Cybercriminalité et SIRH tour d’horizon d’un sujet qui en effraie plus d’un

La pandémie du Covid 19 a indéniablement renforcé la transformation digitale des entreprises. Face à la nécessité de préserver l’économie mondiale, bon nombre d’activités ont été largement supportées par le numérique, dans un contexte de télétravail généralisé. Cette hyper dépendance envers le numérique, qui ne cesse de s’accentuer, s’accompagne de risques croissants en matière de cybersécurité. Ces risques ne sont pas nouveaux mais les enjeux qui leur sont associés sont aujourd’hui décuplés.

La pandémie du Covid 19 a indéniablement renforcé la transformation digitale des entreprises. Face à la nécessité de préserver l’économie mondiale, bon nombre d’activités ont été largement supportées par le numérique, dans un contexte de télétravail généralisé.

Cette hyper dépendance envers le numérique, qui ne cesse de s’accentuer, s’accompagne de risques croissants en matière de cybersécurité. Ces risques ne sont pas nouveaux mais les enjeux qui leur sont associés sont aujourd’hui décuplés.

Rapide tour d’horizon des menaces et des actions préventives.

La cybercriminalité, une menace qui prend de l'ampleur

La cybercriminalité est aujourd’hui la fraude la plus fréquente à laquelle les entreprises françaises doivent faire face. En 2018, PWC avait estimé que les entreprises françaises étaient victimes en moyenne de 4550 incidents informatiques par an et le coût moyen des pertes liées à ces incidents s’élevait à 2,25 millions d’euros. (Consulter le dernier rapport complet).

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) indique avoir enregistré une hausse de 255% des signalements d’attaques majeures de type « rançongiciels » passant de 54 incidents majeurs en 2019 à 192 en 2020. Les cas les plus récents de l’actualité concernent plusieurs attaques informatiques ayant paralysé certains réseaux informatiques d’hôpitaux publics début 2021. (Consulter le rapport complet).

Au niveau mondial, une étude réalisée par McAfee, géant américain de logiciel spécialisé en sécurité informatique, et le groupe américain de réflexion Center for Strategic and International Studies (CSIS) fait état de chiffres vertigineux. Sur les 1500 entreprises ayant répondu à l’enquête ; deux tiers auraient connu un incident informatique lié à une cyberattaque. D’après cette même étude, le fardeau de la cybercriminalité aurait désormais un coût pour l’économie mondiale supérieur à 600 milliards de dollars par an. (Consulter le rapport complet).

Un autre rapport mené par Proofpoint, estime que 75% des personnes interrogées dans le monde ont déclaré que leurs entreprises avaient subi des attaques d’hameçonnage majeures en 2020 (Consulter le rapport State of Phish 2021).

S’il reste difficile d’évaluer l’ampleur globale du phénomène avec précision, la tendance est définitivement à la hausse. Aujourd’hui, les cybercriminels se professionnalisent et s’organisent davantage ; les attaques gagnent en complexité et l’inter-connectivité des structures informatiques entraîne des risques majeurs de désorganisation généralisée de l’entreprise.

La difficile transformation digitale des SIRH existants

Les solutions hégémoniques de Paie ou de Gestion des temps sont puissantes et robustes mais pêchent souvent par leur ergonomie. Pour autant, changer ces outils pour une question d’ergonomie est un pari risqué pour l’entreprise. Si, pour améliorer l’expérience utilisateur, il faut revoir toute l’application, on peut comprendre que les entreprises soient frileuses à s’engager dans la transformation digitale. Si cela suppose de toucher aux réglementaires de Paie, de GTA, revoir la confidentialité, … cela peut vite devenir un cauchemar.

La diversité des offres et des services proposés aux managers peut poser un autre problème en termes d’hétérogénéité. Quand un manager doit naviguer entre plusieurs applications pour répondre à ses interlocuteurs RH, finances ou achat, ses capacités d’apprentissage sont mises à rude épreuve, surtout pour ceux qui sont moins familiers avec ses nouvelles technologies.

Améliorer l’UX sans changer les moteurs de calcul ou diminuer le nombre d’applications est parfois compliqué. C’est un défi pour les DRH mais aussi un pari gagnant pour les utilisateurs et pour les entreprises.

Les SIRH et les données RH, une cible privilégiée

Le SIRH peut apparaître comme une mine d’or pour certains hackers. Les noms, dates, numéro de sécurité sociale, salaires et données bancaires des employés sont autant d’informations sensibles et confidentielles qu’un levier de pression idéal pour les pirates informatiques.

Les services RH sont également particulièrement exposés aux attaques informatiques du fait des usages RH nécessitant de nombreux « échanges de données et de documents externes au réseau informatique de l’entreprise » (Cegid, 2017).

Du fait de la position centrale du SIRH dans l’architecture informatique d’une organisation, de la richesse et de la sensibilité des données qu’il couvre ; il est primordial de protéger ce qui pourrait devenir l’eldorado de la donnée sensible pour les cybercriminels.

À titre d’exemples, on recense d’importantes attaques impliquant le SIRH ou le vol de données RH de grandes entreprises au cours des dernières années. C’est le cas notamment de Citrix (2019), General Electric (en, 2020 avec le vol de données RH de près de 280 000 anciens et présents employés) ou plus récemment l’enseigne de supermarché américain Kroger en février 2021. En France, plusieurs entreprises sont victimes sur l’année 2017, du rançongiciel Petya qui utilisait par exemple de faux e-mails de candidatures pour infiltrer les systèmes informatiques des entreprises. Ces attaques entraîne généralement de forts préjudices financiers, des blocages généralisés durables et/ou d’importantes atteintes à la réputation des entreprises.

Si le risque zéro n’existe pas dans le secteur de la cybersécurité, un certain nombre de pratiques peuvent être mises en place pour limiter le risque d’incidents.

Quelques éléments de rappels concernant les bonnes pratiques

Privilégier un SIRH en mode « SaaS » ?

Opter pour un éditeur spécialisé offrant une solution de type SaaS peut être un élément limitant les risques liés à la sécurité. En effet, les éditeurs SIRH disposent de fortes contraintes réglementaires en matière de confidentialités et de sécurités des données.

Les éditeurs SIRH bénéficient à la fois de système de sécurité « built-in » à leurs solutions mais aussi d’un ensemble de procédures protégeant les bases de données.

En cas d’attaque, il arrive bien souvent que les services SaaS ne soient pas impactés grâce à l’externalisation des serveurs et le fonctionnement de solutions en îlot.

Un écosystème de solutions additionnelles existe et connaît une forte croissance récemment. Ces solutions peuvent aider la protection de vos données dans le cloud et renforcer la lutte contre la cybercriminalité. C’est le cas par exemple de CipherCloud ou de Onapsis (SAP endorsed App) dont l’intégration est facilitée pour SAP Successfactors, Oracle ou Workday. Elles permettent, entre autres, de gagner en visibilité sur les erreurs de configuration, les vulnérabilités présentes, les problèmes d’accès aux données sensibles en offrant un audit continuel sur l’état des risques cyber de votre système.

La sécurité SIRH doit être évidemment intégrée et en accord avec la stratégie de sécurité IT établie à l’échelle de l’organisation. Il convient pour chaque entreprise de respecter certaines bases en matière de sécurité informatique.

Attribution des droits d’accès :

L’entreprise génère une quantité très importante de données sensibles. La complexité organisationnelle de certaines entreprises rend difficile la gestion des permissions et accès à certaines ressources. Toutefois, il est primordial de limiter certains accès et de contrôler l’ensemble des permissions attribuées aux salariés. Sans toutefois tomber dans la paranoïa du qui a le « droit d’en connaître », il est important de veiller sur la localisation de certaines informations, les droits conférés et le niveau de sécurité qui leur sont associés.

Mise en place de coffre-fort numériques :

La plupart des solutions du marché répondent à de fortes normes en termes de sécurité et permettent l’archivage de documents sensibles dans des conditions d’hygiène numérique forte. Ces solutions possèdent également un processus de traçabilité des actions performant. Adopter ce type de solution, au-delà des bénéfices notables en matière de dématérialisation RH, est également un bon moyen de renforcer sa politique de lutte contre la cybercriminalité.

Politique de mot de passe forte :

De nos jours, il est impératif de proposer une politique forte de sécurisation des mots de passe en rendant obligatoire des pratiques telles que l’authentification à deux facteurs ou le changement régulier des mots de passe. Un niveau de sécurité fort requis pour le choix des mots de passe devrait aussi être obligatoire.

Solutions de déconnexion automatique :

De même, il est judicieux d’opter pour des solutions de timeout des sessions inactives sur la plupart de vos solutions, logiciels et autres.

Exercices et audits réguliers :

Bon nombre d’entreprises ne réalisent pas qu’elles sont en train de se faire attaquer, ou ne s’en rendent compte que bien trop tard. Ainsi il est bénéfique, si vous en avez la possibilité, d’organiser régulièrement des audits de système, audits de maturité, faire des tests d’intrusion (« pentest »), voire d’installer des solutions logicielles visant à détecter les potentielles intrusions.

Réaction face à l’urgence et résilience :

Le risque zéro n’existe pas en matière de sécurité. Ainsi, se doter d’une stratégie de gestion de l’urgence cas d’attaques fait également partie des éléments essentiels à disposer au sein d’une entreprise.

Trois plans importants sont à mettre en place.

Plan de continuité d’activité (PCA) : Lors d’une attaque, ce plan permettra à vos fonctions cœurs de continuer à fonctionner.
Plan de reprise d’activité (PRA) : Une fois l’activité arrêtée, un ensemble de conditions doivent être réunies pour reprendre l’activité en toute sécurité.
Plan de sauvegarde et réplication : Il est réalisé continuellement, de manière incrémentale et régulière. Ce plan permettra d’avoir une sauvegarde des serveurs de l’entreprise, laquelle pourra être réutilisée en cas d’attaque. Ce plan requiert souvent l’utilisation d’un serveur isolé dont la sécurité est renforcée.

Politique de formation généralisée :

Les professionnels RH ont aujourd’hui une part croissante à jouer dans la protection informatique en proposant notamment une politique de formation sur les bons usages des outils numériques et la prévention contre la cybercriminalité. L’ensemble des spécialistes est unanime, le facteur humain est responsable d’une large majorité des cyber-attaques. Chaque entreprise doit donc aujourd’hui proposer une formation obligatoire sur ces sujets sensibles. Il est à souligner également qu’avec le passage en urgence au télétravail généralisé durant la crise du coronavirus, bon nombre d’entreprises ont sous-estimé les impacts de cette nouvelle organisation du travail sur la sécurité informatique.

D’après Loïc Guezo, Directeur de la stratégie cybersécurité chez Proofpoint, seulement 40% des organisations auraient formé leurs salariés aux pratiques de sécurité dans de telles conditions.

Si les entreprises et les responsables de la sécurité informatique réalisent un travail considérable de prévention et de défense, bon nombre d’incidents peuvent provenir de l’erreur humaine et de négligences de la part des employés. Retrouvez ci-dessous un guide des bonnes pratiques admises pour l’employé.

Adoptez et conservez les bons réflexes.

Déconnectez-vous systématiquement du réseau et de vos sessions lorsque vous êtes inactifs.
Attachez une importance particulière à vos clés USB et autres outils de stockage pouvant être facilement égaré, volé ou vérolé.
Restez attentif aux courriels, liens et pièce jointe que vous recevez. Faites preuve d’esprit critique !
Diversifiez vos mots de passe et assurez-vous d’utiliser des mots de passe à la sécurité forte.
Dans la mesure du possible, n’utilisez pas votre ordinateur professionnel pour un usage personnel, et réciproquement.
Vérifiez le nom du programme avant de valider chaque installation
Conservez vos firewall et anti-virus à jour.
Travaillez dans des endroits adaptés dotés d’une connexion Wi-Fi sécurisée.
Ne partagez aucune information, adresse mail ou noms d’utilisateurs sans connaître votre utilisateur. Ne partagez jamais vos mots de passe.
Respectez les bonnes pratiques et les consignes données par votre entreprise

Conclusion

Si la transformation digitale apporte son lot important de bénéfices ; elle s’accompagne aussi de nouveaux risques dont la fréquence effraie.

La lutte contre la cybercriminalité a démarré il y a bien longtemps mais il semblerait que les enjeux lui étant associés deviennent de plus en plus importants, à mesure que la société renforce sa dépendance envers les outils numériques.

Cette menace dépasse les simples utilisateurs et entreprises ; les États et organisations internationales sont désormais largement impliqués pour mettre en place des systèmes de défense et endiguer le phénomène. En témoigne la création récente du « Campus Cyber » par le président Emmanuel Macron : plus d’un milliard d’euros seront alloués à ce projet d’ici 2025 afin de souder un écosystème d’acteurs spécialisés, permettant le renforcement de la cybersécurité du pays.

SIRH, Transformation digitale

Luc Pansu

Consultant AMOA SIRH

Temoignages

“IRH a fait preuve d’une bonne réactivité sur les nouvelles demandes pour l’identification et la mise à dispo des ressources et le profil proposé était tout à fait conforme au besoin.”

"Les intervenants sont très qualifiés et disponibles. Les prestations ont répondu au plus près de notre besoin initial en respectant le budget et le timing prévus. L’équipe d’IRH nous a permis de gérer la mise en place d’Employee Central Success Factors de façon beaucoup plus sereine"

"IRH nous accompagne depuis plus d'un an dans notre projet de transformation digitale RH, au travers d'une équipe dynamique, engagée et ayant un grand sens du service client"

"Il a toujours été très agréable de travailler avec les collaborateurs d’IRH. Ils ont toujours été aimables et ont fait preuve de professionalisme et de rigueur".

Suivez nos actus

Posts recents

Prendre RDV

MENU

CABINET DE PARIS

CABINET DE LAUSANNE

Copyright © 2023 IRH by ACT-ON GROUP All rights reserved.

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.

Necessary

Toujours activé

Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Others