TENDANCES IT
Les enjeux RH de la cyber sécurité en entreprise
PARTAGEZ L’ARTICLE SUR
La gestion des données des collaborateurs devient de plus en plus sensible depuis la multiplication des cyberattaques. La fonction RH doit rester vigilante et les SIRH doivent être renforcés en matière de sécurité informatique.
Les cyberattaques se sont multipliées de manière exponentielle ces dernières années, alors que le sujet n’était que très peu observé il y a cinq ans. Les organisations privées et publiques prennent vraiment conscience de l'importance de la cybersécurité au plus haut niveau et les entreprises investissent massivement pour prévenir et contrer les piratages. Selon une étude du cabinet d’analyse mondial Gartner, 40% des conseils d'administration auront un comité dédié à la cybersécurité et supervisé par un expert d’ici 2025.
Externalisation et expertise en cybercriminalité
Les pirates ou « hackers » mettent en danger en effet la sécurité du système informatique ou récupèrent illégalement les données confidentielles. Les opérations peuvent également être malveillantes pour entacher la réputation d’une organisation par le biais de diffusion de contenus illicites. Les RH sont particulièrement concernées dans la mesure où elles détiennent les informations qui touchent la vie professionnelle et personnelle du collaborateur (domicile, santé, diplômes obtenus, salaire, etc). Les SIRH sont interconnectés et souvent gérés par des prestataires extérieurs.
Prévenir, détecter, sauvegarder
Dans tous les appels d’offre, les entreprises exigent désormais que le prestataire ait recruté des profils spécialisés en cybercriminalité capables de garantir la sécurité des données sensibles des entreprises clientes. Il faut mettre sous contrôle la détection des cyberattaques et mettre en place des mesures techniques de sécurité préventives sur les infrastructures et sécuriser les réponses possibles en cas d’incident. L’intelligence artificielle nous aide à détecter les signaux faibles des attaques.
En 2013 Sopra HR est le premier à avoir obtenu l’approbation des autorités européennes de protection des données pour ses BCR (Binding Corporate Rules – Règles d’Entreprise Contraignantes). Les BCR garantissent la protection des données personnelles traitées par l’ensemble des filiales du Groupe pour l’ensemble de leurs activités, y compris celles effectuées pour le compte des clients. Le renforcement global de la sécurité des systèmes d’information a conduit récemment la plupart des grands prestataires de services RH et Paie à se conformer à la certification ISO 27001, délivrée par l’AFNOR, pour les services hébergés en cloud.
Même les grandes entreprises du secteur informatique peuvent être l’objet ou la cible d’une attaque informatique. Ces menaces nécessitent la mise en place effective des mesures de prévention et de détection, ainsi que les politiques appropriées de gestion des sauvegardes des données RH potentiellement concernées.
La course aux compétences
Les profils numériques avec une spécialité en cyberattaque sont très recherchés sur le marché du travail mondial. Les groupes de Hack proposent aussi des ‘offres d’emploi’. La sécurité des entreprises peut être mise à mal, surtout celle des petites structures qui n’ont pas les moyens d’embaucher ou de faire appel à ces spécialistes. L’Union européenne travaille actuellement sur la norme NIS2 (Network Information Security) qui va obliger les entreprises à renforcer encore leur cybersécurité... Déjà, la fonction RH a dû prendre en compte le RGPD dans le traitement des données des collaborateurs et a commencé à investir dans la formation et la préparation des collaborateurs. La réglementation relative à la cybersécurité sera de plus en plus exigeante.
Télétravail et sécurité informatique
Cela devient une nécessité accrue avec le développement du télétravail et des mobilités. Les systèmes d’information RH doivent déployer des outils sur les postes de travail au domicile des collaborateurs pour garantir la sécurité. Les appareils personnels des collaborateurs (mobiles, ordinateurs) peuvent par ailleurs être utilisés pour consulter des mails professionnels à distance, mais pas pour se connecter aux plateformes de l’entreprise.
La cybersécurité est donc également une affaire de la fonction RH, au-delà de la fonction IT, pour sécuriser les plateformes de traitement des données des collaborateurs, mais également pour sensibiliser ces derniers aux risques et pour intégrer au quotidien dans la gestion de leurs données et de leur messagerie, des outils mis à leur disposition et des gestes de vigilance préventifs.