Les risques de fuites de données et les répercussions financières de plus en plus élevées des incidents de sécurité ont propulsé les stratégies de sécurité en tête des priorités des entreprises et en ont fait le principal sujet de discussion des conseils d’administration.
Toute atteinte à la sécurité peut avoir de graves conséquences, allant de la baisse de la valeur des actions et de la perte de contrats clients jusquà l’interruption de l’activité de l’entreprise ciblée. Le coût moyen d’une fuite de données a augmenté de 29 % depuis 2013, passant à près de 4 millions de d’euros par incident, et l’impact sur les résultats de l’entreprise peut être dévastateur. L’opérateur britannique TalkTalk a par exemple enregistré une baisse de plus de 50 % de ses bénéfices suite à l’attaque dont elle a été victime l’année dernière.
Si la cybersécurité a jusqu’ici été considérée comme la chasse gardée du département informatique (IT), il est temps aujourd’hui d’adopter une approche transverse plus collaborative. En première ligne, le service des ressources humaines a désormais un rôle clé à jouer dans l’accompagnement et le renforcement des stratégies de sécurité. L’établissement de canaux de communication entre les RH et le département informatique peut considérablement aider les entreprises à identifier et à gérer les risques. La stratégie de sécurité doit être définie au plus haut niveau de l’entreprise, puis mise en œuvre grâce aux efforts conjoints des services RH et IT.
Une approche collaborative
Alors que le département IT assure la protection, le contrôle et la gestion des données sensibles sur le réseau de l’entreprise, le « facteur humain » représente souvent le maillon faible de la sécurité informatique. Les cybercriminels empruntent généralement le chemin d’accès le plus court pour accéder à un système, ce qui explique pourquoi les pirates continuent de cibler les employés au moyen d’attaques d’ingénierie sociale. Il est en effet beaucoup plus facile de duper un utilisateur que de contourner des systèmes de sécurité. D’où la nécessité pour les entreprises de former leurs employés à être leur première ligne de défense.
Et les ressources humaines doivent s’approprier cette mission de formation des employés aux meilleures pratiques en matière de sécurité. Fort heureusement, elles disposent de moyens concrets pour appuyer les stratégies de sécurité informatiques, notamment :
La formation
En collaboration avec les équipes chargées de l’informatique et de la sécurité, les ressources humaines doivent dispenser des formations régulières à l’ensemble des employés sur les risques de sécurité, l’identification de menaces telles que les e-mails de phishing, et leurs responsabilités vis-à-vis de la protection des données. Pour une efficacité maximale, il est important que les programmes de formation soient parfaitement adaptés aux différents départements et fonctions métier, et définissent clairement les responsabilités de chacun concernant la gestion des informations sensibles. Informer les employés des risques de fuite de données découlant d’une mauvaise gestion des documents, des dispositifs de stockage USB et des partages de fichiers tiers, entre autres, est un exemple de formation utile soulignant le rôle des employés dans la prévention de la perte de données.
Sans ce type de formation, les données sensibles peuvent par inadvertance quitter l’entreprise. Rien de plus simple, en effet, que de laisser échapper des informations sensibles dans un long fil d’e-mails, dans les lignes masquées d’une feuille Excel ou encore dans les notes d’une présentation PowerPoint.
Les employés doivent en outre être formés aux modalités de notification et de suivi des cyber incidents, aux processus de communication et aux protocoles à respecter. Il convient de noter que la formation est un processus continu. Il s’agit d’une première étape, mais pas d’une fin en soi. Il est important de mettre en place les outils et processus nécessaires pour que les employés ne perdent pas de vue tous ces objectifs. Des outils tels que : l’envoi d’e-mails, la publication de bulletins d’information, l’organisation de cours de remise à niveau réguliers ou encore l’affichage de notes dans les espaces communs de l’entreprise.
Le contrôle des droits d’accès
Compte tenu de l’augmentation massive des volumes de données et de la multiplicité des terminaux professionnels, mettre en œuvre des contrôles autour des informations sensibles et empêcher la dispersion de ces dernières peut représenter un énorme défi. Les données circulent librement dans la plupart des entreprises. Elles sont constamment mises à jour, modifiées et déplacées.
Le département informatique est chargé d’analyser et de gérer les mouvements des données sensibles au sein de l’entreprise grâce à une surveillance proactive. Il peut, au besoin, supprimer ces informations des emplacements illégitimes ou en interdire l’accès aux utilisateurs non autorisés. Les ressources humaines jouent également un rôle essentiel en établissant des processus destinés à renforcer les pratiques en matière de sécurité informatique.
En collaboration avec le département IT, les RH doivent définir des processus de gestion des droits d’accès aux données sensibles, s’assurer que des contrôles appropriés sont en place et empêcher les employés d’accéder aux informations dont ils n’ont pas besoin. Elles peuvent aussi aider le département informatique à identifier les permissions qui n’ont pas été supprimées, ou les privilèges qui doivent être redéfinis, au niveau des départements ou des individus, notamment des sous-traitants ou des travailleurs temporaires. La mise en place de processus et de technologies permettant de gérer les droits d’accès et de les contrôler régulièrement pour pallier toute faille dans la sécurité est également à envisager.
Une coopération pleine et entière entre les ressources humaines et le département informatique est indispensable dans le déploiement d’initiatives aussi stratégiques que la gestion des identités et des accès. L’absence de collaboration interne est un écueil courant, qui peut engendrer des malentendus ou, au pire encore, complètement réduire à néant des projets.
En matière de sécurité, le départ des employés restera toujours le moment le plus critique à gérer. Les services RH et informatiques doivent travailler de concert pour s’assurer que les protocoles adéquats sont respectés en toutes circonstances, que ce soit lors de la restitution des terminaux, de la suppression des droits d’accès aux services ou encore de l’élimination des données d’entreprise sensibles qui pourraient avoir été laissées par inadvertance sur un terminal. Ceci est d’autant plus crucial à l’ère du BYOD (Bring Your Own Device) où la frontière entre les terminaux personnels et ceux de l’entreprise tend de plus en plus à s’estomper. L’implication des responsables RH dans la définition de politiques de protection des données revêt par conséquent une importance capitale. Une approche conjointe, allant de la formation à l’élaboration de stratégies BYOD, est essentielle à une époque où les cyber incidents peuvent coûter très cher.