Protection de l’information chantier oublié des DRH

Alors que les entreprises se transforment fortement sous l’influence du numérique, de plus en plus de collaborateurs souhaitent privilégier un environnement où des standards de sécurité, des contrôles par des personnes responsables leur donnent confiance. En effet, la confiance dans les données et les applications n’est possible que si un ensemble de personnes intègre dans leur gestion quotidienne de l’information des actions de protection, de contrôle et de supervision de la qualité, de l’intégrité et de la confidentialité des données ; les outils technologiques ne suffisent pas.

Une chronique réalisée dans le cadre du programme Numérique en pratique et la co-construction du guide pratique « Nouveau monde du travail : quelles priorités pour les DRH ?» disponible en téléchargement

En quoi ce sujet est-il un chantier pour les DRH ?

L’organisation en ressources humaines de l’entreprise, souvent de la responsabilité des DRH, doit répartir la protection de l’information auprès des différents Managers représentés au Comité de Direction. Ces responsables peuvent être soit à plein temps, soit en temps partiel, soit encore contracté avec un partenaire externe… mais toutes ces fonctions (décrites ci-après) doivent être représentées.

Malheureusement, on constate régulièrement que des Comités de Direction nomment un Responsable de la protection de l’information imaginant qu’à lui seul, et parfois sans ressources et sans sponsor, l’entreprise sera protégée des organisations cybercriminelles. C’est une erreur d’organisation des ressources qui ne peut que décevoir les deux parties : le Comité de Direction et l’expert Cybersécurité. Or, la répartition des responsabilités en matière de cybersécurité dans l’organisation est bien sous la responsabilité du Directeur des Ressources Humaines[1] avec l’assistance du Directeur Cybersécurité.

Cette répartition concerne trois axes complémentaires :

Le rôle de cyber-protection des données de tous les employés et leur management,
Le rôle des employés en charge du contrôle et l’application des procédures de protection des données,
Le rôle de l’équipe informatique en charge de la gestion des services et de l’hébergement des données.

Nous nous concentrerons ici sur le premier des axes et les remises en question qu’il implique pour les DRH.

Comment le DRH peut-il développer les rôles et responsabilités de cyber-protection des données de tous les employés et leur management ?

Il n’existe pas d’employé qui ne manipule pas d’information dans l’entreprise, et donc, chacun en produit ou met à jour des données et les transmet en utilisant les solutions proposées par la Direction Informatique. Toutes les personnes de l’entreprise doivent donc jouer un rôle dans la protection de l’information qu’ils manipulent. Cependant, certain ayant accès à des données sensibles, doivent impérativement appliquer les recommandations de protection de l’information définies dans la Politique de Cybersécurité ; laquelle est validée par la Direction de l’entreprise. Quoiqu’il en soit, le DRH a une responsabilité qu’il doit assurer en propre, mais aussi une responsabilité dans le développement des rôles des autres fonctions dans l’entreprise.

Le rôle du Directeur des Ressources Humaines dans la protection de l’information

Lui aussi est un acteur très important dans la protection des informations, au-delà de la simple rémunération des employés et de leur formation, il est surtout en charge de vérifier qui est autorisé à entrer physiquement et logiquement dans l’entreprise et ses systèmes d’information. Il est souhaitable que les DRH aient aussi la responsabilité de savoir quelles ressources sont en charge de quelle fonction et vérifier qu’il n’y a pas d’incompatibilité pouvant amener à des fraudes financières de la part des employés (cas de non-respect des séparation de fonctions par exemple).

Cela diminuera les risques de pertes ou fuites d’information en mettant en place une gestion stricte des droits d’accès aux Systèmes d’Information ou encore en renforçant les contrats de travail de ceux qui ont des responsabilités importantes[2] dans l’entreprise.

Il n’est pas impossible d’ailleurs que pour renforcer la responsabilité de chacun dans la protection de l’information, des modifications de la description des rôles (voir des objectifs annuels), ou encore, des formations pour les fonctions clefs citées ci-dessous soient mises en place.

Intégrer les actions de protection de l’information dans les métiers de production de l’entreprise

Que ce soit pendant les phases de conception (couvrant le domaine de la recherche et du développement) à la fabrication en interne (ou via la sous-traitance), l’information accompagne toutes ces phases et, individuellement tous les employés contribuent à la chaîne de production. Il est donc essentiel que l’information soit préservée (intègre) pour permettre la vente d’un produit de qualité (et non plagié par exemple). L’ensemble des employés doivent être attentifs et vigilent quant aux sollicitations malveillantes qui peuvent avoir pour objectif, soit le vol d’argent, de données ou de propriété intellectuelle pour une revente à terme sur le black-market[3]. La notion de VAP[4] (Very Attacked People) est intéressante car elle permet de rechercher qui dans l’entreprise peut être une cible d’une organisation cybercriminelle car celle-ci devra bénéficier d’un service de protection spécifique par l’équipe support (ou le SOC s’il y en a un).

Redéfinir le rôle du Directeur des Achats dans la protection de l’information

En coopération avec le Directeur Juridique, le DSI et le Directeur Cybersécurité, le Directeur des Achats définit une politique d’achat de prestations de sous-traitance et de services qui soit conforme aux budgets[5]. De plus, cette politique a pour objectif d’identifier les services qui pourront être achetés à l’extérieur de l’entreprise Vs ceux qui devront rester gérés par les équipes de la DSI en interne[6]. Cette procédure a pour but de diminuer les risques de fraude, de fuite ou perte d’information et de conserver l’intégrité et la conformité réglementaire des données.

Cette procédure s’appuiera sur un questionnaire ou une certification que le fournisseur présentera avant la signature du contrat qui devra être inclus dans celui-ci tout comme la définition de la confidentialité, du niveau de service de la non-diffusion des informations et de la réversibilité. L’objectif de cette procédure est de garantir que les données gérées par un partenaire suivent les recommandations de la politique Cybersécurité[7] définie en interne. Enfin, l’équipe IT s’assurera de l’intégrité des données une fois le contrat opérationnel pour éviter les attaques de type « supply-chain » (malware inclus dans le logiciel contracté).

Accompagner le rôle du Directeur Juridique dans la protection de l’information

En plus de son rôle de relecteur des conditions juridiques de conformité des solutions achetées, de rédacteur de contrat de partenariat, de la protection contractuelle de la propriété intellectuelle et de la lutte contre la contrefaçon, il est aussi l’acteur majeur de la conformité réglementaire notamment vis-à-vis de la protection des données à caractère personnel. Il est d’ailleurs souhaitable compte tenu de l’importance de la rédaction des politiques de cette réglementation que le DPO[8] soit un juriste. Pour mémoire, le DPO doit jouer un rôle de contrôle alors que celui qui coordonne les actions de cartographie et monitoring est le Directeur Cybersécurité. Enfin, le Directeur juridique s’assure de la protection du nom de l’entreprise et des produits contre la contrefaçon ainsi que la protection des noms de domaines de l’entreprise sur Internet.

Se coordonner avec le Directeur Safety / Sécurité dans la protection des données à caractère personnel

Principalement en charge de l’autorisation d’accès et de la protection physique des employés, Le Directeur Sécurité sélectionne des solutions numériques respectant la Politique de Cybersécurité avant leur installation dans les SI de l’entreprise. Par ailleurs et en fonction de ses relations, avec les instances nationales, il peut jouer un rôle de conseillé stratégique auprès de la Direction dans la lutte contre l’espionnage si l’entreprise y est exposée et contribuer à l’analyse des risques géopolitiques de l’entreprise.

Appuyer le Directeur Marketing ou commercial dans la protection des données clients

Souvent en avance sur les technologies mises en place par la Direction Informatique, la Direction Marketing investie dans de nouvelles fonctionnalités pour analyser l’activité des clients et prévoir les attentes des consommateurs au risque de choisir des solutions peu mature en cybersécurité. Cette Direction doit impérativement être responsables des choix de partenariats et se rapprocher du Directeur Cybersécurité pour appliquer les recommandations visant à bien protéger les données des clients et respecter la réglementation en vigueur.

Ne pas ignorer le rôle du Directeur Financier dans la protection de l’information

Autre acteur important pour la protection des données de l’entreprise, le Directeur Financier doit contribuer au financement[9] à la définition des ressources nécessaires aux projets qui permettront le contrôle et la diminution de la fraude autant que la fuite de données. Assisté par le Directeur Cybersécurité, il doit aussi éveiller les équipes comptables face aux risques d’usurpation d’identité pouvant mener à une fraude financière[10].

Soutenir le CEO (président ou Directeur Général) dans la résilience de l’entreprise

En charge des évolutions de l’entreprise et de la coordination des actions dans les différents domaines, il gère aussi avec son premier niveau de management, l’organisation des ressources qui assurent la pérennité de l’entreprise face aux risques/opportunités : compétiteurs, contrefaçon, partenariats, réglementation, …et cyber-attaque. Parmi les nombreuses responsabilités, il doit aussi être prêt à assurer la coordination de la cellule de crise ainsi que la communication interne et externe.

Le stress des experts cybersécurité[11] dans les entreprises (souvent appelés à tort RSSI) est plus élevé que la moyenne. En effet, si les responsabilités de la protection de l’information ne sont pas bien réparties entre tous les membres du Comité de Direction et leurs équipes respectives, il est évident qu’une seule personne soit surchargée mentalement, avec pour conséquence une mise en danger de l’entreprise. Le DRH est aujourd’hui un des acteurs qui peut permettre de changer la donne.

Dans nos prochaines chroniques, nous continuerons ce tour d’horizon de la responsabilité partagée de la protection de l’information dans l’entreprise, en étudiant les rôles majeurs de contrôle dans la gestion de l’information.

[1] Parfois les DRH n’ont pas le pouvoir de définir les meilleures organisations pour répondre aux enjeux de développement de l’entreprise et cette responsabilité revient alors aux directions métiers.

[2] En l’occurrence, les Administrateurs des Systèmes d’Information pour lesquels il est recommandé d’ajouter des clauses dans leur contrat de travail, des procédures de protection physique et électronique pour diminuer le risque de perte d’information

[3] Le darkweb est un territoire de non-droit, autorise la revente de propriété intellectuelle mal-acquise

[4] https://www.proofpoint.com/us/security-awareness/post/which-your-users-are-being-targeted-and-are-you-making-it-worse

[5] Suivant le rapport d’Eneid-Cesin https://www.cesin.fr/fonds-documentaire-la-maturite-des-dirigeants-en-cybersecurite-cle-de-la-protection-des-entreprises.html, l’évolution du n’est plus lié à celui de la DSI en 2021

[6] Par exemple, les données (ou les applications et services) peuvent-elles être globalement hébergées à l’extérieur de l’entreprise (XaaS) où plus précisément, en fonction de leur niveau de classification elles seront chiffrées pour être stockées en externe.

[7] Application de la Politique de Cybersécurité pour les données et applications à l’extérieur de l’entreprise

[8] Data Privacy Officer

[9] Comme indiqué par le Président de la République, à la hauteur de 5 à 10% des investissements informatiques

[10] la fraude au président ou Business Email Compromise (BEC) est le numéro deux dans le rang des valorisations financières acquises frauduleusement par les organisations cybercriminelles

[11] https://www.cesin.fr/fonds-documentaire-le-cesin-et-advens-revelent-les-resultats-dune-grande-enquete-inedite-sur-le-stress-des-responsables-cyber.html

Cookie	Durée	Description
mautic_device_id	1 year	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing. Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id	30 minutes	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie permet de connaître l’origine du visiteur.
mtc_id	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session

Cookie	Durée	Description
YSC	session	Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview	10 minutes	Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat	1 minute	Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID	6 months	This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
ARRAffinitySameSite	session	No description
attribution_user_id	1 year	No description
cg_uuid	1 year	Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
cilSessionId_e6aa0e1dbf	1 day	No description
cilSessionId_efcc418067	1 day	No description
cilSessionId_ffd7baf9a1	1 day	No description
cookielawinfo-checkbox-others	1 year	No description
PagePeeker		No description
recs_17b347eba0c893c4ff49a469be629e65	past	No description
scid	past	No description
sdx	past	No description
su_sdx	past	No description
su_sid	past	No description
su_user_id	past	No description
thirdparty	1 hour	No description
ubpv	6 months 1 day	No description
ubrs		No description
ubvs	5 months 27 days	No description
ubvt	3 days	No description
UID	2 years	No description

Les rubriques

Alliancy Connect

Contenu

[Chronique] La responsabilité partagée de la protection de l’information : le chantier majeur oublié des DRH