Alliancy

Risques cyber : comment le DRH peut-il être exemplaire ?

Vous pensez que le DRH n’a pas grand-chose à voir avec la cybersécurité, si ce n’est peut-être de piloter les recrutements d’experts ? Et pourtant…. les bonnes pratiques RH et le facteur humain sont au cœur de l’anticipation des nouveaux risques, avant d’être une affaire de logiciels. Formations, données personnelles des collaborateurs… le DRH doit aujourd’hui être exemplaire sur la cyber. Explications.

« La Cyber, ça se joue en collectif. Car finalement, on n’est jamais plus fort que le plus faible de ses maillons. » La remarque est de Valérie de Saint-Père, co-fondatrice de l’école 2600, 100% dédiée à la cybersécurité, qui forme sur trois ans et en alternance.

En l’écoutant, on se demande évidemment qui est le maillon faible… En espérant qu’il ne s’agisse pas du DRH.

Car, et comme le souligne Anné Doré, secrétaire générale adjointe du Clusif et directrice générale d’Adhel, « les RH gèrent un grand nombre de données personnelles  (celles des employés), avec des processus largement numériques : visio-conférences dès le recrutement, nomadisme, solutions de partage de fichiers… »

Le DRH est-il certain d’avoir une bonne pratique cyber sur son propre périmètre ? D’autant que la Cyber croise le territoire de la conformité RGPD.

Responsabilité collégiale

Deuxième point soulevé par Anne Doré : la collaboration avec le Chief information security officier dans l’organisation, le directeur de la cybersécurité. « Ce partenariat devrait être évident : il devrait exister par défaut. Le challenge des CISO, est que la cyber est souvent perçue comme un risque technologique. Or, c’est un risque Métier. Aujourd’hui, une PME sur deux fait faillite dans les six mois qui suivent l’attaque. Une attaque cyber peut faire péricliter une entreprise. Quand vous voyez qu’une attaque cyber peut vous coûter votre entreprise , par défaut vous ne faites pas porter toute la responsabilité sur une seule personne. C’est un risque métier qui doit être géré par le Comex »

A lire aussi : [Chronique] La cybersécurité vectrice de la durabilité des entreprises

Les départs et arrivées, des moments critiques

Au quotidien, quand les collaborateurs évoluent dans l’entreprise, leur accès aux données et aux applications change lui aussi. Or, sans une parfaite coordination entre le DRH et le CISO (et même le DSI, selon les entreprises), le risque de sécurité augmente très fortement. Les accès aux comptes ouvrent autant de failles que les badges ou les clefs dans le monde physique.

En particulier, les départs (offboarding) constituent des étapes à haut risque. Un rapport récent de l’éditeur de logiciels de sécurité Kaspersky indique par exemple que seuls 40% des dirigeants de PME en France sont certains que leurs anciens employés ne peuvent plus accéder aux actifs numériques de leur entreprise.

Le recrutement et l’onboarding représente également une autre balise importante, peut-être plus facilement prise en compte en raison des enjeux métier qui lui sont associés : le nouveau collaborateur arrive, on est heureux et impatient de lui donner ses outil de travail, on peut penser plus facilement à la cybersécurité en lui expliquant règles et responsabilités.

Sur le terrain cependant, les entreprises sont assez loin de s’acquitter correctement de la tâche. C’est ainsi que des offres commencent à fleurir pour épauler sur la ligne de départ. La plupart du temps, elles sont cependant adressées aux CISO directement.

Cyrius est un chatbot qui propose par exemple un tel service de « coaching » spécialisé en cyber. Lancé en juin 2021 sur abonnement, il se présente comme un outil simple et efficace pour éduquer les entreprises et leurs employés aux enjeux de la cybersécurité. Son objectif est de « neutraliser le cyber risque humain ».

« Selon l’IBM et Ponemon Institute, 90% des failles en cybersécurité proviennent d’une erreur humaine », soulignent ses concepteurs.

Formation, sensibilisation, certification

Les DRH montent-ils tout de même au créneau ces dernières années ? Le niveau de maturité est supérieur dans les secteurs plus contraints d’un point de vue réglementaire, comme la banque et l’assurance. Chez AXA, notamment, la cyber a été sortie de l’IT pour être remontée au Comex, avec tous les effets en cascade que l’on imagine.

« Chez nous, le risque Cyber est positionné comme majeur, explique Capucine Raynaud, responsable Ressources Humaines en charge de la Direction Tech et Transfo d’AXA France. Il mobilise plusieurs directions. L’ensemble des membres du Comex ont eux-mêmes été formés et sensibilisés. Cette stratégie est ensuite déclinée à tous les niveaux : chaque nouveau collaborateur suit une formation obligatoire, y compris dans le cadre d’un CDD ou d’une alternance. »

Par la suite, les collaborateurs d’AXA sont régulièrement sensibilisés via des actions contre le phishing. En fonction de leur comportement face au risque, ils sont orientés vers tel ou tel module de formation complémentaire.

Pour recruter des profils cyber, Capucine Raynaud s’appuie sur l’externe (la cooptation notamment, ainsi que les relations avec les écoles), mais en raison de la rareté des profils, elle a également entrepris de former en interne des employés portés sur le sujet, comme certains développeurs.

« Nous avons mis en place des processus de certification qui valorisent nos collaborateurs et soulignent combien la cyber est clef pour l’entreprise. C’est tout sauf un métier poussiéreux ! »

Ces initiatives montrent comment l’on peut passer « d’une formation à une culture d’entreprise », comme le mentionne Anne Doré. « On a tendance à se focaliser sur les métiers techniques, n’oublions pas qu’aujourd’hui on recherche des juristes en Cyber, des avant-vente en Cyber… Et communiquons ! On n’explique pas la Cyber de la même façon à un directeur commercial et à un gestionnaire d’entrepôt dont les usages numérique sont différents. Le DRH comme et le CISO doivent ajuster les formations aux profils utilisateurs et ont encore des efforts à faire pour adapter leur communication. »

Choc des cultures

Dans le même esprit, Valérie de Saint-Père (Ecole 2600) explique qu’elle forme ses étudiants pour les rendre capables de communiquer avec leurs futurs collègues, malgré un probable « choc des cultures ».

« Ils ont des codes et des valeurs très fortes : la défense et la protection bien sûr, mais aussi le goût du défi, la passion du jeu et une curiosité insatiable, qui ne trouveront pas toujours d’écho dans leur environnement professionnel. Pour ne pas perdre cette précieuse énergie qui les anime, nous leur expliquons comment fonctionne l’entreprise – et comment il leur incombe d’aller à la rencontre des autres profils, pour partager et sensibiliser. Être un expert technique, ça ne suffit pas. Il faut aussi comprendre l’organisation des entreprises et le business. »

Ce travail pour favoriser le rapprochement des deux univers est essentiel pour faciliter la tâche des DRH, en ce qu’il contribue significativement à éviter la « fuite des cerveaux cyber », aux Etats-Unis notamment.

« Nous sommes une école de passionnés, ajoute Valérie de Saint-Père. Les étudiants sont parfois d’anciens hackers, en tout cas ils ont souvent commencé se former tout seuls. Ils viennent d’horizons très larges, il faut donc qu’on aille les chercher là où ils se trouvent : nous travaillons beaucoup sur la diversité et l’inclusion. » Une première forme de mixité en entrée d’école – qui sera suivie par un second brassage, au moment d’introduire les jeunes de la cyber dans les entreprises.

Clients et fournisseurs demandent des garanties

Chez LGM, société d’ingénierie, Florence Sérié est chargée de recrutement IT. Elle travaille main dans la main avec Maël Fleury, le responsable de la cybersécurité du groupe, qui a construit une équipe cyber à la mesure des enjeux de ses clients industriels et militaire.

« La cyber est devenue pour nous une grande priorité depuis un an et demi, explique Florence Sérié. C’est la DSI (40 collaborateurs) qui a pris la main sur le sujet. Nous avons fait évoluer le niveau de maturité de LGM, en termes d’outils bien sûr, mais aussi en termes de recrutement. Car les talents, c’est le nerf de la guerre. »

Florence Sérié dispose de plusieurs atouts pour recruter : les « très bons outils » cyber déjà choisis et achetés par LGM (là où d’autres entreprises en sont toujours au benchmark), les relations qu’elle noue avec les écoles, la valorisation de l’expertise en interne et la possibilité d’apprendre tout au long de sa carrière, et enfin le positionnement du groupe, très porté sur les activités de Défense militaire.

En parallèle, Maël Fleury s’attache à cultiver dans l’entreprise une posture cyber « by design », en amont de chaque projet. « La cyber, c’est une balance constante, entre restrictions et business, explique-t-il. Nous choisissons où placer le curseur et nous faisons en sorte de l’expliquer correctement à toute l’entreprise, grâce à des webinaires organisés tous les six mois. »

Ces efforts sont valorisés par les clients de LGM eux-mêmes, qui demandent de plus en plus de garanties sur les mesures prises en interne. Certains vont jusqu’à consulter les supports de formation. Une dimension très business, dont il faut tenir compte, au même titre que le sujet de l’assurance cyber, en pleine explosion.

Chez LGM, 2023 devrait être l’année de la formation obligatoire, après une période de sensibilisation recommandée, mais facultative. Elle ne sera sans doute pas la seule entreprise pour les mois à venir à mettre la mission RH au cœur de l’action contre les risques cyber croissants, à condition que les DRH prennent le sujet au sérieux.

Quitter la version mobile