Michel Juvin, expert de la sécurité et de la transformation

Fort de plus de 35 ans d’expérience dans le monde de l’informatique, Michel Juvin a été DSI puis Chief Information Security Officier (CISO), notamment dans des entreprises comme Lafarge ou Chanel. Il porte un regard profondément stratégique sur des sujets aussi divers que la propriété intellectuelle, les mécanismes de contrôles internes des entreprises, la sensibilisation aux enjeux de protection de l’information ou encore plus généralement sur la place prise par la technologie dans les organisations.

Dans cette chronique, il partage les notes prises à l’occasion de ses expériences et de ses rencontres, et ses réflexions sur les questions structurantes mais souvent inexprimées, qui pèsent sur les organisations.

Retrouvez les derniers articles de cette chronique :
Voir tous les articles

[Chronique] La responsabilité partagée de la protection de l’information : le chantier majeur oublié des DRH

Alors que les entreprises se transforment fortement sous l’influence du numérique, de plus en plus de collaborateurs souhaitent privilégier un environnement où des standards de sécurité, des contrôles par des personnes responsables leur donnent confiance. En effet, la confiance dans les données et les applications n’est possible que si un ensemble de personnes intègre dans leur gestion quotidienne de l’information des actions de protection, de contrôle et de supervision de la qualité, de l’intégrité et de la confidentialité des données ; les outils technologiques ne suffisent pas.

 

Une chronique réalisée dans le cadre du programme Numérique en pratique et la co-construction du guide pratique « Nouveau monde du travail : quelles priorités pour les DRH ?» disponible en téléchargement

En quoi ce sujet est-il un chantier pour les DRH ?

Responsabilité partagée de la protection de l’information L’organisation en ressources humaines de l’entreprise, souvent de la responsabilité des DRH, doit répartir la protection de l’information auprès des différents Managers représentés au Comité de Direction. Ces responsables peuvent être soit à plein temps, soit en temps partiel, soit encore contracté avec un partenaire externe… mais toutes ces fonctions (décrites ci-après) doivent être représentées.

Malheureusement, on constate régulièrement que des Comités de Direction nomment un Responsable de la protection de l’information imaginant qu’à lui seul, et parfois sans ressources et sans sponsor, l’entreprise sera protégée des organisations cybercriminelles. C’est une erreur d’organisation des ressources qui ne peut que décevoir les deux parties : le Comité de Direction et l’expert Cybersécurité. Or, la répartition des responsabilités en matière de cybersécurité dans l’organisation est bien sous la responsabilité du Directeur des Ressources Humaines[1] avec l’assistance du Directeur Cybersécurité.

Cette répartition concerne trois axes complémentaires :

  1. Le rôle de cyber-protection des données de tous les employés et leur management,
  2. Le rôle des employés en charge du contrôle et l’application des procédures de protection des données,
  3. Le rôle de l’équipe informatique en charge de la gestion des services et de l’hébergement des données.

A lire aussi : [Chronique] Les RH, acteurs et stratèges de la cybersécurité

Nous nous concentrerons ici sur le premier des axes et les remises en question qu’il implique pour les DRH.

Comment le DRH peut-il développer les rôles et responsabilités de cyber-protection des données de tous les employés et leur management ?

Il n’existe pas d’employé qui ne manipule pas d’information dans l’entreprise, et donc, chacun en produit ou met à jour des données et les transmet en utilisant les solutions proposées par la Direction Informatique. Toutes les personnes de l’entreprise doivent donc jouer un rôle dans la protection de l’information qu’ils manipulent. Cependant, certain ayant accès à des données sensibles, doivent impérativement appliquer les recommandations de protection de l’information définies dans la Politique de Cybersécurité ; laquelle est validée par la Direction de l’entreprise. Quoiqu’il en soit, le DRH a une responsabilité qu’il doit assurer en propre, mais aussi une responsabilité dans le développement des rôles des autres fonctions dans l’entreprise.

Le rôle du Directeur des Ressources Humaines dans la protection de l’information

Lui aussi est un acteur très important dans la protection des informations, au-delà de la simple rémunération des employés et de leur formation, il est surtout en charge de vérifier qui est autorisé à entrer physiquement et logiquement dans l’entreprise et ses systèmes d’information. Il est souhaitable que les DRH aient aussi la responsabilité de savoir quelles ressources sont en charge de quelle fonction et vérifier qu’il n’y a pas d’incompatibilité pouvant amener à des fraudes financières de la part des employés (cas de non-respect des séparation de fonctions par exemple).

Cela diminuera les risques de pertes ou fuites d’information en mettant en place une gestion stricte des droits d’accès aux Systèmes d’Information ou encore en renforçant les contrats de travail de ceux qui ont des responsabilités importantes[2] dans l’entreprise.

Il n’est pas impossible d’ailleurs que pour renforcer la responsabilité de chacun dans la protection de l’information, des modifications de la description des rôles (voir des objectifs annuels), ou encore, des formations pour les fonctions clefs citées ci-dessous soient mises en place.

Intégrer les actions de protection de l’information dans les métiers de production de l’entreprise

Que ce soit pendant les phases de conception (couvrant le domaine de la recherche et du développement) à la fabrication en interne (ou via la sous-traitance), l’information accompagne toutes ces phases et, individuellement tous les employés contribuent à la chaîne de production. Il est donc essentiel que l’information soit préservée (intègre) pour permettre la vente d’un produit de qualité (et non plagié par exemple). L’ensemble des employés doivent être attentifs et vigilent quant aux sollicitations malveillantes qui peuvent avoir pour objectif, soit le vol d’argent, de données ou de propriété intellectuelle pour une revente à terme sur le black-market[3]. La notion de VAP[4] (Very Attacked People) est intéressante car elle permet de rechercher qui dans l’entreprise peut être une cible d’une organisation cybercriminelle car celle-ci devra bénéficier d’un service de protection spécifique par l’équipe support (ou le SOC s’il y en a un).

Redéfinir le rôle du Directeur des Achats dans la protection de l’information

En coopération avec le Directeur Juridique, le DSI et le Directeur Cybersécurité, le Directeur des Achats définit une politique d’achat de prestations de sous-traitance et de services qui soit conforme aux budgets[5]. De plus, cette politique a pour objectif d’identifier les services qui pourront être achetés à l’extérieur de l’entreprise Vs ceux qui devront rester gérés par les équipes de la DSI en interne[6]. Cette procédure a pour but de diminuer les risques de fraude, de fuite ou perte d’information et de conserver l’intégrité et la conformité réglementaire des données.

Cette procédure s’appuiera sur un questionnaire ou une certification que le fournisseur présentera avant la signature du contrat qui devra être inclus dans celui-ci tout comme la définition de la confidentialité, du niveau de service de la non-diffusion des informations et de la réversibilité. L’objectif de cette procédure est de garantir que les données gérées par un partenaire suivent les recommandations de la politique Cybersécurité[7] définie en interne. Enfin, l’équipe IT s’assurera de l’intégrité des données une fois le contrat opérationnel pour éviter les attaques de type « supply-chain » (malware inclus dans le logiciel contracté).

Accompagner le rôle du Directeur Juridique dans la protection de l’information

En plus de son rôle de relecteur des conditions juridiques de conformité des solutions achetées, de rédacteur de contrat de partenariat, de la protection contractuelle de la propriété intellectuelle et de la lutte contre la contrefaçon, il est aussi l’acteur majeur de la conformité réglementaire notamment vis-à-vis de la protection des données à caractère personnel. Il est d’ailleurs souhaitable compte tenu de l’importance de la rédaction des politiques de cette réglementation que le DPO[8] soit un juriste. Pour mémoire, le DPO doit jouer un rôle de contrôle alors que celui qui coordonne les actions de cartographie et monitoring est le Directeur Cybersécurité. Enfin, le Directeur juridique s’assure de la protection du nom de l’entreprise et des produits contre la contrefaçon ainsi que la protection des noms de domaines de l’entreprise sur Internet.

Se coordonner avec le Directeur Safety / Sécurité dans la protection des données à caractère personnel

Principalement en charge de l’autorisation d’accès et de la protection physique des employés, Le Directeur Sécurité sélectionne des solutions numériques respectant la Politique de Cybersécurité avant leur installation dans les SI de l’entreprise. Par ailleurs et en fonction de ses relations, avec les instances nationales, il peut jouer un rôle de conseillé stratégique auprès de la Direction dans la lutte contre l’espionnage si l’entreprise y est exposée et contribuer à l’analyse des risques géopolitiques de l’entreprise.

Appuyer le Directeur Marketing ou commercial dans la protection des données clients

Souvent en avance sur les technologies mises en place par la Direction Informatique, la Direction Marketing investie dans de nouvelles fonctionnalités pour analyser l’activité des clients et prévoir les attentes des consommateurs au risque de choisir des solutions peu mature en cybersécurité. Cette Direction doit impérativement être responsables des choix de partenariats et se rapprocher du Directeur Cybersécurité pour appliquer les recommandations visant à bien protéger les données des clients et respecter la réglementation en vigueur.

Ne pas ignorer le rôle du Directeur Financier dans la protection de l’information

Autre acteur important pour la protection des données de l’entreprise, le Directeur Financier doit contribuer au financement[9] à la définition des ressources nécessaires aux projets qui permettront le contrôle et la diminution de la fraude autant que la fuite de données. Assisté par le Directeur Cybersécurité, il doit aussi éveiller les équipes comptables face aux risques d’usurpation d’identité pouvant mener à une fraude financière[10].

Soutenir le CEO (président ou Directeur Général) dans la résilience de l’entreprise

En charge des évolutions de l’entreprise et de la coordination des actions dans les différents domaines, il gère aussi avec son premier niveau de management, l’organisation des ressources qui assurent la pérennité de l’entreprise face aux risques/opportunités : compétiteurs, contrefaçon, partenariats, réglementation, …et cyber-attaque. Parmi les nombreuses responsabilités, il doit aussi être prêt à assurer la coordination de la cellule de crise ainsi que la communication interne et externe.

Le stress des experts cybersécurité[11] dans les entreprises (souvent appelés à tort RSSI) est plus élevé que la moyenne. En effet, si les responsabilités de la protection de l’information ne sont pas bien réparties entre tous les membres du Comité de Direction et leurs équipes respectives, il est évident qu’une seule personne soit surchargée mentalement, avec pour conséquence une mise en danger de l’entreprise. Le DRH est aujourd’hui un des acteurs qui peut permettre de changer la donne.

Dans nos prochaines chroniques, nous continuerons ce tour d’horizon de la responsabilité partagée de la protection de l’information dans l’entreprise, en étudiant les rôles majeurs de contrôle dans la gestion de l’information.

[1] Parfois les DRH n’ont pas le pouvoir de définir les meilleures organisations pour répondre aux enjeux de développement de l’entreprise et cette responsabilité revient alors aux directions métiers.

[2] En l’occurrence, les Administrateurs des Systèmes d’Information pour lesquels il est recommandé d’ajouter des clauses dans leur contrat de travail, des procédures de protection physique et électronique pour diminuer le risque de perte d’information

[3] Le darkweb est un territoire de non-droit, autorise la revente de propriété intellectuelle mal-acquise

[4] https://www.proofpoint.com/us/security-awareness/post/which-your-users-are-being-targeted-and-are-you-making-it-worse

[5] Suivant le rapport d’Eneid-Cesin https://www.cesin.fr/fonds-documentaire-la-maturite-des-dirigeants-en-cybersecurite-cle-de-la-protection-des-entreprises.html, l’évolution du n’est plus lié à celui de la DSI en 2021

[6] Par exemple, les données (ou les applications et services) peuvent-elles être globalement hébergées à l’extérieur de l’entreprise (XaaS) où plus précisément, en fonction de leur niveau de classification elles seront chiffrées pour être stockées en externe.

[7] Application de la Politique de Cybersécurité pour les données et applications à l’extérieur de l’entreprise

[8] Data Privacy Officer

[9] Comme indiqué par le Président de la République, à la hauteur de 5 à 10% des investissements informatiques

[10] la fraude au président ou Business Email Compromise (BEC) est le numéro deux dans le rang des valorisations financières acquises frauduleusement par les organisations cybercriminelles

[11] https://www.cesin.fr/fonds-documentaire-le-cesin-et-advens-revelent-les-resultats-dune-grande-enquete-inedite-sur-le-stress-des-responsables-cyber.html


Commenter

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *