Cybersécurité RH : protégez votre entreprise

par La rédaction

À l’heure du confinement et du télétravail en masse, la cybersécurité des entreprises peut s’en retrouver d’autant plus vulnérable. La grande part des communications intra entreprise désormais effectuée à distance a davantage élargi la brèche exploitée par les hackers depuis bien des années. En effet, les hackers font leur marché dans les trous de communications créés par un manque de proximité et l’isolement exposés par le télétravail. Les RH peuvent équiper chaque salarié à faire rempart contre les cyberattaques.

 

Comprendre la cybersécurité en entreprise

Toute direction des systèmes informatiques (DSI) en atteste, il existe de multiples précautions techniques pour sécuriser le patrimoine numérique de l’entreprise (un routeur avec pare-feu à plusieurs niveaux, une option de déni de service (DoS), un antivirus à la détection de malware multi-couche). En revanche, ces précautions, liées à l’aspect purement technologique, restent inefficaces sans la prévention des risques de cybersécurité provoqués par les salariés.

En effet, profitant des modes de travail à distance, certains hackers se concentrent sur l’humain plutôt que la machine pour soutirer des informations de valeur. La 5ème édition du baromètre annuel du CESIN menée auprès de Responsables Sécurité des Systèmes d’Information (RSSI) des grands groupes français a révélé que 79% des entreprises répondantes ont été victimes de phishing en 2019. Cette méthode aussi appelée hameçonnage, souvent sous forme de mail, consiste à se servir de fraude d’identité et de manipulation pour obtenir des informations confidentielles.

En deuxième position se trouve “l’arnaque au Président” (47%). Ce mode opératoire vise les PME et grandes entreprises ayant une activité internationale. Ici, la victime reçoit un mail ou un appel de quelqu’un se faisant passer pour un membre décisionnaire, ce dernier demande de procéder au paiement urgent d’une facture tout en faisant la mise en lien avec une adresse ressemblant à celle de comptabilité d’une entreprise prestataire. Le caractère pressant de la demande peut suffire pour inciter la victime à procéder au virement. Ensuite, se placent l’exploitation des vulnérabilités du système informatique (43%) et l’ingénierie sociale (35%). Ces attaques visent l’usurpation d’identité (35%), ensuite de l’infection des systèmes par un malware (34%), de vol de données personnelles (26%) et enfin l’infection par un ransomware qui prend le système en otage (25%).

 

Les différents modes de cybercriminalité en entreprise

Les RH sont responsables de la confidentialité des données, les plaçant parmi les cibles idéales pour les hackers. Voici quelques formes de cyberattaque à apprendre à repérer :

  • Un courriel frauduleux de la part d’un expéditeur inconnu demandant l’accès à un document, la gestion de droits du logiciel SIRH, de fournir des données personnelles ou encore des coordonnées bancaires. 
  • Des fausses mises à jour de logiciel qui pointent vers un lien. Consultez les notifications directement dans l’interface du logiciel avant de cliquer.
  • Une prise de contact suspecte demandant des informations confidentielles. Une vérification de l’adresse mail peut donner des indices sur l’expéditeur (ordre de lettres inversées, ponctuation). Dans le doute, tournez-vous vers la direction des services informatiques. 
  • Les faux documents de travail produits par un logiciel malveillant. Profitant du mode collaboratif de partage de documents de travail en ligne, les hackers se sont eux-mêmes inspirés de ce mode opératoire. Vous recevez un mail vous invitant à rejoindre un document de travail, puis dans ce même document vous serez invité à partager des informations ou encore à cliquer sur un lien. 

 

Les cyberattaques profitent des points faibles humains

Dans leur vie personnelle, les collaborateurs savent pour la plupart repérer un courriel non sollicité ou une arnaque en ligne. Mais les choses se compliquent dans le contexte du travail où les demandes sont nombreuses et souvent à caractère urgent. Le télétravail constitue une aubaine pour le piratage informatique. Un rappel à la vigilance des salariés et des bons réflexes n’est pas de trop.

La cybersécurité pour les salariés

  • Autoriser la mise à jour automatique des logiciels de sécurité afin de ne rater aucun renforcement de protection. 
  • Mettre en place le chiffrement intégral du disque sur les ordinateurs, tablettes et smartphones professionnels des salariés pour se prémunir contre les vols physiques de machines. 
  • Interdiction pour le reste du foyer de se servir des machines de travail. Chaque salarié doit utiliser un mot de passe inconnu des proches en se servant d’un générateur de mot de passe par exemple. 
  • Activer le verrouillage de l’écran après un temps d’inactivité court. Ceci dissuadera les enfants et les autres membres de la famille de se servir de l’ordinateur quand le salarié s’absente pour une courte pause sans éteindre son matériel informatique.
  • Si le collaborateur dispose d’objets connectés à commande vocale comme Alexa ou Siri dans le foyer, il sera judicieux de les débrancher lors des appels de travail à caractère confidentiel. 
  • Enjoindre les départements sensibles comme la comptabilité, l’administration et les ressources humaines de vérifier l’identité de l’auteur d’un mail avant de répondre ou de cliquer sur des liens. Dans le doute, passer un simple appel pour vérifier la demande de vive voix peut éviter bien des dégâts. 
  • Signaler les arnaques avérées ou les appels malveillants à la DSI. 

Pas tous les collaborateurs auront le même niveau de connaissance des comportements de cybersécurité à adopter. Dans un premier temps, les RH en collaboration avec la DSI peuvent évaluer le degré de connaissance des enjeux de cybersécurité parmi les collaborateurs. Ensuite, il sera question d’élaborer une stratégie de sensibilisation aux risques de cyberattaque, en fonction des connaissances ainsi que le risque que le métier du collaborateur présente. Un médiateur numérique saura proposer une session d’initiation à la cybersécurité pour tous les salariés, car la cybersécurité en entreprise est l’affaire de tous. Les hackers suivent souvent la logique du maillon faible. Ainsi à l’inverse, plus les salariés seront avertis, plus ils pourront participer à la cybersécurité de l’entreprise de part leurs bonnes pratiques et leur vigilance.

L’équipe de myRHline

Articles RH relatifs

Laisser un commentaire