Alors que l’hôpital de Versailles subit, après tant d’autres, une cyberattaque massive, la question se pose. La défaillance est-elle un problème purement technique, un problème d’informaticien ? Ou bien faut-il envisager cette question d’un point de vue beaucoup plus vaste ?
De fait, la cybersécurité n’est pas l’apanage du service informatique. Essentielle pour la sûreté des organisations, elle doit avoir sa place dans tous les services. Elle doit surtout être très largement prise en compte au sein des ressources humaines
Les données RH, des données sensibles
Quel est donc le lien entre les RH et la cybersécurité ? À vrai dire, il est multiple. Au premier abord, on serait tenté de considérer que certes, le service RH gère des données particulièrement sensibles. Suivi de carrière, salaires, primes, formations, dossier disciplinaire…
Les dossiers RH renferment des données éminemment personnelles. Or, les salariés ont droit à la protection de ces données. Le service RH apparaît donc comme l’un des premiers « consommateurs » de cybersécurité. Mais loin de se cantonner à ce rôle passif, il a également un rôle majeur à jouer dans la mise en œuvre des politiques et des bonnes pratiques en la matière.
La ressource humaine… et ses faiblesses !
Pour s’en convaincre, il suffit de constater que 85 % des cyberattaques réussies reposent sur l’exploitation d’une faille humaine. La plupart du temps, en effet, ce ne sont pas les systèmes de protection qui sont en cause. Les pirates savent amplement jouer de nos faiblesses, de notre impatience, de notre manque de rigueur voire… de notre curiosité. Un mot de passe trop simple ou trop ancien, une pièce jointe ouverte par curiosité, un lien suivi par naïveté sont des portes d’entrée idéales.
Peut-on lutter contre ces erreurs trop humaines ? C’est non seulement possible mais essentiel, et le service RH est en première ligne sur ce sujet.
Former les salariés
Car tout est affaire de formation. Pour faire adhérer les salariés aux process et aux contraintes de la cybersécurité, il faut leur proposer une formation efficace et concrète. Un employé qui comprend pourquoi il doit changer son mot de passe, qui mesure les conséquences d’un geste imprudent, qui a appris à reconnaître un mail frauduleux sera bien plus motivé et prudent.
En tant qu’expertes de la formation en entreprise, les RH ont la responsabilité de sensibiliser les décideurs à ces problématiques et de proposer un plan de formation impliquant tout le personnel dans la mise en œuvre de la sécurité. Pour que la ressource humaine reste une richesse et non pas seulement une faiblesse.
Les possibilités sont nombreuses. Formations, tutos, mini-conférences, simulations d’attaques… Ces diverses actions permettront de créer une véritable culture de cybersécurité au sein de l’organisation. Or, cette acculturation contribuera à faire de l’application des règles de sécurité un réflexe.
Mesurer et limiter le risque
Autre domaine où les RH ont leur mot à dire, celui des autorisations. Sa connaissance du périmètre de chacun comme des personnalités en présence désigne le service comme particulièrement apte à établir quelles autorisations d’accès et de partage peuvent être octroyées à qui.
Une politique d’accès bien établie permet en effet de maîtriser et contrôler les différents points d’entrée du système. Or, dans le cadre d’un recours massif au télétravail, ce sujet est plus important que jamais. Car certaines informations ou points d’accès aux données sont désormais susceptibles de sortir de l’entreprise. Il est capital de les contrôler. Le lien étroit entre télétravail et cybersécurité implique donc lui aussi les RH dans la politique de sécurité de l’organisation.
Recruter des experts
Autre enjeu de taille pour les RH, recruter des experts en cybersécurité ! Pour une mise en œuvre efficace du plan cyber, il est indispensable de s’appuyer sur des compétences. Elles peuvent être présentes en interne. Le service RH devra alors, avec l’aide du directeur des SSI, les détecter et les faire fructifier.
Il faudra cependant aussi procéder à des recrutements externes. Or, c’est un immense défi pour les RH, car les bons profils sont rares et très recherchés. Il y aurait 15 000 postes non pourvus en France dans ce secteur. Attirer, recruter et retenir ces professionnels est donc un enjeu majeur pour l’avenir.
Adopter la culture cyber
Les RH ont donc du pain sur la planche ! Et, en premier lieu, le service doit se former lui-même à la culture cyber. Comprendre les enjeux, connaître les formations, maîtriser le vocabulaire, évaluer les besoins, autant de points essentiels pour pouvoir œuvrer efficacement aux côtés des équipes de cybersécurité. Une fois cette étape franchie, les ressources humaines auront toute légitimité pour travailler à imposer cette culture au sein de l’organisation.
Elles pourront participer pleinement à la définition d’une stratégie cyber dont elles doivent être un acteur incontournable. Car la cybersécurité est un enjeu global, qui touche tous les métiers de l’entreprise. Et au cœur de celle-ci, les ressources humaines, pivot de ce système.
Des solutions sécurisées avec DropCloud
S’appuyer sur des solutions de travail sécurisées apparaît dès lors comme indispensable.
Les DRH pourront mettre à profit les différents services de DropCloud pour acculturer la cybersécurité dans l’entreprise. Apprendre aux salariés à partager des documents en toute sécurité avec WeDrop, maîtriser le transfert de fichiers volumineux sensibles avec WeSend, et surtout, créer de vrais réflexes de sauvegarde avec NeoBe. De plus, les interfaces de ces différents outils permettent de maîtriser et modifier à tout moment les autorisations d’accès, de consultation et de modification.
DropCloud représente un atout incontestable dans la bataille cyber qui implique les ressources humaines.
About the Author: Rostom BENARIBI
