Comment les DRH, cyber-cibles de choix, peuvent renforcer la sécurité des données en entreprise ?

Les Directions des Ressources humaines manipulent au quotidien des centaines de données sensibles. Bulletins de paie, arrêts maladie, CV, RIB… Autant d’informations qui constituent des mines d’or pour les cyber-attaquants. Entre analyse de risque et prise de conscience, ci-après, quelques conseils pour permettre à ces derniers de se protéger.

C’est une évidence, mais encore faut-il en prendre la mesure en termes de cybersécurité : par son positionnement au sein de l’organisation, la fonction RH occupe une place centrale, qui en fait également une cible de choix pour les cyber-attaquants. En effet, quelle que soit la taille de l’organisation, la direction des Ressources humaines se trouve au carrefour de nombreuses informations hautement sensibles. Éclairage des experts, Benoit Grunenwald, expert en cybersécurité chez ESET et Maitre Claire Poirson, avocate associée en Droit des Nouvelles Technologies chez BERSAY.

De nombreuses données sensibles transitent par les Directions des Ressources Humaines

Jugez plutôt : salaires, situations personnelles, maladies, arrêts de travail, mutuelles, déclarations de revenus… Nombreuses sont les données qui transitent par les RH, au croisement d’ailleurs des questions financières. Qu’il soit question d’une action de développement métier, d’une acquisition, de trouver de nouveaux talents ou encore de financer un plan de développement, les relations humaines se trouvent au cœur des projets d’expansion comme de restructuration. En réalité, la liste des données sensibles qui passent par les RH est longue et ces dernières suscitent l’intérêt des pirates informatiques. Elle ouvre en grand le champ des possibles, depuis la fraude aux prestations sociales jusqu’à la fraude bancaire.

Le télétravail a accru le risque numérique des DRH qui se doivent d'être vigilantes sur les outils à distance qu'elles mettent à la disposition de leurs collaborateurs.

D’où vient la menace ?

Les menaces peuvent être externes : rançongiciels, défaçages, attaques par déni de services ou fraude. Les attaques par déni de services auprès de sociétés françaises et européennes se sont par exemples multipliées depuis le début de la crise ukrainienne.
Les menaces sont souvent aussi internes. Le vol de données stratégiques pour l’entreprise peut ainsi provenir d’un cadre financier ou marketing peu diligent voire malveillant dans un contexte d’espionnage, concurrentiel ou de concurrence déloyale. Mais il existe également une autre menace que l’on oublie trop souvent : les sous-traitants qui peuvent parfois être le maillon faible de l’entreprise. En effet, le sous-traitant n’a pas forcément les mêmes process, les mêmes plans de sécurité, les mêmes plans de continuité ou de reprise d’activité que l’entreprise. Et c’est souvent par ce biais que le cyberattaquant va tenter de pénétrer le système.

Se prémunir par les procédures et la sensibilisation

Comment se prémunir de cette menace ? D’abord en agissant sur la sensibilisation des collaborateurs. Les DRH doivent mettre en place des réflexes, autour d'eux, afin que les salariés ne cèdent pas aux premières sollicitations venues. A l’ère de la généralisation du télétravail, sensibiliser les employés à la sécurité numérique par la communication de bonnes pratiques et inclure ces engagements au sein des documents sociaux sont devenus vitaux pour assurer une politique de sécurisation des données de l’entreprise.
On sait en effet que l’hameçonnage viendra le plus souvent par la messagerie. On sait également que les cyber-attaquants sont de plus en plus rusés, certains allant même jusqu’à user de deepfake vocaux – des outils d’intelligence artificielle usant la technique du clonage vocal afin de se faire passer au téléphone pour des décideurs de l’entreprise.
Il est important que les DRH sachent apprécier toute sollicitation, et se poser les bonnes questions avant d’agir : est-il normal que cette personne me demande d’effectuer telle action en oubliant au passage les procédures en vigueur ? Les DRH doivent prendre l’habitude de confirmer un ordre inhabituel, en appliquant des mesures convenues à l’avance, connues d'eux seuls. Pour faire face aux situations imprévues, ils doivent s'entraîner et tester les procédures pour les faire évoluer.

Se prémunir par la technique : l’anticipation et la simulation de cyber attaques

D’autres moyens de se prémunir sont de nature purement technique. Les DRH doivent tout d'abord protéger leur messagerie, car c’est bien à cet endroit que vont se déclencher les hameçonnages – d’autant plus que celles-ci sont de plus en plus collaboratives.
Il faut aussi penser également à activer des solutions de sécurité lors des visioconférences. Protéger aussi tous les outils qui sont, au sein de la direction RH, connectés et munis de disques durs. Il faut surtout penser aux imprimantes connectées et faire attention au parc de photocopieurs. Dans un cas comme dans l’autre, ces outils sont très utilisés pour faire circuler des informations sensibles – lettres de salariés, CV, bulletins de salaires, cartes d’identité...

Il est également conseillé de procéder en amont à un audit de l’existant. De quel type de données dispose la direction RH ? Quelle est la sensibilité de ces données ? La conformité à la réglementation sur les données personnelles a-t-elle été faite ? Quel engagement de sécurisation des données l’entreprise a-t-elle contracté avec ses sous-traitants et ses salariés ? Une charte IT et une charte télétravail ont-elles été implémentées dans l’entreprise à l’égard des salariés ? Quels sont les systèmes de sécurité qui sont d’ores et déjà en place dans l'entreprise ? Est-ce que l'entreprise a une cellule de sécurité suffisamment performante ? Est-ce que la direction générale met les moyens financiers suffisants pour assurer un plan de conformité et de résilience cyber ?

Il s’agit également de bien gérer les allées et venues entre les DRH et les salariés, voire avec les candidats qui se présentent à des postes. Attention notamment aux échanges de mails sensibles entre la messagerie professionnelle de l'équipe RH et celle, personnelle, d’un candidat : il n'est pas toujours certain que l’ordinateur de ce dernier ne soit pas infecté.

Il convient aussi de réfléchir à la mise en place d’une procédure dès lors qu’un candidat n’est pas retenu : combien de temps garder son CV au regard de la règlementation relative à la protection des données personnelles ? Faut-il placer ces données sur le Cloud ou sur un support déconnecté ? Sur ce point, il est conseillé aux DRH de réaliser un audit de conformité des données y compris personnelles pour mettre en place un plan de résilience cyber qui permettra de gérer toute crise et fuite de données le moment venu. D’ores et déjà, il est recommandé de réaliser le stockage de leurs données sur des outils « froids », c’est-à-dire hors du Cloud jusqu’à leur effacement.

Il est à présent clair que les données de la DRH, mais également les mouvements que celle-ci opére au sein de l'organisation, sont loin d’être anodins. Il est important de revisiter l’utilisation des outils comme des pratiques quotidiennes à l’aune des cyber-risques qui sont désormais largement présents. Réfléchir en termes de protection, y compris avec les équipes ou en transversalité avec la Directions des Systèmes d'Information : il y a certainement là quelques opportunités à protéger les données des employés ou futurs employés, et par la même occasion la « marque employeur ».


Article initialement publié par Benoit Grunemwald, expert en Cyber sécurité chez ESET France, et Claire Poirson, avocate associée IP-IT Data Protection chez Bersay.