Avec la digitalisation croissante des processus RH, les cyberattaques ont connu une augmentation constante ces dernières années. En ayant accès aux données personnelles et sensibles des employés stockées via des logiciels en ligne, les hackers se tournent de plus en plus vers le vol de données RH. Ainsi, la cybersécurité est devenue un enjeu crucial pour les départements RH des entreprises, qui doivent s’adapter à ces nouvelles menaces.
Les RH, particulièrement vulnérables aux cyberattaques
Les départements RH sont particulièrement vulnérables et ciblés par les hackers pour plusieurs raisons liées à leurs activités. En raison de la nature de leur travail, les services RH traitent une grande quantité de données professionnelles et personnelles telles que les CV, les adresses, les postes, les numéros de téléphone, les adresses e-mail, les informations sur la santé, etc. Par conséquent, ils constituent une cible privilégiée pour les cyberattaques et sont susceptibles de voir des données fuiter, que ce soit par erreur ou à la suite d’une cyberattaque.
Du fait de leur nécessité de traiter et de gérer toutes ces données, les départements RH disposent souvent d’accès privilégiés et prioritaires à un grand nombre de logiciels et de fichiers sensibles, qui peuvent parfois être obsolètes ou mal sécurisés. Il est donc essentiel qu’ils soient formés en priorité sur les risques et les bonnes pratiques en matière de sécurité des données, avant même de former les employés de leur entreprise.
Quels sont les différents types de cyberattaques contre les RH ?
En raison des données qu’ils manipulent, les services RH sont plus susceptibles d’être la cible de cyberattaques. Voici une liste des attaques les plus couramment utilisées par les hackers pour accéder aux bases de données ou obtenir des informations sensibles :
- Phishing : Il s’agit d’e-mails qui semblent tout à fait légitimes, reprenant l’apparence de messages professionnels tels que des factures ou des demandes d’accès. Ces e-mails sont conçus pour tromper les destinataires et obtenir des informations confidentielles telles que des numéros de compte, des identifiants ou des mots de passe.
- Ransomware : Ce sont des logiciels malveillants qui infectent les systèmes et cryptent les données. Les pirates demandent ensuite une rançon pour décrypter les données, menaçant de les détruire si la rançon n’est pas payée.
- Fuites internes (intentionnelles ou non) : Les fuites internes, qu’elles soient intentionnelles ou non, constituent l’un des moyens les plus courants pour les hackers de pénétrer dans un système. Ils obtiennent des accès en trompant les employés ou en exploitant la confiance accordée par une personne interne à l’entreprise.
- Ingénierie sociale : Ces attaques visent à manipuler les individus en se faisant passer pour des employés de l’entreprise afin d’obtenir des accès ou des informations confidentielles. Les attaquants sont généralement bien informés (probablement grâce à des données confidentielles obtenues auprès de l’employé ciblé) et utilisent des moyens de communication professionnels tels que l’e-mail, le téléphone ou la messagerie professionnelle.
Cybersécurité et télétravail
Avec la généralisation du télétravail, les communications numériques ainsi que l’échange de documents et d’informations sont devenus plus fréquents. Ils représentent un risque important pour la cybersécurité des entreprises et doivent être sécurisés de manière rigoureuse afin de prévenir tout risque de vol de données. Pour renforcer la sécurité de ces processus, les départements RH peuvent mettre en place des outils de sécurisation des données afin de prévenir toute intrusion.
De plus, les employés doivent également faire la distinction entre l’ordinateur professionnel et l’ordinateur personnel. L’ordinateur de travail ne doit être accessible qu’à l’employé lui-même et non à ses amis ou membres de sa famille. Les codes d’accès doivent être connus uniquement de l’employé, qui doit mettre en place de bonnes pratiques pour limiter les risques de fuite de données. Le service des ressources humaines peut également imposer certaines règles et logiciels pour limiter les risques. Cela peut se traduire par la mise en veille de l’ordinateur dès que l’employé quitte son poste, l’obligation de saisir régulièrement un mot de passe pour s’assurer de l’identité de l’utilisateur, la sauvegarde régulière des données, etc.
Sécurisation des logiciels SIRH
De nos jours, les informations professionnelles et personnelles des employés sont numérisées et intégrées dans des logiciels SIRH. Cela veut dire que ces données sont potentiellement piratables et qu’elles peuvent être obtenues par des hackeur si elles ne sont pas bien protégées. Il est donc primordial pour les RH de sécurisée ces logiciels et donc ces données afin qu’elles ne fuitent pas et qu’elles ne soient pas utilisées par des tiers. Pour sécuriser ces logiciels, il y a plusieurs bonnes pratiques à entreprendre :
- Chaque utilisateur doit avoir un identifiant et un mot de passe unique
- Les accès aux données sensibles doivent être accessibles uniquement pour les personnes ayant un droit de regard
- La gestion des profils doit être limité au personnel compétent
- Avoir un hébergement sécurisé pour ces données
- Utiliser un logiciel avec des certification attestant de la confidentialité des données
Sensibilisation des employés à la cybersécurité
Les services RH doivent mettre en place une sensibilisation et des formations à la cybersécurité pour les employés de leur entreprise. Ces formations permettent de limiter les risques de fuite de données et de sensibiliser les employés aux potentielles attaquent auxquelles ils pourraient faire face. De nombreuses actions peuvent êtres mises en place au sein d’une entreprise pour former les employés à la cybersécurité, en voici une liste :
- Documentation (vidéos, sites, cours, etc)
- Sensibilisation
- Formations régulières
- Tests de de fausses attaques pour voir les bonnes pratiques
- Rappels réguliers par mai ou en réunion
- Accès à des ressources pour tous les employés
- Etc
Comment recruter de nouveaux talents ?
Vous recherchez un nouveau talent mais vous faites face à la pénurie de talents sur le marché ? Kicklox vous accompagne dans la recherche de votre futur collaborateur, en CDI ou en Freelance, selon vos besoins et vos exigences. Remplissez le formulaire ci-dessous pour recevoir des profils qualifiés pour votre besoin :
