Cybersécurité

Quel rôle pour les RH dans la gestion de la cybersécurité?

Une étude de la chaire RHO de l’Université de Fribourg a été menée, avec le soutien de CISEL Informatique SA, sur les enjeux de la cybersécurité pour la fonction RH. Cette étude repose sur des entretiens semi-structurés et un focus group avec des experts des domaines informatique, RH et juridique.

Les cyberattaques représentent une menace importante pour les organisations: un dispositif malveillant peut amener un simple clic individuel à avoir des conséquences dramatiques pour l’image ou les finances de toute une organisation. Alors que traditionnellement la cybersécurité a tendance à être perçue comme une question purement technique réservée au service informatique, notre étude en rappelle les enjeux humains et propose une répartition efficace des tâches (entre RH, direction et service informatique) pour gérer au mieux ce sujet aux multiples facettes.

Les tâches du CISO

La gestion des aspects techniques liés à la cybersécurité relève des responsabilités du Chief Information Security Officer (CISO). Le CISO s’occupe notamment de l’administration des droits d’accès, des contrôles informatiques internes et externes, ainsi que de tout ce qui touche spécifiquement au domaine informatique. Cependant, les experts ont rappelé que les tâches du CISO peuvent également concerner les comportements humains, avec par exemple la création de contenus de sensibilisation destinés à toute l’entreprise, l’élaboration de politiques, directives et chartes de sécurité de l’information et l’évaluation des risques. En l’absence de CISO, le Chief Information Officer (CIO) ou, selon l’appellation francophone, directeur des systèmes d’information (DSI), est en charge de la sécurité de l’information. Les experts indiquent que les CISO et CIO sont également tenus de gérer la conformité légale du stockage et de la gestion des données, sans pour autant en porter la responsabilité – qui incombe à la direction.

Les tâches du responsable RH

L’engagement de la fonction RH s’avère crucial pour assurer la cybersécurité. Qu’il s’agisse de malveillance, de crédulité ou encore de maladresse, les collaborateurs se retrouvent bien souvent être la principale source de cyber-incidents. Les experts de notre étude ont identifié cinq tâches de la fonction RH sur les questions de cybersécurité.

  1. Screening: selon les experts, les RH devraient toujours effectuer un screening des futurs employés, afin de s’assurer de leur absence d’antécédents, particulièrement pour les positions stratégiques et les fonctions dont le cahier des charges inclut le traitement de données sensibles. Cette étape peut être poussée jusqu’à la demande de preuves tangibles de l’honnêteté du collaborateur, telles qu’un extrait des poursuites et du casier judiciaire.
  2. Description de fonction et gestion des accès: selon les experts, un autre rôle fondamental du service RH est sa capacité à définir adéquatement les rôles et responsabilités de chaque collaborateur afin que le service informatique puisse attribuer les droits d’accès informatiques et physiques. D’après les spécialistes, ce rôle est crucial puisque des droits d’accès mal définis peuvent avoir de lourdes conséquences, en particulier si le collaborateur est animé d’un sentiment de vengeance envers l’entreprise.
  3. Contribution à l’élaboration de politiques de sécurité de l’information: les experts mentionnent également l’importance de la contribution des responsables ressources humaines à l’élaboration de politiques et chartes en collaboration avec les services informatique et juridique. La politique de sécurité de l’information est un document indispensable pour dessiner les lignes directrices et la gouvernance de la sécurité. Selon les experts, la fonction RH se doit de prendre part activement à son élaboration afin de couvrir tous les cyber-risques et de définir les sanctions en cas de non-respect des règles. En outre, ces documents doivent également comporter une dimension pédagogique pour informer et sensibiliser les collaborateurs.
  4. Sensibilisation des collaborateurs et gestion de la formation: les experts relèvent le rôle clé de la fonction RH dans la prise de conscience collective de l’importance de la cybersécurité. A ce titre, la thématique doit être abordée de manière régulière autant auprès de la direction que des collaborateurs, notamment via des campagnes de sensibilisation ou des formations. Les experts estiment que c’est au service informatique ou à un partenaire externe d’en définir le contenu et aux RH de s’assurer que ces formations soient diffusées dans l’entreprise de manière adéquate et régulière. La compréhension et l’intégration des compétences des collaborateurs en matière de cybersécurité sont également de la responsabilité du service RH. Il peut s’avérer utile d’effectuer des contrôles réguliers avec des tests de phishing ou encore des jeux de rôle pour évaluer les compétences et l’esprit critique des collaborateurs.
  5. Gestion de la conformité légale des données RH: finalement, les spécialistes ont insisté sur le fait que le service RH est également concerné par la protection des données puisqu’il gère des données qualifiées de sensibles selon la loi suisse sur la protection des données (LPD). En collaboration avec le service informatique, le service RH doit donc s’assurer de la protection adéquate de ces données. Le contexte réglementaire actuel oblige les organisations à redoubler de vigilance. En effet, le non-respect du règlement européen sur la protection des données (RGPD) peut occasionner des amendes très lourdes (voir encadré ci-contre). Pour les entreprises, la cybersécurité et la protection de leurs données et celles de leurs clients apparaît donc comme une priorité.

Le rôle incontournable de la direction et de la ligne

Comme pour tout type de projet, le soutien de la direction et de l’ensemble de l’encadrement est indispensable pour assurer la cybersécurité. Les experts insistent sur le rôle quotidien des managers comme relais et vecteurs de la culture d’entreprise: la cybersécurité est un enjeu de culture pour les entreprises, les bonnes pratiques doivent devenir des routines quotidiennes, tout en restant évolutives. En effet, le caractère dynamique des menaces auxquelles sont confrontées les organisations oblige les entreprises à devoir renouveler sans cesse leurs routines de cybersécurité. La direction, outre l’octroi de ressources nécessaires, doit aussi assurer la légitimité des questions de cybersécurité. Une politique de communication permanente, émanent de la direction, est un facteur de succès important pour sensibiliser les membres de l’organisation. De manière très pragmatique, la direction peut être facile à convaincre, c’est elle qui endosse la responsabilité légale du stockage et de la sécurisation des données.

commenter 0 commentaires HR Cosmos

Aline Burri, Bertrand Audrin, Eric Davoine, Chaire RHO, Université de Fribourg, www.unifr.ch/rho

Plus d'articles de Collectif d'auteurs