Les Directions des Ressources humaines manipulent au quotidien des centaines de données sensibles. Bulletins de paie, arrêts maladie, CV, RIB… Autant d’informations qui constituent des mines d’or pour les cyber-attaquants. Entre analyse de risque et prise de conscience, ci-après, quelques conseils pour vous protéger.
C’est une évidence, mais encore faut-il en prendre la mesure en termes de cybersécurité : par son positionnement au sein de l’organisation, la fonction RH occupe une place centrale, qui en fait également une cible de choix pour les cyber-attaquants. En effet, quelle que soit la taille de l’organisation, la direction des Ressources humaines se trouve au carrefour de nombreuses informations hautement sensibles. Éclairage de nos experts, Benoit Grunenwald, expert en cybersécurité chez ESET et Maitre Claire Poirson, avocate associée en Droit des Nouvelles Technologies chez BERSAY.
De nombreuses données sensibles transitent par la DRH
Jugez plutôt : salaires, situations personnelles, maladies, arrêts de travail, mutuelles, déclarations de revenus… Nombreuses sont les données qui transitent par les RH, au croisement d’ailleurs des questions financières.
Qu’il soit question d’une action de développement métier, d’une acquisition, de trouver de nouveaux talents ou encore de financer un plan de développement, les relations humaines se trouvent au cœur des projets d’expansion comme de restructuration.
En réalité, la liste des données sensibles qui passent par les RH est longue et ces dernières suscitent l’intérêt des pirates informatiques. Elle ouvre en grand le champ des possibles, depuis la fraude aux prestations sociales jusqu’à la fraude bancaire.
Le télétravail a accru le risque numérique des DRH qui se doivent d'être vigilantes sur les outils à distance qu'elles mettent à la disposition de leurs collaborateurs.
D’où vient la menace ?
Les menaces peuvent être externes : rançongiciels, défaçages, attaques par déni de services ou fraude. Les attaques par déni de services auprès de sociétés françaises et européennes se sont par exemples multipliées depuis le début de la crise ukrainienne.
Les menaces sont souvent aussi internes. Le vol de données stratégiques pour l’entreprise peut ainsi provenir d’un cadre financier ou marketing peu diligent voire malveillant dans un contexte d’espionnage, concurrentiel ou de concurrence déloyale.
Mais il existe également une autre menace que l’on oublie trop souvent : les sous-traitants qui peuvent parfois être le maillon faible de l’entreprise. En effet, le sous-traitant n’a pas forcément les mêmes process, les mêmes plans de sécurité, les mêmes plans de continuation ou de reprise d’activité que l’entreprise. Et c’est souvent par ce biais que le cyberattaquant va tenter de pénétrer le système.
Se prémunir par les procédures et la sensibilisation
Comment se prémunir de cette menace ? D’abord en agissant sur la sensibilisation des collaborateurs.
DRH, mettez en place des réflexes, autour de vous, afin que les salariés ne cèdent pas aux premières sollicitations venues. A l’ère de la généralisation du télétravail, sensibiliser les employés à la sécurité numérique par la communication de bonnes pratiques et inclure ces engagements au sein des documents sociaux sont devenus vitaux pour assurer une politique de sécurisation des données de l’entreprise.
Nous savons en effet que l’hameçonnage viendra le plus souvent par la messagerie. Nous savons également que les cyber-attaquants sont de plus en plus rusés, certains allant même jusqu’à user de deepfake vocaux – des outils d’intelligence artificielle usant la technique du clonage vocal afin de se faire passer au téléphone pour des décideurs de l’entreprise.
Sachez donc apprécier toute sollicitation, et posez-vous les bonnes questions avant d’agir : est-il normal que cette personne me demande d’effectuer telle action en oubliant au passage les procédures en vigueur ? Prenez l’habitude de confirmer un ordre inhabituel, en appliquant des mesures convenues à l’avance, connues de vous seuls. Pour faire face aux situations imprévues, entrainez-vous et testez les procédures pour les faire évoluer.
Se prémunir par la technique : l’anticipation et la simulation de cyber attaques
D’autres moyens de se prémunir sont de nature purement technique.
Protégez d’abord votre messagerie, car c’est bien à cet endroit que vont se déclencher les hameçonnages – d’autant plus que celles-ci sont de plus en plus collaboratives.
Pensez également à activer des solutions de sécurité lors de vos visioconférences.
Protégez encore tous les outils qui sont, au sein de votre direction RH, connectés et munis de disques durs. Avez-vous pensé à vos imprimantes connectées ? Avez-vous fait attention à votre parc de photocopieurs ? Dans un cas comme dans l’autre, ces outils sont très utilisés pour faire circuler des informations sensibles – lettres de salariés, CV, bulletins de salaires, cartes d’identité…
Il est également conseillé de procéder en amont à un audit de l’existant. De quel type de données disposez-vous ? Lesquelles traitez-vous ? Quelle est la sensibilité de ces données ? La conformité à la réglementation sur les données personnelles a-t-elle été faite ? Quel engagement de sécurisation des données l’entreprise a-t-elle contracté avec ses sous-traitants et ses salariés ? Une charte IT et une charte télétravail ont-elles été implémentées dans l’entreprise à l’égard des salariés ? Quels sont les systèmes de sécurité qui sont d’ores et déjà en place dans votre entreprise ? Est-ce que vous avez une cellule de sécurité suffisamment performante ? Est-ce que votre direction générale met les moyens financiers suffisants pour assurer un plan de conformité et de résilience cyber ?
Il s’agit également de bien gérer les allées et venues entre les DRH et les salariés, voire avec les candidats qui se présentent à des postes. Attention notamment aux échanges de mails sensibles entre votre messagerie et celle, personnelle, d’un candidat : vous n’êtes pas du tout certain que l’ordinateur de ce dernier ne soit pas infecté.
Réfléchissez également à la mise en place d’une procédure dès lors qu’un candidat n’est pas retenu : combien de temps garder son CV au regard de la règlementation relative à la protection des données personnelles (le fameux RGPD) ? Faut-il placer ces données sur le Cloud ou sur un support déconnecté ? Sur ce point, nous conseillons aux DRH de réaliser un audit de conformité des données y compris personnelles pour mettre en place un plan de résilience cyber qui permettra de gérer toute crise et fuite de données le moment venu. D’ores et déjà, nous recommandons de réaliser le stockage de leurs données sur des outils « froids », c’est-à-dire hors du Cloud jusqu’à leur effacement.
DRH, vous l’aurez compris : vos données, mais également les mouvements que vous opérez au sein de votre organisation, sont loin d’être anodins. Revisitez l’utilisation de vos outils comme vos pratiques quotidiennes à l’aune des cyber-risques qui sont désormais largement présents. Réfléchissez en termes de protection, y-compris avec vos équipes ou en transversalité avec votre DSI : il y a certainement là quelques opportunités à protéger les données de vos employés ou futurs employés, et par la même occasion votre « marque employeur ».
Claire Poirson
Avocate associée
IP-IT Data Protection
Bersay
...
Benoit Grunemwald
Expert en Cyber sécurité,
ESET France