Les RH au service de la cybersécurité

Article paru le 17 juin 2019 | Partager sur les réseaux sociaux

Classé dans : Cybersécurité Ressources humaines

8,6 millions d’euros, c’est le coût moyen d’une cyber-attaque en France en 2018 (+27.4 % en un an). La menace est réelle, selon une étude du Cesin, en 2018, huit entreprises françaises sur dix ont fait l’objet d’une cyberattaque.

Les cyber-attaques ne sont pas uniquement l’affaire de pirates peu scrupuleux et extrêmement doués pour passer les pare feu des entreprises. L’illustration ci-dessous nous montre que 60 % des attaques ont pour provenance un salarié de l’entreprise.

Difficile de croire que ses propres salariés puissent être à l’origine de ces attaques. Il faut se rendre à l’évidence, la politique de sécurité ne doit pas s’arrêter aux frontières de l’entreprise. Il est aujourd’hui plus facile de duper un utilisateur que d’essayer de contourner les systèmes de sécurité complexes d’une entreprise.

Les pirates ne manquent pas d’imagination :

  • Courriels frauduleux : demandes d’accès, coordonnées bancaires
  • Fausses mises à jour de logiciels
  • Prises de contacts suspects
  • Social engineering
  • Ouverture de faux documents de travail (logiciel malveillant)

C’est autant de pièges auxquels devront faire face les collaborateurs. Un utilisateur non sensibilisé pourra répondre plus aisément à une tentative de fishing. La pêche est souvent bonne.

En 2017, le service informatique du Ministère des Finances à réalisé un test à grande échelle en envoyant un email « frauduleux » à ses 145 000 agents. 20% ont cliqué pour ouvrir l’email, de quoi s’inquiéter au vue d’une attaque que l’on qualifie de « simple ».

Récemment, un géant français du secteur de l’électricité a été victime de social engineering. Ses salariés ont tous reçu un email en provenance du président de l’entreprise les invitants à renseigner leurs coordonnées bancaires. La fraude a rapidement été annihilée grâce à la vigilance des salariés et au rôle d’alerte qu’ils ont joué !

Sensibiliser pour prévenir les risques

Ces attaquent insistent sur le rôle clé des RH dans la sensibilisation de ses salariés. Les règles fondamentales de protection doivent être assimilées dès le parcours d’intégration.

Orange Cyberdéfense propose un outil de sensibilisation sous forme d’escape game ! C’est un moyen ludique d’apprendre. Favoriser l’apprentissage par l’erreur c’est pousser les salariés à se questionner.

Le DRH doit contribuer à l’élaboration de la politique de sécurité. Les sanctions en cas de non-respect des règles doivent être clairement explicitées. Le cas d’une action malveillante sera clairement sanctionnée, mais que faire des négligences qui peuvent coûter cher à l’entreprise en dépit des formations dispensées ? Le DRH doit penser ces cas de figures afin d’envisager des mesures lorsque la sensibilisation n’est plus suffisante.

Limiter l’utilisation abusive des droits dans le système d’information : le privilège minimum

44.5% des attaques internes sont dues à de mauvaises intentions de salariés. Cette fois, le DRH doit prendre des mesures strictes pour limiter ces risques.

Le DRH doit définir les rôles et responsabilités de chaque collaborateur afin que la DSI puisse attribuer les droits d’accès informatiques adéquats à la fonction. Un processus doit garantir que les droits soient gérés tout au long de la vie professionnelle des collaborateurs (mobilité, départ de l’entreprise).

Le SIRH gère les rattachements des collaborateurs au sein de l’organisation. Il peut donc cibler les groupes d’utilisateurs, les postes, les profils afin d’envoyer des alertes ciblés sur la sécurité. Le référentiel RH peut également permettre de faciliter la gestion des droits, pour la rendre plus simple et rapide.

La gestion des droits doit particulièrement être précise pour les applications RH qui comportent un grand nombre de données à caractère personnel et en particulier concernant le SI GA/Paie qui comprend les numéros de sécurité sociale des salariés. La DRH doit donc faire preuve de rigueur pour ses propres équipes.

Une guerre des talents particuliers forte en cyber-sécurité

Selon l’ISACA, 58% des RSSI interrogés déclarent que des postes restent vacants faute de candidats spécialisés. Dans près de 3 recrutements sur 10, moins de 25% des candidats disposent des compétences requises.L’automatisation des tâches les plus simples permet de libérer du temps mais ce n’est pas suffisant et des actions spécifiques doivent être menées. Les DRH doivent mettre en œuvre des leviers pour contrecarrer cette pénurie. Les leviers les plus courants sont :

  • Le recrutement : L’entreprise doit mettre en place une stratégie pour attirer les experts en cyber-sécurité. Une solution peut être d’externaliser son recrutement à des cabinets spécialisés dans ses profils. Si le recrutement reste en interne, la logique est identique. Le recruteur doit connaitre ce secteur et les attentes des experts sur le bout des doigts.
  • La formation : En complément ou en palliatif du recruteur, former ses collaborateurs reste un classique. Des formations certifiantes permettent de valoriser les connaissances acquises lors des sessions. Attention toutefois à ne pas sous-estimer le gap de compétence à acquérir !
  • L’externalisation : Rechercher la compétence ailleurs est couteux mais permet de cibler des compétences très précises et parfois nécessaires de manière ponctuelle.

Le DRH ne peut désormais plus ignorer les enjeux de cyber-sécurité. Le sujet n’est plus réservé aux experts mais doit être porté par tous les salariés. Le parallèle peut être fait avec la sécurité au travail. Les préventeurs peuvent définir toutes les bonnes pratiques et règles nécessaires pour éviter les accidents de travail, si les salariés n’y sont pas sensibles alors tous les efforts seront vain.

Tom BARRIERE

Sources :

https://www.verlingue.fr/la-drh-est-lartisan-de-la-cyber-securite/

https://www.cisel.ch/securite-dans-lentreprise/?cn-reloaded=1

https://www.hrtoday.ch/fr/article/quel-role-pour-les-rh-dans-la-gestion-de-la-cybersecurite

https://www.silicon.fr/cybersecurite-penurie-competences-234313.html

Partagez cet article sur les réseaux sociaux