#NEWS

29/11/2016

La DRH est l’artisan de la cyber-sécurité

De plus en plus d’entreprises sont confrontées à des risques nouveaux à l’intérieur même de leur organisation : acte de malveillance, piratage de données, utilisation abusive de droits dans un système d’information… La DRH doit être au coeur de la gouvernance de ce cyber-risque. Explications avec Jean-François Faye, directeur industriel chez Verlingue.

 
personnel1

Interview | revue Personnel

 

Quelles sont les statistiques des cyberrisques dont vous disposez ?

 

Dans son enquête 2016, le World Forum Economic place le cyber risque sur le podium des risques majeurs. Le coût pour l’économie mondiale des cyber-attaques est évalué à 445 milliards de dollars, dont 3 milliards pour la France. D’ici à 2020, il pourrait s’élever autour de 2000 milliards de dollars à cause d’une accélération des cyber-attaques, soit une multiplication par cinq de l’impact en moins de cinq ans. Le risque principal vient de l’intérieur : une autre étude d’IBM Sécurity indique que 60 % des attaques proviennent des collaborateurs, anciens salariés ou fournisseurs.

 

Comment expliquez-vous que la principale menace ne soit pas liée à la technique ?

 

Dans les années 90, Richard de Courcy, un canadien, définissait le système d’information comme un ensemble organisé de ressources qui permet de collecter, stocker, traiter et distribuer de l’information, composé de deux sous-systèmes, l’un social, donc humain et l’autre technique. Les gens se font de fausses idées sur les cyber-risques. Tous les analystes s’accordent à dire que même avec le meilleur système au monde, s’il n’est pas paramétré correctement, il existe un danger dont les failles sont humaines. Une part importante du cyber-risque provient de l’intérieur même de l’organisation. C’est pourquoi le DRH doit être au coeur de la gouvernance du cyber risque.

 

N’est-ce pas plutôt un sujet qui concerne la direction générale, voire la direction juridique plutôt que le DRH ?

 

Vous avez raison, le cyber risque concerne toute la direction générale, à commencer par le DG et le comité de direction. La cyber-sécurité est une chaîne et la solidité de celle-ci dépend de son maillon le plus faible.

Il faut donc mobiliser beaucoup de fonctions dans l’entreprise : le service juridique, la DSI, les opérationnels, les managers mais aussi la DRH, qui est la co-architecte de la cyber-stratégie mais aussi l’artisan de la cyber-sécurité.

 

Quels sont les principaux risques qui menacent les entreprises ?

 

On peut penser par exemple, à l’utilisation abusive des droits dans le système d’information, de l’extraction d’information à caractère commercial ou personnel pour la révéler au public ou bien la vendre à des concurrents, de la part des collaborateurs ou des prestataires mécontents qui veulent chercher à nuire à l’entreprise. En juin dernier, nous apprenions qu’une mutuelle de fonctionnaires était victime d’une cyberattaque. Un salarié avait utilisé à des fins inappropriées les droits dont il disposait. Ainsi, les données personnelles de nombreux policiers ont été diffusées sur Internet. Aujourd’hui, un salarié mécontent peut décider de se venger envers son employeur avec des moyens d’actions simples et pas plus compliqués que le téléchargement d’un fichier. Avec la digitalisation, une entreprise n’est pas à l’abri d’un acte de malveillance, de sabotage, d’espionnage, d’extorsion et de piratage. Ces attaques concernent aujourd’hui 13 % de PME et 26 % d’ETI.

 

Quels sont les impacts pour une entreprise victime d’une cyber-attaque ?

 

L’entreprise peut être fragilisée non seulement dans le mois qui suit la cyber-attaque mais aussi dans les années à venir : sa réputation via une campagne médiatique peut être atteinte, elle peut subir des pertes commerciales, avoir son système de production endommagé durablement, elle peut être touchée d’un point de vue réglementaire et vis-à-vis de sa clientèle.

 

Que doit faire une entreprise face à cette menace ?

 

Le point de départ de toute action est de définir une politique de sécurité en construisant un référentiel. Car, selon le secteur d’activité, agroalimentaire ou bancaire, par exemple, l’entreprise n’est pas confrontée au même type de risque. L’entreprise doit aussi monter une organisation sécurité, en intégrant toutes les composantes comme la gestion du risque. Il faut qu’elle mette en oeuvre une gouvernance qui rassemble tous ses métiers, puis définir un plan de sécurité souvent basé sur un audit, avec des formations ciblées et un plan de continuité de l’activité en cas d’occurrence du risque. Il faut donc allouer des moyens humains et financiers.

 

Concrètement que conseillez-vous comme plan d’action pour la DRH ?

 

La gestion des droits représente un des maillons essentiels à la sécurité. Il faut d’abord mettre en place une procédure des arrivées et départs. En effet, il est courant qu’un an après son départ de l’entreprise, le salarié conserve encore au moins trois droits d’accès dans le système d’information.

Dans un grand nombre de cas, les droits ne sont pas supprimés.

Et lors d’une mobilité, on ajoute de nouveaux droits, sans supprimer les anciens. Il n’existe pas de barrière d’accès à l’information à la bonne personne alors qu’il s’agit uniquement de process sans complexité de mise en oeuvre. Il faut aussi former et sensibiliser les collaborateurs sur ces sujets.

 

Quel est le regard des entreprises envers ce problème de cyber-attaque ?

 

Les entreprises commencent à s’en préoccuper. Je constate un début de prise de conscience. Désormais chez Verlingue, les DRH nous questionnent au-delà de l’assurance de personnes.

Mais c’est encore un sujet à faible maturité. Il faut pourtant commencer à se mobiliser car le règlement européen sur la protection des données sera applicable au printemps 2018 et la sécurité devra être renforcée dans les entreprises.

 

Sylvie Aghabachian | Revue Personnel | Novembre – Décembre 2016

 

enseigner-les-rh_review_image1