Les RH : une fonction au cœur de la cybersécurité

Souvent délaissée par les petites entreprises, la cybersécurité constitue pourtant un enjeu de taille. En 2022, les TPE/PME représentaient 40 % des attaques par rançongiciel* traitées ou rapportées à l’ANSSI. Pour aire face au défi de la cybersécurité en entreprise, les RH jouent un rôle essentiel. Nicolas Thore, fondateur de Guiddy, ESN française experte en cybersécurité, décrypte les risques encourus et les solutions existantes.

Pour les TPE et PME, une cyberattaque (phishing, ransomware, fraude au président, fuite de données…) peut avoir un impact majeur : en plus de générer un vent de panique et une potentielle crise de communication, le risque de défaillance, voire d’arrêt de l’activité, peut causer une grande faille financière. Pour Nicolas Thore, fondateur de Guiddy, l’enjeu pour les entreprises n’est pas de se demander si une attaque cyber aura lieu, mais plutôt de se demander quand elle aura lieu et de s’y préparer au mieux. « La cybersécurité doit faire partie d’une routine, d’une habitude. Tout comme le fait d’assurer son véhicule ou son logement lorsque l’on emménage et de fermer les fenêtres lorsque l’on part de chez soi. » 

Depuis 2 ans, Guiddy s’engage à démocratiser l’accès à la cybersécurité en proposant des formations ludiques et des solutions accessibles aux petites et moyennes entreprises. La grande majorité des failles de cybersécurité étant causées par des erreurs humaines, l’ESN prend le parti de former chaque membre d’une entreprise : « Tout le monde n’a pas la même vision et il y a parfois des écarts entre la direction et la « réalité » du terrain, les habitudes du quotidien et les imprévus. » Son crédo : faire de chaque employé un bouclier cyber en suscitant l’adhésion de toute l’équipe, de la direction à la fonction RH, en passant par les salariés présents sur le terrain.

Le rôle central des Ressources Humaines

Cible privilégiée des cyberattaques, les ressources humaines détiennent de nombreuses données sensibles : salaires, RIB, numéros de sécurité sociale… Un poste à risque donc, où les compétences en cybersécurité jouent un double rôle : celui de protéger les données sensibles et de sensibiliser des collaborateurs.

Avec une position transversale et un accès aux données des salariés, les ressources humaines sont au cœur de la problématique cybersécurité des entreprises. Aux côtés de la direction et du service informatique (DSI, RSSI, DPO…), ce sont les 3 fonctions complémentaires pour la mise en place d’une politique de cybersécurité efficace. Ces interlocuteurs privilégiés jouent un rôle majeur dans la prise de conscience des risques, le dialogue et la mise en action.

En plus de leur positionnement transversal, les ressources humaines travaillent en lien étroit avec les collaborateurs, de la première à la dernière journée en entreprise. Une relation privilégiée pour renforcer la sensibilisation des salariés et l’adoption des bonnes pratiques dès le recrutement.

Risques cyber : quelles bonnes pratiques adopter ?

Pour l’ESN Guiddy, il s’agit en premier lieu de placer le sujet cybersécurité dès l’intégration d’un nouveau salarié. Une mission qui peut être remplie par les ressources humaines : « Lui transmettre des guides pratiques, les politiques de l’entreprise et l’intégrer dans une routine de formation régulière afin qu’il devienne, lui aussi, moteur de la sécurité de l’entreprise ». Lors du départ d’un salarié, les RH doivent s’assurer de l’effacement des terminaux et de la fermeture des comptes.
Pour accompagner et encourager durablement les équipes, Guiddy utilise des méthodes ludiques et pédagogiques : « Parler de cybersécurité avec 50 slides de vocabulaire complexe va être très ennuyant. Passer par le jeu et des mises en situation permet de susciter l’intérêt, l’adhésion et surtout d’être prêt en cas d’attaque. » Selon l’expert, cette notion d’adhésion est primordiale pour intégrer une politique de cybersécurité de manière stable et pérenne. En plus de la direction, qui doit propulser cet enjeu et lui dédier un budget, les salariés peuvent, eux aussi, devenir porte-parole et transmettre leurs connaissances au sein de leur équipe. Pour les ressources humaines, il peut être intéressant de rappeler régulièrement le message de l’importance de la cybersécurité via différents canaux : mailing, événement, formation, temps d’échange… Dans tous les cas, il convient de se fixer des objectifs atteignables pour garder le cap et proposer des formations régulières.

De manière générale, Nicolas Thore déconseille les techniques répandues servant à « piéger » les collaborateurs avec un faux mail de pishing : « L’idée n’est pas de pointer du doigt et d’instaurer de la honte ou du ressentiment chez les salariés ayant raté le test, mais plutôt de se concentrer sur les solutions existantes. » En s’éloignant des méthodes basées sur des tests piégés pouvant se montrer contre-productifs, l’effort se concentre aujourd’hui sur la sensibilisation des salariés et la formation continue.

Pour l’entrepreneur, l’idéal est d’apprendre l’importance de la cybersécurité à tous les salariés, notamment aux jeunes recrues. Un rôle que peut jouer les ressources humaines en formant la jeune génération qui arrive sur le marché du travail. Avec une formation adaptée, l’adoption des bonnes pratiques de cybersécurité dès l’entrée dans le monde du travail reste le meilleur moyen de les mettre en œuvre tout au long de leur vie professionnelle. Un véritable investissement d’avenir pour les entreprises.

Source : rapport annuel 2022, Anssi

Accompagnement cybersécurité

Accompagnement cybersécurité

Vous êtes dirigeant d'une PME ou TPE ? Contrairement aux idées reçues, les TPE et les PME sont aujourd’hui les plus exposées aux risques de cyberattaque. Malheureusement elles n'en ont pas toujours conscience. Saisissez l'opportunité de protéger vos données et votre entreprise.

 

Cyberattaque en entreprise : quels sont les risques ?

Les risques de cyberattaque représentent des impacts importants pour les entreprises : pertes financières, paralysie de l’activité, déclin de la réputation, … pouvant avoir des répercussions sur le long terme. Pour mieux comprendre l’urgence de se prémunir contre ces risques, voici un passage en revue des principales conséquences d’une cyberattaque pour une entreprise.