Dans le cadre du nouveau règlement sur la sécurité des données personnelles (RGPD), Disruptif RH s’est interrogé sur les menaces qui pèsent spécifiquement sur les ressources humaines. Au-delà de l’aspect règlementaire, les DRH ont-ils conscience que cette nouvelle législation n’est pas seulement une contrainte supplémentaire, mais un accompagnement des entreprises par la puissance publique pour les sensibiliser à la cybersécurité ? Notre part pris a donc été d’analyser plus en profondeur ces nouveaux risques…

Des RH menacés par la structure du réseau trop concentré

La structure du réseau internet est par essence problématique : en effet la gestion des noms de domaines et l’infrastructure technique sur laquelle il repose sont gérées par l’ICANN, structure de droit privé californien à but non lucratif. Elle gère en effet un maillage de 13 serveurs racines qui sont l’incarnation physique du réseau et contrôle par conséquent les voies de communication digitales … Suite à l’affaire Snowden les Etats-Unis ont d’ailleurs annoncé en 2013 un élargissement de sa gouvernance à la communauté internationale.

Cette centralisation du web concentre les risques et rend difficile tout contrôle par les autres pays utilisateurs. Le risque est de voir des informations sensibles (données stratégiques ou données personnelles) échapper à leur propriétaire, être tronquées ou disparaître … Et il ne s’agit plus aujourd’hui de science fiction !

Des cyber attaques qui se multiplient et touchent toutes les composantes de l’entreprise

Ainsi l’espionnage économique a pris une nouvelle ampleur qu’une étude récente de l’institut d’études Ponemon permet de mettre en perspective. Cette enquête menées auprès de 567 grands groupes aux Etats-Unis révèle que 43% d’entre eux reconnaissent avoir subi des “pertes” de données de grande ampleur…

De nombreux exemples d’entreprises victimes font régulièrement la une des journaux. Ce fut le cas du spécialiste mondial de la gestion de base de données, Oracle, qui a poursuivi en justice en mars 2007 son concurrent SAP au motif qu’il aurait pillé son centre de support clients avant de télécharger des milliers de copies de son code logiciel propriétaire. Et cet exemple n’est pas isolé comme l’illustre un rapport d’une quinzaine de pages du contre espionnage britannique publié en janvier 2011 et qui recense les tentatives conduites par Pékin pour pénétrer les systèmes d’information des entreprises qui l’intéressent. Des clés USB publicitaires ou des appareils photo numériques sont ainsi offerts lors de salons professionnels à des collaborateurs de la firme que l’on souhaite infiltrer. Avec contamination par un Cheval de Troie à la clé qui permettra de contrôler le PC ou de surveiller l’ordinateur du salarié et pourquoi pas du DRH.

Des types d’attaques plus divers et plus difficiles à contrer

De nombreux pirates en effet fournissent désormais des services proposant par exemple des recels de données en usant de l’extraterritorialité pour effectuer leurs activités criminelles. Quelques exemples de programmes suffisent à faire froid dans le dos aux RH que nous sommes. L’arsenal de la CIA révélé par Wikileaks cette année et dont les programmes de codes sont à la disposition des pirates permettent d’obtenir la quasi totalité des communications sur un Smartphone (SMS, mails, photos, notes…) :

Selon le site, ces documents montrent que l’agence de renseignement a élaboré plus d’un millier de programmes malveillants, virus, cheval de Troie et autres logiciels pouvant infiltrer et prendre le contrôle d’appareils électroniques. Ces programmes ont pris pour cible des iPhone, des systèmes fonctionnant sous Android (Google) -qui serait toujours utilisé par Donald Trump-, le populaire Microsoft ou encore les télévisions connectées de Samsung, pour les transformer en appareils d’écoute à l’insu de leur utilisateur, affirme Wikileaks

Des pratiques d’entreprise à revoir

Au-delà des programmes il existe des pratiques à risque qui interrogent l’organisation stratégique des ressources humaines.

Ainsi la sous-traitance lorsqu’elle ne provient pas d’entreprises extrêmement sûres pose question. Elle ouvre ainsi l’accès du système d’information de l’entreprise à des sociétés qui ne lui assureront pas toujours une sécurité rigoureuse et qui constituent potentiellement un maillon faible de la chaine informatique.

De même la gestion des habilitations doit-être revue pour éviter de concentrer les informations et donc des risques dans les mêmes mains.

Une gestion des nouvelles technologies à analyser au regard de l’impact

La généralisation du cloud offre quant à elle une externalisation des données très dangereuse. Si elle est très utile notamment pour accélérer un développement de qualité adapté aux attentes des consommateurs, elle interroge sur la confiance qu’il est possible d’avoir envers les prestataires. L’affaire Snwoden a en effet démontré que la police fédérale américaine, le FBI, avait accès aux serveurs de neuf géants étatsuniens de l’Internet (AOL, Apple, Facebook, Google, Microsoft, Skype, Yahoo, YouTube, PalTalk).

Alors que faire ?

Avant tout il est nécessaire d’élaborer une stratégie d’utilisation des données RH sensibles. Ceci passe par une réflexion sur les données qui sont des assets stratégiques et avec lesquelles il est nécessaire d’agir en conséquence. En priorité il est important de revoir les pratiques, de réfléchir aux habilitations, de construire ou actualiser les protocoles de sécurité et surtout d’informer les salariés. Ainsi côté RH une véritable réflexion sur la manière dont les données circulent doit-être menée… Repenser son SIRH en fait évidemment partie.

D’autre part la cybersécurité est devenue l’affaire de tous, qu’il s’agisse la DSI, mais aussi des DRH qui manient des données hautement confidentielles (éléments de rémunération, dossiers personnel etc.)… Un conseil ? Mettez la cybersécurité au top des priorités du plan de formation 2018 !

Propositions de disruptif RH

#1 Elaborer une stratégie d’utilisation des données RH sensibles (répertorier les assets stratégiques, les habilitations, les failles potentielles liées à des prestataires hébergeant les données dans des pays tiers)

#2 Construire ou actualiser les protocoles de sécurité

#3 Former et informer les salariés en s’appuyant sur l’opportunité du RGPD.

#4 Repenser son SIRH en fait évidemment partie.

Matthieu

Sources :

Que-Sais je sur la Cybersécurité publié par le spécialiste Nicolas Arpagian ( réédition 2016).

http://www.la-croix.com/Monde/Espionnage-objets-connectes-WikiLeaks-revele-documents-CIA-2017-03-08-1300830152