digitemis 
Sécurité offensive
Gouvernance & conformité
Protection des données
La Direction des Ressources Humaines (DRH) occupe une place centrale au sein de toute organisation, ce qui lui confère un rôle moteur dans de nombreux aspects de la vie de l’entreprise. Et plus encore, depuis quelques années, avec la digitalisation des outils et avec la complexification des process de travail, due notamment à la généralisation du télétravail. La cybersécurité rentre logiquement dans le champs d’action de la DRH : afin de prévenir d’éventuelles cyberattaques préjudiciables à l’entreprise, elle doit sensibiliser les collaborateurs aux bonnes pratiques informatiques et instaurer un dialogue nourri avec plusieurs interlocuteurs incontournables, dont la DSI, le DPO et le RSSI. Voici une fiche pratique destinée à tout(e) RH souhaitant gagner en efficacité.
1. Entreprise : un verrou nommé cybersécurité
Le terme Cybersécurité définit l’ensemble des moyens utilisés pour assurer la sécurité des systèmes et des données informatiques d’une entreprise. Du fait de la recrudescence des attaques à l’encontre des TPE, PME, ETI et des grands groupes, la cybersécurité constitue un verrou essentiel de l’entreprise. Elle concerne tous les membres de l’organisation, de l’entreprise et au premier chef la DRH, qui doit être particulièrement attentive aux risques cyber et sensibiliser les salariés de l’entreprise aux bons gestes et aux pratiques sécures.
2. DRH : pourquoi il faut apporter une attention nécessaire à la cybersécurité
Pour se convaincre de la nécessité de mener une stratégie de cybersécurité efficace en entreprise, voici quelques chiffres explicites publiés par l’ANSSI :
- les attaques par rançongiciel (ou ransomware en anglais) ont été multipliées par 4 en 2021. L’objectif des pirates est de verrouiller un système et de contraindre une entreprise à payer une rançon. Le coût financier et opérationnel pour une entreprise peut s’avérer très élevé (perte de millions d’euros et de journées entières de fonctionnement).
- la cyberattaque est le 1er risque auquel les entreprises sont confrontées, devant le risque incendie ou financier
- environ 12 milliards de comptes sont compromis ou ont été rendus publics (adresse email ou numéro de téléphone)
- dans plus de 9 cas sur 10, l’email est le 1er vecteur d’attaque, qui se fait via les collaborateurs d’une entreprise (piratage de mots de passe, phishing ou corruption de comptes).
3. Conséquences de cyberattaques
Les cyberattaques peuvent, par exemple, entraîner l’usurpation d’identité virtuelle ou réelle de dirigeant(s) d’entreprise(s). Des opérations financières directes, des ordres de virement sur de nouveaux comptes ou des comptes existants sont alors réalisés aux dépens de l’entreprise. Le problème, c’est qu’il peut s’écouler un certain temps avant la découverte du délit.
4. Concrètement, comment réduire les risques de cyberattaque ?
La DRH dispose de plusieurs moyens d’action pour réduire le risque cyber :
a) par la formation. Il s’agit de cibler des équipes ou des services qui ont besoin d’être sensibilisées
b) en s’assurant de la compréhension des dispositifs par les collaborateurs, de leurs droits utilisateurs et de leur accès – ou non – aux différents dossiers présents sur le serveur
La DRH doit s’assurer auprès du pôle informatique qu’il existe des sauvegardes des données personnelles (dont le nom, le prénom, le numéro de sécurité sociale…).
5. Les 3 interlocuteurs cybersécurité d’une DRH
a) le DSI : c’est l’expert informatique, mais pas forcément l’expert cyber. Il s’assure que l’outil informatique répond aux enjeux de son entreprise et met en place des mesures de sécurité.
b) le Responsable de la Sécurité des Systèmes d’Information (RSSI) est en charge des mesures de sécurité dans l’entreprise et a pour objectif d’intégrer la cybersécurité au sein des projets.
c) le délégué à la protection des données personnelles (DPO) est une fonction instituée par le RGPD. Il est le garant de la conformité des traitements de données personnelles. Ses missions sont de documenter l’ensemble des aspects de la gestion de données personnelles et de chercher la conformité à la réglementation RGPD.
Ces 3 fonctions sont complémentaires au sein de l’entreprise et constituent des interlocuteurs privilégiés en matière de données RH.
Question : comment procéder si une entreprise n’a pas les ressources pour recruter ces 3 postes ?
L’essentiel est de se faire accompagner par un professionnel externe – ayant une excellente connaissance de la sécurité et des outils informatiques – capable d’effectuer un audit de sécurité. Le but est d’obtenir un état des lieux complet et, en priorité, de combler les plus grosses failles.
6. La DRH, maillon essentiel de la cybersécurité
La DRH travaille en premier lieu sur l’humain. Et l’humain à travers le collaborateur est justement l’un des aspects les plus fragiles d’un système. La mission de la DRH est de sensibiliser aux risques, de pousser à l’adoption des bons gestes et des bonnes pratiques, comme par exemple :
a) verrouiller son ordinateur et son téléphone professionnels
b) avoir des conversations discrètes pour ne pas laisser fuiter des informations
c) utiliser des filtres d’écran d’ordinateur
La tendance actuelle est à la porosité entre usage personnel et professionnel des terminaux numériques, tendance amplifiée par le télétravail :
- accès aux serveurs d’entreprise depuis des appareils personnels, ce qui augmente les risques cyber
- utilisation de mots de passe communs pour une messagerie personnelle et une autre professionnelle
- téléchargement de fichiers dangereux non contrôlés par la DSI ou dans le cadre d’un accès administrateur
- partage d’écran zoom, teams/réseaux : penser à bien fermer les fenêtres de l’ordinateur ou de ne pas diffuser involontairement des mots de passe sur des photos de posts (réseaux sociaux)
7. Les 2 moments clés pour une DRH dans le domaine de la cybersécurité
1) Lors de l’arrivée d’un nouveau collaborateur dans l’entreprise (onboarding) :
- rappeler l’essentiel sur l’hygiène numérique
- s’assurer de la lecture et de la signature de la charte informatique, qui n’est pas une banale formalité administrative
- connaître le type d’accès et les données nécessaires à sa mission
- renseigner un listing avec le manager/DSI
- mettre à contribution l’employé pour tester les failles
2) À l’occasion du départ d’un collaborateur (offboarding) :
- dès l’annonce de ce départ, faire preuve de vigilance au sujet des téléchargements de données personnelles. La DSI peut checker les anomalies en matière de téléchargement du salarié partant
- s’assurer de l’effacement des terminaux
- demander confirmation à la DSI de la suppression des comptes
8. La DRH est naturellement la garante RGPD du traitement adéquat des données personnelles
Le RGPD est une avancée positive dans la souveraineté et dans les droits des personnes à maîtriser leurs données :
- droit de consultation, de rectification, de suppression et durée de conservation
- principe de minimisation des données : les entreprises ne possèdent pas plus d’informations que celles dont elles ont besoin
- s’assurer de la traçabilité des données : savoir qui a accès à quelles données et dans quel but ?
- vérifier les règles de gestion des outils dans un logiciel de recrutement (comme par exemple l’effacement des données : la CNIL recommande de les conserver durant 2 ans)
Les données personnelles sont le cœur du travail des RH en matière de performance, d’implication, de formation…. Il faut en faire une utilisation maîtrisée et consciente.
9. La webographie de la DRH cyber-entraînée
- Le site web Haveibeenpwend pour vérifier si votre compte a été corrompu (adresse email/numéro de téléphone)
- Le Centre canadien pour la cybersécurité détaille le déroulement d’une attaque rançongiciel
- La CNIL rappelle l’importance de posséder une charte informatique
- Le site web Cybermalveillance.gouv assiste et prévient les risques numériques
- Guide La cybersécurité pour les TPE/PME en 12 questions en téléchargement sur le site de l’ANSSI
