Le rôle des RH et autres départements dans la cybersécurité de l'entreprise

Face à la montée de la cybercriminalité, chaque salarié devra faire sa part. Et bien souvent, le département RH constitue une première ligne de défense.

Quelle que soit la taille de l’entreprise, ou son secteur d’activité, la cybersécurité doit toujours être une priorité absolue. Face à l’augmentation des violations de données, si l’on n’a pas mis en place les protections nécessaires, l’entreprise court potentiellement à la catastrophe. Et attention, car ses bénéfices et sa réputation pourraient bien en pâtir.

Heureusement, il existe certaines précautions à prendre pour prévenir les risques de violations. Chaque salarié devra cependant faire sa part. Bien souvent, le département RH constitue une première ligne de défense. Du processus d’intégration des nouvelles recrues aux programmes de formation continue, le champ d’intervention de l’équipe RH est suffisamment vaste pour protéger le personnel et les finances de l’organisation face aux cybercriminels. Voyons comment mettre en place, dès aujourd’hui, les protections nécessaires.

Sécurité des données dès le premier jour

Afin d’expliquer l’importance de la cybersécurité, le personnel RH doit en avoir, au préalable, saisi les enjeux. Quels sont les actifs à risque ? Et quelles seraient les conséquences d’un piratage de données pour l’entreprise ? D’année en année, la cybercriminalité ne cesse d'augmenter. La technologie évolue constamment et les tactiques employées par les pirates informatiques pour dérober les informations des entreprises et de leurs personnels suivent la même courbe. Imaginons que des voyous du numérique parviennent à mettre la main sur les données financières d’une entreprise, à prendre celle-ci en otage avec un rançongiciel ou à la mettre hors service. En plus de perdre des clients, elle s’’expose à des sanctions financières de plusieurs millions d’euros et à des poursuites judiciaires.

Les RH ne peuvent, naturellement, pas se permettre de reléguer la cybersécurité au second plan. C’est pourquoi, dès l’instant où l’on décide de recruter, l’équipe RH doit être mise face à ses responsabilités en matière de sécurité. En 2022, la technologie a évolué et a transformé les modes de recrutement. Grâce à la visioconférence, on peut aujourd’hui réaliser des entretiens d’embauche avec des candidats des quatre coins du globe. Attention toutefois, car il n’est pas difficile pour un cybercriminel de pirater des solutions comme Zoom et Skype en plein entretien d’embauche. Il ne lui reste alors plus qu’à se faufiler jusqu’au réseau de l’entreprise pour y faire des ravages.

Autre menace, les emails d’hameçonnage difficiles à repérer lorsque les CV et lettres de motivation affluent vers les boîtes de réception RH et que les chargés de recrutement débordés baissent la garde. Or, en cliquant accidentellement sur les liens contenus dans plusieurs messages malveillants ouverts par erreur, ces collaborateurs permettent à des malwares de s’introduire automatiquement dans le système de l’entreprise.

Pour les bloquer et contrer les autres menaces, les RH doivent travailler main dans la main avec le département IT. L’objectif : faire le point sur les menaces les plus récentes et les plus courantes. Une fois en possession de ces nouveaux éléments, les RH pourront dresser une liste de mesures de sécurité à appliquer pour chaque recrutement. Enfin, durant la procédure d’embauche, le moindre signe suspect devra être immédiatement signalé.

Objectif sécurité pendant l’intégration des nouvelles recrues

L’équipe RH doit poursuivre ses actions en faveur de la sécurité pendant toute la période d’intégration des nouvelles recrues. Avant toute nouvelle embauche, les RH devront parfaitement maîtriser la nature et le périmètre du poste à pourvoir. Il leur faudra en effet déterminer les autorisations dont le nouveau collaborateur aura besoin pour exercer ses missions. Ses accès devront alors être restreints aux seuls programmes et fichiers nécessaires à l’exercice de ses fonctions. Si, au bout du compte, la personne n’accepte pas le poste, ses autorisations devront immédiatement être supprimées.

Autre point, les RH doivent élaborer et présenter les politiques que les collaborateurs doivent respecter pour se protéger eux et l’entreprise de la menace cyber. Si l’entreprise équipe ses salariés de terminaux mobiles (téléphones portables et tablettes), la politique pourra préciser quand et dans quelles conditions ces appareils peuvent être utilisés en dehors des locaux. D’autres éléments pourront être indiqués, comme les programmes autorisés et les méthodes de sécurisation imposées - format de mot de passe spécifique, double authentification ou toute autre mesure de précaution.

Les informations que les collaborateurs peuvent, ou ne peuvent pas, partager devront être définies dans un document. En effet, toute information, depuis le numéro de carte bancaire d’un client jusqu’à son adresse électronique, est susceptible d’être volée et revendue au marché noir — à des fins d’escroquerie. Les collaborateurs doivent donc être informés de ce qui relève de l’information privée. Là aussi, les RH peuvent se rapprocher des équipes IT pour s’assurer que tous les appareils et fichiers soient chiffrés. L’important est, en effet, d’éviter que ces informations soient exposées, même en cas de partage accidentel.

Formation à la cybersécurité : rôle des RH et des managers

Le processus d’intégration doit comprendre une formation des employés à la cybersécurité. Dans ce programme seront abordés les menaces et les moyens dont disposent les employés pour les identifier et les éviter. Les problèmes les plus courants devront aussi être présentés, comme les escroqueries par hameçonnage, les attaques sur les mots de passe, les rançongiciels et les logiciels malveillants. À l’issue de chaque session de formation, les RH devront exiger que les employés confirment leurs acquis. En procédant ainsi, cela permet à l’entreprise de s’assurer que ses collaborateurs sont correctement formés. Et dans le cas où ils la mettraient en danger, celle-ci pourra leur demander des comptes.

Une fois vos collaborateurs formés à la menace cyber, les RH devront mettre en place un système de reporting simple. Les employés l’utiliseront au moindre signe suspect qui nécessite une attention immédiate. Pour être efficace, un tel système doit généralement comprendre une adresse email ou un système de gestion de tickets sous le contrôle permanent de la Direction des systèmes d’information. Une fois formés au système de tickets, les collaborateurs devront signer le protocole d’accord qui les engage. Aucun problème ne doit être passé sous silence, et lorsqu’un employé repère une menace réelle, ses efforts doivent être reconnus.

Si les RH sont à l’origine de nombreux programmes de formation de ce type, l’équipe d’encadrement a également un rôle à jouer dans la cybersécurité de l’entreprise. Elle doit s’engager à poursuivre ces initiatives de formation face à de nouvelles menaces et situations. Les managers doivent également suivre de près l’activité des employés. La moindre faille de sécurité causée, intentionnellement ou pas, par l’un des collaborateurs, doit être immédiatement signalée.

Comme nous l’avons vu, les RH peuvent intervenir sur plusieurs points en améliorant leurs processus afin de faire de la cybersécurité une priorité. En suivant les quelques conseils donnés dans cet article, l’entreprise accroît ses chances de pérenniser sa croissance et de protéger, dès le départ, ses intérêts.