D’après un rapport gouvernemental de mars 2022, le niveau d’exposition des entreprises françaises aux cybermenaces, notamment aux rançongiciels, est en croissance permanente malgré la montée en puissance des mesures de protection. Toutes les directions de l’entreprise sont concernées, en particulier la Direction des Ressources Humaines : la principale vulnérabilité des organisations provient en effet du facteur humain.

Comment limiter ce risque majeur ? Les explications d’Anne Doré, fondatrice de ADHEL, cabinet de conseil fondé pour accompagner les dirigeants d’entreprise sur les enjeux de cybersécurité.

 

En quoi la cybersécurité est-elle, aussi, l’affaire de la DRH ?

La direction des ressources humaines est véritablement stratégique sur ce volet. Tout d’abord, elle gère l’ensemble des données relatives aux collaborateurs. Des données personnelles, sensibles, qui doivent être protégées comme l’exige le RGPD (règlement général sur la protection des données). Ensuite, elle doit s’assurer que l’organisation dispose, en interne, de compétences pour parer au risque cyber. Or ces compétences sont pénuriques : on estime à environ 15 000 le nombre de postes vacants. La cybersécurité nécessite de l’expertise technique, mais aussi de l’analyse des risques, des compétences juridiques et de communication… L’enjeu est donc le recrutement, mais aussi le développement de talents, les parcours de carrière, la fidélisation. C’est aussi à la DRH de s’assurer qu’une culture de cybersécurité se diffuse au sein de l’entreprise, et de la faire vivre, dans une dynamique d’amélioration continue et d’organisation apprenante.

 

Parmi les cibles des cyberattaques : les collaborateurs eux-mêmes, d’autant plus depuis l’essor du télétravail. La sensibilisation des comportements numériques est-elle suffisante ?

95 % des attaques réussies sont liées à une défaillance humaine.

La sensibilisation dans la durée est donc essentielle pour limiter par exemple les risques liés à l’usage d’ordinateurs personnels, à des mots de passe peu sophistiqués, à des ouvertures d’emails de phishing. Il faut former l’ensemble des collaborateurs et leur fournir des bonnes pratiques et recommandations claires et précises, adaptées à leur fonction.

Par ailleurs je crois profondément à l’exemplarité des dirigeants. Par exemple, pour ses déplacements professionnels, la Direction Générale va demander à la DSI (Direction des Systèmes d’Information) un ordinateur contenant le minimum de données. La dimension « role model » est importante pour encourager les comportements vertueux.

 

Un autre volet important concerne la protection des données sensibles relatives aux salariés. Comment la renforcer ?

La première règle consiste à restreindre les droits d’accès aux données RH, en les segmentant en fonction des usages et des responsabilités des collaborateurs. La deuxième recommandation découle d’un postulat : la cybersécurité doit être intégrée au sein des processus métiers et organisationnels, et être prise en compte dans chaque projet structurant. Par exemple, si l’entreprise souhaite se doter de solutions logicielles en mode SaaS : quelles sont les implications en termes de sécurité des données ? Cette logique implique une étroite collaboration entre la DRH, la DSI et l’expert cybersécurité.

 

Comment diffuser – et faire vivre – une culture de cybersécurité dans l’entreprise ?

La cybersécurité requiert une très forte corrélation entre processus métiers, processus RH et gestion des accès aux systèmes d’information. Dans tous les départements de l’entreprise, y compris RH, la cyber-résilience implique déjà d’anticiper les conséquences d’une attaque malveillante, en mettant en place les conditions de la continuité d’activité. Cela implique de tester avec la DSI les sauvegardes de données, de s’assurer qu’elles sont exploitables et peuvent être réinstallées.

Un autre volet concerne la vigilance, en continu, des droits d’accès du collaborateur à l’entreprise et aux outils informatiques, à chaque étape de son parcours professionnel – adaptation en cas de changement de poste ou de fonction, suppression immédiate lors de l’offboarding…

La cybersécurité doit s’immiscer au sein des métiers, en faisant en sorte que les équipes cybersécurité travaillent en collaboration étroite et au quotidien avec l’ensemble des métiers et fonctions transverses. Elle doit être perçue comme une valeur ajoutée pour l’organisation et pour ce faire doit être au service des métiers et de l’entreprise.

La mise en œuvre d’une cyberculture est un travail de fond qui se construit dans la durée, sous la tutelle et avec la volonté de la direction générale. Pour intégrer la cybersécurité dans la culture d’entreprise, il faut avant tout la considérer comme un sujet transverse, qui irrigue la feuille de route de chaque direction, dont la DRH.