La cybersécurité, atout décisif pour la fonction RH

Enjeu clé encore cité dans les tendances qualité de vie RH à suivre en 2020, le télétravail illustre là les nouvelles problématiques liées à la protection des données dans ce secteur : à l’heure où la fonction RH se dématérialise, elle est plus que jamais exposée aux cybermenaces. Dossier de compétences, historique des entretiens, GPEC, bulletin de paie sont autant de documents résultant du travail des équipes ressources humaines. La criticité des données manipulées est élevée (données à caractère personnel, données financières pouvant susciter des dissensions en interne voire servir à la concurrence…). Si l’entreprise veut consolider la confiance qu’ont ses employés en elle, il est essentiel de garantir, entre autres, la sécurisation de tous ces éléments. Comment la cybersécurité peut-elle alors répondre aux risques liés à la gestion de la donnée dans les RH ?

La fonction RH se retrouve en première ligne face aux cybermenaces. Aujourd’hui, près de 90% des attaques réussies utilisent l’ingénierie sociale : 9 piratages sur 10 sont liés à une action incorrecte de l’utilisateur. Le collaborateur est donc acteur, et doit être (in)formé en conséquence. De nombreux leviers de sensibilisation sont à la portée des RH : réalisation d’escape game (voir ici l’exemple d’Orange Cyberdéfense), formations, conférences, communications (podcasts, bonnes pratiques...) et mises en situations (faux phishing).

L’exploitation des données demeure une des activités quotidiennes de la fonction RH. Les portails de gestion RH regorgent de données sensibles auxquelles de nombreux collaborateurs ont accès. Des éditeurs spécialisés dans la gouvernance des données, comme Varonis, permettent de tracer toute manipulation de fichiers, en analysant le moment de l’action, la quantité et le type de données concernées, et bloquant ou signalant toute opération en inadéquation avec les pratiques habituelles du SI de l’entreprise.

La solution de Varonis permet un suivi des fichiers exploités par les collaborateurs

La gestion des habilitations du collaborateur se poursuit une fois ce dernier parti de l’entreprise. D’après une étude d’Ivanti, « 52% des professionnels de l’IT connaissent au moins une personne qui a toujours accès aux applications et données de son ancien employeur. » La distinction est ténue entre des employés qui estiment légitimes de récupérer des fichiers sensibles sur lesquels ils ont travaillé, et ceux qui réalisent délibérément des fuites malveillantes d’informations internes (28% des cas, selon une étude du cabinet indépendant Ponemon Institute, en 2017). A nouveau, la cybersécurité offre des éléments pour juguler ces menaces :

• Un travail croisé entre la DSI, la DRH et les équipes juridiques de l’entreprise afin d’établir un process de sortie de l’entreprise des plus cadrés. Cela peut passer par la rédaction d’une check-list type d’actions à effectuer pour tout départ à venir d’un collaborateur : la restitution du matériel, la suppression et l’archivage interne des données manipulées par l’employé, le formatage complet du disque dur de l’ordinateur utilisé…

• La clôture du compte collaborateur ! Varonis a relevé 450 000 comptes utilisateur toujours actifs au sein de 80 organisations analysées, alors que ces utilisateurs avaient quitté leur entreprise. Cela représente autant de failles de sécurité exploitables par les hackers, ces comptes inactifs ne bénéficiant plus des mises à jour de sécurité notamment.

La cybersécurité est indéniablement liée à la digitalisation de la fonction RH. De la TPE au grand groupe, l’exploitation massive de données sensibles doit pousser à une vigilance accrue, renforcée par un cadre règlementaire qui se met au diapason. Le règlement général sur la protection des données (RGPD), effectif depuis mai 2018, accentue l’importance de la sécurisation.

Face à ces nouveaux enjeux, le responsable RH doit s’adapter en conséquence. Si les process internes sont amenés à évoluer, l’entreprise doit également se doter de personnes compétentes en la matière. C’est probablement le plus grand défi auquel est confrontée la fonction RH : en 2017, d’après l’ANSSI, seules 20% des offres d’emploi en cybersécurité étaient pourvues : 1200, pour 6000 postes ouverts. Le responsable RH doit trouver la perle rare, ou miser sur la formation interne de ses effectifs actuels afin d’être à la hauteur de l’enjeu.