Êtes-vous bien protégés contre une cyber-attaque ?

Le cyber-terrorisme touche de plus en plus de personnes et d’entreprises. En France, ces dernières ont subi en moyenne 21 incidents de cyber-sécurité par jour en 2015 soit 51% de plus en un an [1]. Ces attaques concernent les données financières, commerciales, mais aussi RH. Et les données RH ont nécessairement un caractère personnel. Or la réglementation européenne à ce sujet (GDPR = General Data Protection Regulation), décidée avril 2016, va se durcir et s’appliquer dès Mai 2018, tant sur les exigences que sur les sanctions qui pourront atteindre jusqu’à 4% du chiffre d’affaires international. DRH, il devient donc urgent d’agir !

L’inquiétante explosion de la cybercriminalité

Le 27 juin dernier, une cyberattaque mondiale surnommée Petya [2] frappait des entreprises françaises telles que Saint-Gobain ou la SNCF les contraignant à payer une rançon pour qu’ils puissent de nouveau avoir accès à leurs données.
Cette expansion est favorisée par :

• Une numérisation toujours plus importante de l’activité RH. Les pirates peuvent ainsi avoir accès à de plus en plus de données RH sensibles telles que les rémunérations, l’identité des collaborateurs, etc.
• L’internationalisation des échanges de données qui oblige les entreprises à faire passer via internet des informations sensibles comme par exemple la copie d’une pièce d’identité à l’occasion d’un recrutement
• Un crime plus lucratif et moins risqué corporellement que le braquage d’une banque !
• Le manque de sensibilisation du personnel, RH notamment, aux règles de base de sécurité informatique

Une cyber-attaque peut faire très mal

Selon une étude de la Lloyd’s de juillet 2017, une cyberattaque mondiale à grande échelle pourrait causer plus de 50 milliards de dollars de pertes économiques [3]. Les services RH sont particulièrement exposés à ces attaques puisque les usages nécessitent de nombreux échanges de données et de documents externes au réseau informatique de l’entreprise. Le ransomware (« rançongiciels » en français) Petya a ainsi utilisé de faux emails de candidature pour pénétrer les entreprises.

Les conséquences d’une cyber-attaque peuvent être majeures pour une organisation. Imaginez qu’un rançongiciels crypte les données de votre logiciel de paie juste avant le versement du salaire. Combien de collaborateurs non payés refuseront de revenir à leur poste après quelques temps ? Quelles tensions sociales cela peut-il entraîner ? Ou encore quelle sera la surcharge de travail pour récupérer et contrôler les paies une fois l’incident passé ?

Au-delà de cet exemple extrême mais vraisemblable, pour quelque attaque que ce soit, vous devrez dès mai 2018 être en capacité d’informer personnellement l’ensemble des salariés victimes d’une cyber-attaque en leur précisant les données qui ont été récupérées ou altérées. Ça fait mal à la marque employeur !

DRH, un défi à relever… avec votre éditeur SIRH

Les rançongiciels ne représentent que la partie émergée de l’iceberg. L’entreprise Willis Towers Watson estime que les négligences et les actes de malveillance des salariés sont à l’origine de deux tiers des atteintes à la sécurité informatique, contre 18 % seulement pour les menaces externes et 2 % pour les extorsions électroniques [4]. La DRH a donc une mission évidente de prévention.

• Mettre en place dès à présent une nouvelle méthode de gestion de la data

A partir du 25 mai 2018 s’appliquera à toute l’Europe le nouveau Règlement Général sur la Protection des Données (RGPD). Il s’appliquera aux sociétés qui collectent, traitent et stockent des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne.
Vous devrez être en mesure de prouver à n’importe quel moment, que ses données à caractère personnel (IBAN, numéros de téléphone, identifiants divers, données biométriques, enregistrements caméras, PV disciplinaires, etc.) sont protégées et surtout inexploitables en cas de vol.
Ce règlement intègre notamment la notion de pivacy by design, c’est-à-dire l’obligation pour tout éditeur SIRH de prendre en compte la notion du respect de la vie privée dès la conception de son système.

• Privilégier des solutions qui intègrent les meilleures pratiques en termes de sécurité informatique

Les pirates sont paresseux, ils attaqueront davantage les entreprises les moins bien protégées. Les entreprises n’ont d’autre choix que d’investir afin de faire évoluer leurs dispositifs et leurs matériels IT : méthodes de sauvegardes, anti-virus, etc.

Le marché de la cyber sécurité pèse déjà près de 81 milliards de dollars en 2017 au niveau mondial.

• Veillez à la formation des utilisateurs du SIRH, c’est-à-dire de tous !

Il devient indispensable de former votre personnel aux bonnes pratiques informatiques et veiller au suivi de leur bonne application

Pour aller plus loin :

• [1] Étude du cabinet PWC sur la cyber criminalité
• [2] NotPetya : Un mois après la cyberattaque, quelles conséquences pour les entreprises touchées ?
• [3] Cyberattaque : un risque à plus de 50 milliards de dollars
• [4] Cybersécurité en entreprise : « L’erreur humaine est souvent sous-estimée »