DRH et cybersécurité en entreprise : 10 points clés à retenir
La Direction des Ressources Humaines (DRH) occupe une place centrale au sein de toute organisation, ce qui lui confère un rôle moteur dans de nombreux aspects de la vie de l’entreprise. Et plus encore, depuis quelques années, avec la digitalisation des outils et avec la complexification des process de travail, due notamment à la généralisation du télétravail. La cybersécurité rentre logiquement dans le champs d’action de la DRH : afin de prévenir d’éventuelles cyberattaques préjudiciables à l’entreprise, elle doit sensibiliser les collaborateurs aux bonnes pratiques informatiques et instaurer un dialogue nourri avec plusieurs interlocuteurs incontournables, dont la DSI, le DPO et le RSSI. Voici une fiche pratique destinée à tout(e) RH souhaitant gagner en efficacité.
[Nous vous proposons de télécharger à la fin de cet article le mémo du dernier webinaire « Cybersécurité : les essentiels pour un RH », organisé conjointement par l’ANDRH et Digitemis]
1. Entreprise : un verrou nommé cybersécurité
Le terme Cybersécurité définit l’ensemble des moyens utilisés pour assurer la sécurité des systèmes et des données informatiques d’une entreprise. Du fait de la recrudescence des attaques à l’encontre des TPE, PME, ETI et des grands groupes, la cybersécurité constitue un verrou essentiel de l’entreprise. Elle concerne tous les membres de l’organisation, de l’entreprise et au premier chef la DRH, qui doit être particulièrement attentive aux risques cyber et sensibiliser les salariés de l’entreprise aux bons gestes et aux pratiques sécures.
2. DRH : pourquoi il faut apporter une attention nécessaire à la cybersécurité
Pour se convaincre de la nécessité de mener une stratégie de cybersécurité efficace en entreprise, voici quelques chiffres explicites publiés par l’ANSSI :
– les attaques par rançongiciel (ou ransomware en anglais) ont été multipliées par 4 en 2021. L’objectif des pirates est de verrouiller un système et de contraindre une entreprise à payer une rançon. Le coût financier et opérationnel pour une entreprise peut s’avérer très élevé (perte de millions d’euros et de journées entières de fonctionnement).
– la cyberattaque est le 1er risque auquel les entreprises sont confrontées, devant le risque incendie ou financier
– environ 12 milliards de comptes sont compromis ou ont été rendus publics (adresse email ou numéro de téléphone)
– dans plus de 9 cas sur 10, l’email est le 1er vecteur d’attaque, qui se fait via les collaborateurs d’une entreprise (piratage de mots de passe, phishing ou corruption de comptes).
3. Conséquences de cyberattaques
Les cyberattaques peuvent, par exemple, entraîner l’usurpation d’identité virtuelle ou réelle de dirigeant(s) d’entreprise(s). Des opérations financières directes, des ordres de virement sur de nouveaux comptes ou des comptes existants sont alors réalisés aux dépens de l’entreprise. Le problème, c’est qu’il peut s’écouler un certain temps avant la découverte du délit.
4. Déroulement d’une cyberattaque de type rançongiciel
Comment procède un pirate lors d’une cyberattaque ?
1ère phase
Le pirate (ou hacker) cherche à pénétrer un réseau comme s’il était un employé soit par hameçonnage soit par attaque automatique et ciblée dans le but d’usurper l’identité d’un administrateur du réseau.
2ème phase
Le pirate cartographie le système. Il acquiert une connaissance très fine du parc informatique et de la structuration des serveurs de l’entreprise. Son but est de préparer sa prise de contrôle.
3ème phase
Le pirate prend le contrôle du système : les données sont chiffrées et deviennent inaccessibles, copiées et éventuellement extraites. Les sauvegardes sont touchées.
4ème phase
Le pirate va demander une rançon afin que vous puissiez, en échange, obtenir une clé pour déverrouiller l’accès au système.
5. Concrètement, comment réduire les risques de cyberattaque ?
La DRH dispose de plusieurs moyens d’action pour réduire le risque cyber :
a) par la formation. Il s’agit de cibler des équipes ou des services qui ont besoin d’être sensibilisées
b) en s’assurant de la compréhension des dispositifs par les collaborateurs, de leurs droits utilisateurs et de leur accès – ou non – aux différents dossiers présents sur le serveur
La DRH doit s’assurer auprès du pôle informatique qu’il existe des sauvegardes des données personnelles (dont le nom, le prénom, le numéro de sécurité sociale…).
6. Les 3 interlocuteurs cybersécurité d’une DRH
a) le DSI : c’est l’expert informatique, mais pas forcément l’expert cyber. Il s’assure que l’outil informatique répond aux enjeux de son entreprise et met en place des mesures de sécurité.
b) le Responsable de la Sécurité des Systèmes d’Information (RSSI) est en charge des mesures de sécurité dans l’entreprise et a pour objectif d’intégrer la cybersécurité au sein des projets.
c) le délégué à la protection des données personnelles (DPO) est une fonction instituée par le RGPD. Il est le garant de la conformité des traitements de données personnelles. Ses missions sont de documenter l’ensemble des aspects de la gestion de données personnelles et de chercher la conformité à la réglementation RGPD.
Ces 3 fonctions sont complémentaires au sein de l’entreprise et constituent des interlocuteurs privilégiés en matière de données RH.
Question : comment procéder si une entreprise n’a pas les ressources pour recruter ces 3 postes ?
L’essentiel est de se faire accompagner par un professionnel externe – ayant une excellente connaissance de la sécurité et des outils informatiques – capable d’effectuer un audit de sécurité. Le but est d’obtenir un état des lieux complet et, en priorité, de combler les plus grosses failles.
7. La DRH, maillon essentiel de la cybersécurité
La DRH travaille en premier lieu sur l’humain. Et l’humain à travers le collaborateur est justement l’un des aspects les plus fragiles d’un système. La mission de la DRH est de sensibiliser aux risques, de pousser à l’adoption des bons gestes et des bonnes pratiques, comme par exemple :
a) verrouiller son ordinateur et son téléphone professionnels
b) avoir des conversations discrètes pour ne pas laisser fuiter des informations
c) utiliser des filtres d’écran d’ordinateur
La tendance actuelle est à la porosité entre usage personnel et professionnel des terminaux numériques, tendance amplifiée par le télétravail :
– accès aux serveurs d’entreprise depuis des appareils personnels, ce qui augmente les risques cyber
– utilisation de mots de passe communs pour une messagerie personnelle et une autre professionnelle
– téléchargement de fichiers dangereux non contrôlés par la DSI ou dans le cadre d’un accès administrateur
– partage d’écran zoom, teams/réseaux : penser à bien fermer les fenêtres de l’ordinateur ou de ne pas diffuser involontairement des mots de passe sur des photos de posts (réseaux sociaux)
8. Les 2 moments clés pour une DRH dans le domaine de la cybersécurité
1) Lors de l’arrivée d’un nouveau collaborateur dans l’entreprise (onboarding) :
– rappeler l’essentiel sur l’hygiène numérique
– s’assurer de la lecture et de la signature de la charte informatique, qui n’est pas une banale formalité administrative
– connaître le type d’accès et les données nécessaires à sa mission
– renseigner un listing avec le manager/DSI
– mettre à contribution l’employé pour tester les failles
2) À l’occasion du départ d’un collaborateur (offboarding) :
– dès l’annonce de ce départ, faire preuve de vigilance au sujet des téléchargements de données personnelles. La DSI peut checker les anomalies en matière de téléchargement du salarié partant
– s’assurer de l’effacement des terminaux
– demander confirmation à la DSI de la suppression des comptes
9. La DRH est naturellement la garante RGPD du traitement adéquat des données personnelles
Le RGPD est une avancée positive dans la souveraineté et dans les droits des personnes à maîtriser leurs données :
– droit de consultation, de rectification, de suppression et durée de conservation
– principe de minimisation des données : les entreprises ne possèdent pas plus d’informations que celles dont elles ont besoin
– s’assurer de la traçabilité des données : savoir qui a accès à quelles données et dans quel but ?
– vérifier les règles de gestion des outils dans un logiciel de recrutement (comme par exemple l’effacement des données : la CNIL recommande de les conserver durant 2 ans)
Les données personnelles sont le cœur du travail des RH en matière de performance, d’implication, de formation…. Il faut en faire une utilisation maîtrisée et consciente.
10. La webographie de la DRH cyber-entraînée
– Le site web Haveibeenpwend pour vérifier si votre compte a été corrompu (adresse email/numéro de téléphone)
– Le Centre canadien pour la cybersécurité détaille le déroulement d’une attaque rançongiciel
– La CNIL rappelle l’importance de posséder une charte informatique
– Le site web Cybermalveillance.gouv assiste et prévient les risques numériques
– Guide La cybersécurité pour les TPE/PME en 12 questions en téléchargement sur le site de l’ANSSI
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?