OPINION | « Les employés sont le maillon faible de la sécurité » ou l’adage le plus utilisé depuis le début de la crise sanitaire. Et pour cause : depuis près de deux ans, le télétravail est devenu la norme pour des millions de personnes dans le monde. Bien que la technologie nous permette de continuer à travailler à domicile, en tant que collaborateur, nous sommes devenus une cible de choix pour les cybercriminels.


En outre, les collaborateurs travaillent sur des appareils et terminaux personnels qui n’ont pas forcément les contrôles de sécurité adéquats (comme les mises à jour automatiques, la gestion des points de terminaison de sécurité), ou encore sur des réseaux domestiques qui ne sont peut-être pas aussi sécurisés que le réseau de leur entreprise. En parallèle, bien que les cybercriminels disposent de nombreuses techniques de piratage différentes, le phishing est l’un des vecteurs d’attaque les plus courants dans les lieux de travail distants ( sondage OpinionWay)..

Le phishing, mais aussi d’autres menaces comprennent généralement les erreurs d’inattention des employés : l’envoi par courriel ou la perte de données précieuses, la connexion à des réseaux internet non sécurisés en dehors du bureau, et les attaques malveillantes conscientes de la part d’employés ou d’anciens employés. Par exemple, selon un sondage Shred-It, plus de 25 % des personnes interrogées omettent de verrouiller leur ordinateur lorsqu’elles quittent leur poste de travail et le laissaient sans surveillance.

Face à cette menace grandissante, les directeurs des ressources humaines doivent jouer un rôle clé pour assurer la sécurité des organisations dans le cyberespace.

 

S’approprier le risque de sécurité posé par les employés

La plupart des employés partent du principe que la cybersécurité est avant tout une question technique et qu’elle relève uniquement de la responsabilité des services IT. Ce n’est qu’après avoir vécu une cyberattaque qu’ils commencent à assumer une responsabilité personnelle en matière de sécurité. Cette attitude parfois quelque peu naïve rend nos organisations vulnérables.

Pour améliorer leurs chances de réussite, les cyber attaquants recherchent désormais les organisations qui sont susceptibles d’être moins préparées à tout type de menace cyber : celles qui n’ont pas encore été attaquées, comme les petites entreprises ou celles qui sont moins connues. Les RH doivent alors endosser un rôle essentiel dans la sensibilisation des comportements numériques des collaborateurs.

Je vous livre quelques pistes de réflexions :

 

  1. Faire de la formation en cybersécurité une priorité

La formation de l’ensemble du personnel des RH et de tous les employés sur les protocoles de cybersécurité est probablement l’approche la plus efficace. Tout simplement car ce type de processus est devenu impératif pour les nouveaux employés. La formation à la cybersécurité représente aujourd’hui un élément central de tout processus d’intégration et il convient de mettre l’accent sur la sécurité des mails et d’apprendre à repérer les signes d’activités potentiellement malveillantes. La formation devrait comprendre des directives pour reconnaître et gérer les scénarios d’attaque les plus courants, comme le phishing et la sécurité des mots de passe. A ce tire, l’ANSSI a lancé un MOOC gratuit, accessible à tous pour s’initier à la cybersécurité, ou approfondir ses connaissances. C’est, selon moi, une très bonne base pour commencer.

 

  1. Veiller aux fermetures d’accès d’anciens collaborateurs

Les équipes des RH doivent s’assurer de bien fermer les comptes en ligne de tout ancien employé dès que possible. Une réflexion qui parait logique, mais qui est nécessaire pour la bonne confidentialité de l’entreprise : certains employés dérobent des données au moment de leur départ, ayant des répercussions conséquentes pour une entreprise. Autre élément essentiel, les équipes RH sont aussi chargées de souligner les répercussions disciplinaires pour les employés qui ne respectent pas les lignes directrices en matière de sécurité.

 

  1. S’assurer que les mesures de sécurité sont pratiques et… éthiques

Les contrôles s’avèrent être un garde-fou indispensable pour protéger nos organisations, mais ils doivent être cohérents avec la façon dont les collaborateurs se comportent. Par exemple, les mots de passe générés aléatoirement sont difficiles à craquer, mais la plupart des gens doivent les écrire, ce qui va à l’encontre de leur objectif. L’équipe RH est la mieux placée pour livrer des conseils sur l’efficacité et l’adéquation des politiques de sécurité.

 

  1. Choisir la bonne solution de sécurité

Les stratégies de sécurité “cloud first ” aident les organisations à atteindre leurs objectifs de protection des données. Lorsque les équipes RH envisagent d’utiliser les technologies cloud pour faciliter les processus RH, elles doivent s’assurer que leurs fournisseurs de cloud protègent correctement les données de leur organisation, celles des candidats et des employés. Quels sont les responsables en cas de violation des données ? C’est ce type d’accords qui doivent être clairement définis lors des négociations contractuelles.

 

  1. Insuffler du changement

C’est incontestable, les DRH ont un rôle essentiel à jouer en matière de cybersecurité. Pourtant, ils ne sont généralement pas les principaux responsables ou moteurs de la gestion des cyber risques. La grande majorité des entreprises continue de déléguer ce type d’activités aux services IT, puis au département de gestion des risques, aux services juridiques ou aux finances…

Alors, il faut que ça change. Un partenariat solide entre IT et RH me semble essentiel pour gérer les risques liés aux données et à la technologie, en particulier dans un environnement de travail à distance. 

 

 

Crédit Photo : Max Duzij on Unsplash

 

<<<  À lire également : Nike s’invite dans le métavers de Facebook >>>