Notre chroniqueuse Anne Doré continue d’analyser le rôle que chaque poste de l’entreprise peut jouer pour assurer la cybersécurité de tous, avec ce mois-ci un focus sur les RH.

A l’ère du numérique où la cybersécurité est avant tout considérée comme un enjeu technologique, le facteur humain joue dans 90 % des cas d’attaque. Or, nombre d’analystes considèrent le facteur humain comme le maillon faible de la chaine de protection cyber sécurité. 

A lire aussi : [Chronique] Cyber : Peut-on faire de nos entreprises françaises des championnes de la gestion de crise ?

Cette faiblesse résulte de la méconnaissance du risque cyber, de l’absence de bonnes pratiques ou du non-respect par les utilisateurs des règles d’hygiène de base tel l’usage de mots de passe ‘simplistes’.

Si les collaborateurs peuvent être les victimes d’une cyberattaque, ils peuvent aussi être des acteurs, des défenseurs. Leur vigilance, l’application de bonnes pratiques peuvent considérablement renforcer la cybersécurité de l’entreprise.

Or, il est de la mission même des Ressources humaines – RH – de faire en sorte que les collaborateurs contribuent à la performance, l’évolution et la pérennité de l’entreprise. Il s’avère donc que face aux enjeux cybersécurité, les RH ont un rôle critique et permanent à jouer dans la gestion du risque cyber des entreprises ; le 1er de leurs rôles est probablement de veiller à la protection des données sensibles.

Le RH, l’acteur indispensable dans le dispositif de protection des données

Toutes les entreprises, quelle que soit leur taille, ont pour dénominateur commun de gérer les données sensibles de leurs collaborateurs : numéros de sécurité sociale, dates de naissance, détails bancaires pour n’en nommer que quelques-uns. 

Il appartient donc au DRH de travailler en collaboration étroite avec le CISO pour veiller à la cyber protection et cyber résilience des SIRH, de l’organisation et des processus associés. La gouvernance des données des collaborateurs et l’accès à ces données doit être stricte et restrictive. Ainsi, seule le / la responsable de la paie peut accéder aux rémunérations des collaborateurs. Les droits et accès sont propres à chaque collaborateur RH selon sa fonction et ses responsabilités.

Cette règle s’applique d’ailleurs à l’ensemble des collaborateurs de l’entreprise. Les RH jouent donc un rôle déterminant dans la gestion des accès des données pour l’ensemble des collaborateurs. Elles doivent collaborer avec les équipes informatiques et métier pour la définition des droits d’accès selon les profils, la séniorité ou les compétences. L’attribution, la modification ou suppression de droits évolue au gré des changements de poste du collaborateur, depuis son intégration, à son départ de la société ou lors d’absence prolongée. A noter que la cybersécurité et les accès physiques étant corrélés, ces règles de gestion des accès s’appliquent aussi aux accès physiques.

Ces bonnes pratiques constituent les fondamentaux même de la protection des données et de la cyber résilience. Cependant, l’implication des RH dans la cybersécurité ne peut se cantonner à ce rôle. 

En effet les RH doivent aider le CISO à faire de la cybersécurité l’affaire de tous !

Intégrer la cybersécurité dans la culture d’entreprise

Développer la culture d’entreprise est dans la mission même des RH or la culture d’entreprise peut se définir comme un ensemble de connaissances et de valeurs communes fédérant l’ensemble des salariés d’une même organisation. En termes de cybersécurité, les pratiques et convictions communes coordonnent les efforts des salariés et constituent un mécanisme informel de contrôle. Cela revient à ancrer les bonnes pratiques cybersécurité dans le comportement des collaborateurs qui peuvent, le cas échéant, se corriger et se contrôler et éviter les attaques par phishing.

Le savoir-faire des RH pour réaliser des plans de communication, formation ou sensibilisation est déterminant. En effet, si l’ensemble des collaborateurs sans exception et notamment les dirigeants en qualité de rôle modèle – doivent appliquer les règles de bonne conduite formulées dans la Politique des Systèmes d’Information, le plan de sensibilisation doit être ciblé par métier, rôle ou fonction. Ainsi les dirigeants, commerciaux se déplaçant beaucoup ou les collaborateurs travaillant en R&D sur les projets stratégiques feront l’objet de formations spécifiques visant à accroitre leur vigilance et le respect des bonnes pratiques lors de déplacements ou négociations. 

Le facteur humain se décline aussi par la capacité de l’entreprise à attirer ou former des profils internes ou externes ayant des compétences pour gérer et piloter le risque cyber. Or, le manque de compétence est tel qu’il doit obliger RH et CISO à être créatifs pour répondre aux besoins de l’entreprise. Cette créativité peut amener à remettre en cause un certain nombre d’idées préconçues vs le profil attendu et à mettre en œuvre une approche disruptive car inclusive pour attirer des profils diversifiés. 

Intégrer la cybersécurité dans la culture d’entreprise consiste donc à positionner l’humain au cœur de sa cybersécurité en rappelant à chacun son rôle et sa responsabilité.

Face aux menaces cyber, la priorité est donc plus que jamais d’améliorer avec détermination non seulement la résilience des systèmes d’information, mais aussi la résilience humaine.

Les RH en étroite collaboration avec le CISO et l’ensemble des dirigeants ont donc pour mission d’intégrer la cybersécurité dans la culture de l’entreprise et de veiller à ce que l’entreprise puisse se doter des compétences et talents requis pour gérer ce nouveau risque métier. 

Pour ce faire, les RH doivent avoir une stratégie, une approche volontariste et pérenne pour contribuer à la construction d’une organisation cyber résiliente. Leur rôle pour mettre l’humain au cœur du dispositif cybersécurité et renforcer la cyber résilience des entreprises est déterminant.

L’implication requise et indispensable des RH dans la stratégie cybersécurité de l’entreprise démontre une nouvelle fois que la cybersécurité requiert une approche transversale au sein de l’entreprise.