à travers le collaborateur est justement l’un des aspects les plus fragiles d’un système. La mission de la DRH est de sensibiliser aux risques, de pousser à l’adoption des bons gestes et des bonnes pratiques, comme par exemple :

a) verrouiller son ordinateur et son téléphone professionnels

b) avoir des conversations discrètes pour ne pas laisser fuiter des informations

c) utiliser des filtres d’écran d’ordinateur

La tendance actuelle est à la porosité entre usage personnel et professionnel des terminaux numériques, tendance amplifiée par le télétravail :

accès aux serveurs d’entreprise depuis des appareils personnels, ce qui augmente les risques cyber

utilisation de mots de passe communs pour une messagerie personnelle et une autre professionnelle

téléchargement de fichiers dangereux non contrôlés par la DSI ou dans le cadre d’un accès administrateur

partage d’écran zoom, teams/réseaux : penser à bien fermer les fenêtres de l’ordinateur ou de ne pas diffuser involontairement des mots de passe sur des photos de posts (réseaux sociaux)

8. Les 2 moments clés pour une DRH dans le domaine de la cybersécurité

1) Lors de l’arrivée d’un nouveau collaborateur dans l’entreprise (onboarding) :

– rappeler l’essentiel sur l’hygiène numérique

– s’assurer de la lecture et de la signature de la charte informatique, qui n’est pas une banale formalité administrative

– connaître le type d’accès et les données nécessaires à sa mission

renseigner un listing avec le manager/DSI

– mettre à contribution l’employé pour tester les failles

2) À l’occasion du départ d’un collaborateur (offboarding) :

– dès l’annonce de ce départ, faire preuve de vigilance au sujet des téléchargements de données personnelles. La DSI peut checker les anomalies en matière de téléchargement du salarié partant

– s’assurer de l’effacement des terminaux

– demander confirmation à la DSI de la suppression des comptes

9. La DRH est naturellement la garante RGPD du traitement adéquat des données personnelles

Conformité référentiel RGPD

Le RGPD est une avancée positive dans la souveraineté et dans les droits des personnes à maîtriser leurs données : 

– droit de consultation, de rectification, de suppression et durée de conservation

– principe de minimisation des données : les entreprises ne possèdent pas plus d’informations que celles dont elles ont besoin

– s’assurer de la traçabilité des données : savoir qui a accès à quelles données et dans quel but ?

– vérifier les règles de gestion des outils dans un logiciel de recrutement (comme par exemple l’effacement des données : la CNIL recommande de les conserver durant 2 ans)

Les données personnelles sont le cœur du travail des RH en matière de performance, d’implication, de formation…. Il faut en faire une utilisation maîtrisée et consciente.

10. La webographie de la DRH cyber-entraînée

– Le site web Haveibeenpwend pour vérifier si votre compte a été corrompu (adresse email/numéro de téléphone)

– Le Centre canadien pour la cybersécurité détaille le déroulement d’une attaque rançongiciel

– La CNIL rappelle l’importance de posséder une charte informatique

– Le site web Cybermalveillance.gouv assiste et prévient les risques numériques

– Guide La cybersécurité pour les TPE/PME en 12 questions en téléchargement sur le site de l’ANSSI 

Je télécharge la fiche pratique Cybersécurité & RH

Je partage

Derniers articles

Mise en vente du fichier client Camaïeu : le rappel de la CNIL

Suite à l’annonce par Camaïeu de la vente aux enchères de ses derniers actifs, comprenant son fichier client, la CNIL a rapidement réagi et publié un rappel des règles en cas de vente d’un tel fichier. Anne-Lise Boulet, notre juriste consultante en protection des données analyse les faits.

Lire l'article
miniature schema de certification

Schéma de certification : ce qu’il faut retenir de l’interview de Sébastien Ziegler (Europrivacy) lors du Printemps des DPO

Dans le cadre des matinales du Printemps des DPO, Digitemis a participé le 8 décembre dernier à l’interview de Sébastien Ziegler, président d’Europrivacy. Durant son intervention, celui-ci a abordé le sujet de la certification des traitements de données personnelles. Notre experte juriste Alice Picard revient dans cet article sur le schéma de certification.

Lire l'article