La fonction RH s’éveille lentement aux enjeux de la cybersécurité
Une faille informatique coûte en moyenne 100 000 francs aux PME romandes. Les directions générales sont encore peu préparées à ces risques. Voici une feuille de route pour la fonction RH.
Photo : iStock
Les entreprises n’aiment pas en parler en public malgré les attaques de plus en plus nombreuses dont elles sont victime. La transformation numérique de notre économie augmente les risques de cyberattaques. Selon Eduardo Geraldi, responsable de la cybersécurité chez Cisel Security, une PME romande sur deux aurait déjà subi un dommage informatique (lire aussi l’interview en page 20), avec un coût moyen d’environ 100 000 francs. Mais ces cas sont souvent dissimulés au grand public pour éviter d’ajouter à ce prix un dégât d’image encore plus important.
Selon Cyrille Reyard, expert en gestion des risques et président de l’association Oprisko*, qui a mené une étude sur la cybercriminalité en Suisse romande en 2017, «les entreprises sous-estiment la dimension stratégique de la cybersécurité». Il estime également que le sujet va prendre de l’ampleur ces prochaines années, vu que «la collaboration entre l’humain et l’intelligence artificielle ne va qu’augmenter». Dans ce contexte, être en mesure d’identifier les risques et de reprendre la main en cas de panne généralisée du système devient un enjeu RH stratégique.
Phishing et ransomeware
Aujourd’hui, les attaques les plus courantes sont les cryptages de données. Les hackers s’introduisent dans le système informatique de l’entreprise par un «phishing», soit un hameçonnage par e-mail, et cryptent l’ensemble des données de l’organisation. La direction doit ensuite payer une rançon pour récupérer ses données. Ces cas de ransomeware seraient de plus en plus courants en Suisse romande.
Si les grandes entreprises – et particulièrement les établissements bancaires – sont des cibles privilégiées (puisqu’ils détiennent un énorme patrimoine de données), les petites sociétés sont de plus en plus vulnérables. Selon le Verizon 2018 Data Breach Investigation Report – une étude américaine – 58% des victimes d’attaques seraient des petites entreprises.
Cette croissance du risque de cyberattaque s’explique notamment par la difficulté à identifier les auteurs et les retombées financières très élevées qu’ils en retirent. Selon une étude conduite en 2016, les cyberattaques auraient rapporté plus de 445 milliards de dollars à leurs auteurs.
Selon Paul Such, CEO de Hacknowledge SA à Préverenges (canton de Vaud), société spécialisée dans la sécurité informatique, les principaux risques pour une PME romande sont la confidentialité (vols de documents confidentiels, listes de clients ou mots de passe par exemple); la disponibilité (mise hors service d’un site web ou d’un réseau de téléphonie); la traçabilité (ne pas être en mesure de comprendre l’historique de l’attaque) et enfin les dégâts d’image.
Manipulation des comptables
En plus de ces attaques technologiques, on constate une augmentation des vols par manipulation. Cette méthode, dite d’ingénierie sociale (comme par exemple l’arnaque du président), consiste à utiliser les données volées à l’entreprise (organigramme, numéros de téléphone) pour encourager un collaborateur à verser une somme d’argent sur un compte bancaire. Typiquement, le service comptable reçoit un faux courrier, suivi d’une fausse confirmation par SMS, créant ainsi un scénario qui a l’air vraisemblable (l’achat imminent d’une autre société par exemple). Les montants dérobés sont souvent très importants (un million de francs dans un cas).
Malgré tous ces risques, le tissu économique romand semble encore relativement peu préparé. Selon une étude de PwC (audit et de conseil), seulement 37% des sociétés suisses auraient un plan concret en cas d’attaque ou de paralysie des systèmes informatiques. Dans l’étude Oprisko citée plus haut, on lit que «l’état de préparation des sociétés suisses n’est pas satisfaisant. Seules les infrastructures critiques (télécommunication, transport, énergie, financière, etc..) ont mis les investissements requis en «compétences humaines et techniques». A noter aussi qu’une entreprise met environ 100 jours pour réaliser qu’elle a été victime d’une attaque.
Formation et sensibilisation
Comment donc se prémunir contre tous ces risques et quel dispositif RH faut-il mettre en place? Paul Such conseille de commencer par mener un audit de sécurité. «Cela vous permettra d’avoir une vue d’ensemble de vos risques et d’adapter la politique de sécurité aux besoins de l’entreprise. Ensuite, je conseille de mettre sur pied un plan de formation pour tous les collaborateurs.»
Selon Cyrille Reynard, le rôle de la fonction RH est «d’identifier les compétences qui vont pouvoir accompagner la direction opérationnelle sur ces sujets». Il précise que cette ressource peut être un partenaire externe. Il ajoute: «Il y a également un gros travail de formation/sensibilisation à mener auprès des collaborateurs et de toutes les parties prenantes de l’entreprise.»
Ce travail d’information et de formation est la priorité numéro 1 selon tous les experts interviewés pour ce dossier. Paul Such: «C’est la responsabilité du DRH de mettre tout le monde au courant de la politique de sécurité. Ce travail d’onboarding est important. Chaque collaborateur doit prendre conscience des règles et se responsabiliser. Cette formation devrait également être récurrente, avec des vaccins de rappel tous les ans.» Aujourd’hui, ces formations se font de plus en plus en e-learning et de manière ludique.
Screening des candidats
Le deuxième axe prioritaire est le screening des candidats à l’entrée. En 2018, selon les chiffres de la société de screening Aequivalent à Yverdonles-Bains, «7% des dossiers de candidature comportaient de fausses déclarations ou des points de non-conformité». Mais ces vérifications s’opèrent avec plus ou moins de détail, selon le secteur d’activité (ils sont très répandus dans la banque) et la fonction (les administrateurs systèmes par exemple). Paul Such recommande d’être vigilant sans pour autant «investir les gros moyens». Il dit: «Une simple prise de recommandation donne beaucoup d’informations.» En Suisse, demander un extrait du casier judiciaire et une attestation de non-poursuite est une pratique courante.
Les experts interrogés s’accordent aussi sur le fait que cette prise de conscience doit émaner de la direction générale. «Ce n’est pas juste le travail de l’équipe IT. Cela doit être porté par le top management», assure Paul Such.
Protection des données
La cybersécurité est enfin intimement liée aux enjeux de la protection des données. Selon Cyrille Reynard, «les RH sont en possession de données très sensibles. A eux de s’assurer que ces données soient protégées et que le dispositif soit conforme aux exigences légales en termes de protection des données.» L’avocat Matthieu Jaccard, spécialiste de ces questions, recommande de diminuer le nombre de données sensibles, afin de répondre aux exigences légales en termes de RGPD (Règlement général sur la protection des données au niveau européen) mais aussi pour réduire le nombre de données qui pourraient être volées par un hacker.