Cybercriminalité et SIRH Tour d’horizon d’un sujet qui en effraie plus d’un

Luc Pansu

Luc Pansu

Consultant AMOA SIRH

La pandémie du Covid 19 a indéniablement renforcé la transformation digitale des entreprises. Face à la nécessité de préserver l’économie mondiale, bon nombre d’activités ont été largement supportées par le numérique, dans un contexte de télétravail généralisé.

Cette hyper dépendance envers le numérique, qui ne cesse de s’accentuer, s’accompagne de risques croissants en matière de cybersécurité. Ces risques ne sont pas nouveaux mais les enjeux qui leur sont associés sont aujourd’hui décuplés.

Rapide tour d’horizon des menaces et des actions préventives.

La cybercriminalité, une menace qui prend de l'ampleur

La cybercriminalité est aujourd’hui la fraude la plus fréquente à laquelle les entreprises françaises doivent faire face. En 2018, PWC avait estimé que les entreprises françaises étaient victimes en moyenne de 4550 incidents informatiques par an et le coût moyen des pertes liées à ces incidents s’élevait à 2,25 millions d’euros.  (Consulter le dernier rapport complet).

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) indique avoir enregistré une hausse de 255% des signalements d’attaques majeures de type « rançongiciels » passant de 54 incidents majeurs en 2019 à 192 en 2020. Les cas les plus récents de l’actualité concernent plusieurs attaques informatiques ayant paralysé certains réseaux informatiques d’hôpitaux publics début 2021. (Consulter le rapport complet).

Au niveau mondial, une étude réalisée par McAfee, géant américain de logiciel spécialisé en sécurité informatique, et le groupe américain de réflexion Center for Strategic and International Studies (CSIS) fait état de chiffres vertigineux. Sur les 1500 entreprises ayant répondu à l’enquête ; deux tiers auraient connu un incident informatique lié à une cyberattaque. D’après cette même étude, le fardeau de la cybercriminalité aurait désormais un coût pour l’économie mondiale supérieur à 600 milliards de dollars par an. (Consulter le rapport complet).

Un autre rapport mené par Proofpoint, estime que 75% des personnes interrogées dans le monde ont déclaré que leurs entreprises avaient subi des attaques d’hameçonnage majeures en 2020 (Consulter le rapport State of Phish 2021).

Figure 1: Les chiffres de la cybercriminalité en 2020

S’il reste difficile d’évaluer l’ampleur globale du phénomène avec précision, la tendance est définitivement à la hausse. Aujourd’hui, les cybercriminels se professionnalisent et s’organisent davantage ; les attaques gagnent en complexité et l’inter-connectivité des structures informatiques entraîne des risques majeurs de désorganisation généralisée de l’entreprise.

Les SIRH et les données RH, une cible privilégiée

Le SIRH peut apparaître comme une mine d’or pour certains hackers. Les noms, dates, numéro de sécurité sociale, salaires et données bancaires des employés sont autant d’informations sensibles et confidentielles qu’un levier de pression idéal pour les pirates informatiques.

Les services RH sont également particulièrement exposés aux attaques informatiques du fait des usages RH nécessitant de nombreux « échanges de données et de documents externes au réseau informatique de l’entreprise » (Cegid, 2017). 

 Du fait de la position centrale du SIRH dans l’architecture informatique d’une organisation, de la richesse et de la sensibilité des données qu’il couvre ; il est primordial de protéger ce qui pourrait devenir l’eldorado de la donnée sensible pour les cybercriminels.

À titre d’exemples, on recense d’importantes attaques impliquant le SIRH ou le vol de données RH de grandes entreprises au cours des dernières années. C’est le cas notamment de Citrix (2019), General Electric (en, 2020 avec le vol de données RH de près de 280 000 anciens et présents employés) ou plus récemment l’enseigne de supermarché américain Kroger en février 2021. En France, plusieurs entreprises sont victimes sur l’année 2017, du rançongiciel Petya qui utilisait par exemple de faux e-mails de candidatures pour infiltrer les systèmes informatiques des entreprises. Ces attaques entraîne généralement de forts préjudices financiers, des blocages généralisés durables et/ou d’importantes atteintes à la réputation des entreprises.

Si le risque zéro n’existe pas dans le secteur de la cybersécurité, un certain nombre de pratiques peuvent être mises en place pour limiter le risque d’incidents.

Cybercriminalité : Mr Robot

Quelques éléments de rappels concernant les bonnes pratiques

Au niveau de l’entreprise 

Privilégier un SIRH en mode « SaaS » ?

Opter pour un éditeur spécialisé offrant une solution de type SaaS peut être un élément limitant les risques liés à la sécurité. En effet, les éditeurs SIRH disposent de fortes contraintes réglementaires en matière de confidentialités et de sécurités des données.

Les éditeurs SIRH bénéficient à la fois de système de sécurité « built-in » à leurs solutions mais aussi d’un ensemble de procédures protégeant les bases de données.

En cas d’attaque, il arrive bien souvent que les services SaaS ne soient pas impactés grâce à l’externalisation des serveurs et le fonctionnement de solutions en îlot.

Un écosystème de solutions additionnelles existe et connaît une forte croissance récemment. Ces solutions peuvent aider la protection de vos données dans le cloud et renforcer la lutte contre la cybercriminalité. C’est le cas par exemple de CipherCloud ou de Onapsis (SAP endorsed App) dont l’intégration est facilitée pour SAP Successfactors, Oracle ou Workday. Elles permettent, entre autres, de gagner en visibilité sur les erreurs de configuration, les vulnérabilités présentes, les problèmes d’accès aux données sensibles en offrant un audit continuel sur l’état des risques cyber de votre système.

La sécurité SIRH doit être évidemment intégrée et en accord avec la stratégie de sécurité IT établie à l’échelle de l’organisation. Il convient pour chaque entreprise de respecter certaines bases en matière de sécurité informatique.

Attribution des droits d’accès :

L’entreprise génère une quantité très importante de données sensibles. La complexité organisationnelle de certaines entreprises rend difficile la gestion des permissions et accès à certaines ressources. Toutefois, il est primordial de limiter certains accès et de contrôler l’ensemble des permissions attribuées aux salariés. Sans toutefois tomber dans la paranoïa du qui a le « droit d’en connaître », il est important de veiller sur la localisation de certaines informations, les droits conférés et le niveau de sécurité qui leur sont associés.

Mise en place de coffre-fort numériques :

La plupart des solutions du marché répondent à de fortes normes en termes de sécurité et permettent l’archivage de documents sensibles dans des conditions d’hygiène numérique forte. Ces solutions possèdent également un processus de traçabilité des actions performant. Adopter ce type de solution, au-delà des bénéfices notables en matière de dématérialisation RH, est également un bon moyen de renforcer sa politique de lutte contre la cybercriminalité.

Politique de mot de passe forte :

De nos jours, il est impératif de proposer une politique forte de sécurisation des mots de passe en rendant obligatoire des pratiques telles que l’authentification à deux facteurs ou le changement régulier des mots de passe. Un niveau de sécurité fort requis pour le choix des mots de passe devrait aussi être obligatoire.

Solutions de déconnexion automatique :

De même, il est judicieux d’opter pour des solutions de timeout des sessions inactives sur la plupart de vos solutions, logiciels et autres.

Exercices et audits réguliers :

Bon nombre d’entreprises ne réalisent pas qu’elles sont en train de se faire attaquer, ou ne s’en rendent compte que bien trop tard. Ainsi il est bénéfique, si vous en avez la possibilité, d’organiser régulièrement des audits de système, audits de maturité, faire des tests d’intrusion (« pentest »), voire d’installer des solutions logicielles visant à détecter les potentielles intrusions.

Réaction face à l’urgence et résilience :

Le risque zéro n’existe pas en matière de sécurité. Ainsi, se doter d’une stratégie de gestion de l’urgence cas d’attaques fait également partie des éléments essentiels à disposer au sein d’une entreprise.

Trois plans importants sont à mettre en place.

  • Plan de continuité d’activité (PCA) : Lors d’une attaque, ce plan permettra à vos fonctions cœurs de continuer à fonctionner.
  • Plan de reprise d’activité (PRA) : Une fois l’activité arrêtée, un ensemble de conditions doivent être réunies pour reprendre l’activité en toute sécurité.
  • Plan de sauvegarde et réplication : Il est réalisé continuellement, de manière incrémentale et régulière. Ce plan permettra d’avoir une sauvegarde des serveurs de l’entreprise, laquelle pourra être réutilisée en cas d’attaque. Ce plan requiert souvent l’utilisation d’un serveur isolé dont la sécurité est renforcée.

Politique de formation généralisée :

Les professionnels RH ont aujourd’hui une part croissante à jouer dans la protection informatique en proposant notamment une politique de formation sur les bons usages des outils numériques et la prévention contre la cybercriminalité. L’ensemble des spécialistes est unanime, le facteur humain est responsable d’une large majorité des cyber-attaques.   Chaque entreprise doit donc aujourd’hui proposer une formation obligatoire sur ces sujets sensibles. Il est à souligner également qu’avec le passage en urgence au télétravail généralisé durant la crise du coronavirus, bon nombre d’entreprises ont sous-estimé les impacts de cette nouvelle organisation du travail sur la sécurité informatique.

D’après Loïc Guezo, Directeur de la stratégie cybersécurité chez Proofpoint, seulement 40% des organisations auraient formé leurs salariés aux pratiques de sécurité dans de telles conditions.

Si les entreprises et les responsables de la sécurité informatique réalisent un travail considérable de prévention et de défense, bon nombre d’incidents peuvent provenir de l’erreur humaine et de négligences de la part des employés. Retrouvez ci-dessous un guide des bonnes pratiques admises pour l’employé.

cybercriminalité protection

Micro-guide de la bonne hygiène numérique des employés 

Adoptez et conservez les bons réflexes.

  • Déconnectez-vous systématiquement du réseau et de vos sessions lorsque vous êtes inactifs.
  • Attachez une importance particulière à vos clés USB et autres outils de stockage pouvant être facilement égaré, volé ou vérolé.
  • Restez attentif aux courriels, liens et pièce jointe que vous recevez. Faites preuve d’esprit critique !
  • Diversifiez vos mots de passe et assurez-vous d’utiliser des mots de passe à la sécurité forte.
  • Dans la mesure du possible, n’utilisez pas votre ordinateur professionnel pour un usage personnel, et réciproquement.
  • Vérifiez le nom du programme avant de valider chaque installation
  • Conservez vos firewall et anti-virus à jour.
  • Travaillez dans des endroits adaptés dotés d’une connexion Wi-Fi sécurisée.
  • Ne partagez aucune information, adresse mail ou noms d’utilisateurs sans connaître votre utilisateur. Ne partagez jamais vos mots de passe.
  • Respectez les bonnes pratiques et les consignes données par votre entreprise

Conclusion

Si la transformation digitale apporte son lot important de bénéfices ; elle s’accompagne aussi de nouveaux risques dont la fréquence effraie.

La lutte contre la cybercriminalité a démarré il y a bien longtemps mais il semblerait que les enjeux lui étant associés deviennent de plus en plus importants, à mesure que la société renforce sa dépendance envers les outils numériques.

Cette menace dépasse les simples utilisateurs et entreprises ; les États et organisations internationales sont désormais largement impliqués pour mettre en place des systèmes de défense et endiguer le phénomène. En témoigne la création récente du « Campus Cyber » par le président Emmanuel Macron : plus d’un milliard d’euros seront alloués à ce projet d’ici 2025 afin de souder un écosystème d’acteurs spécialisés, permettant le renforcement de la cybersécurité du pays.  

 

Vous avez un projet SIRH, des questions sur les solutions existantes pour protéger votre SIRH ?

N’hésitez pas à contacter I-RH Partner, votre partenaire de transformation digitale RH.

https://www.irh-partner.com/contact/

Partagez cet article! 

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

À propos de notre cabinet de conseil

I-RH Partner est un cabinet conseil et AMOA spécialisé en SIRH. Nos grands domaines d’expertises sont associés au déploiement des SIRH, de la phase de cadrage à l’accompagnement opérationnel de nos clients. 

Conseil +

Amoa +

Nos vidéos
Archives
Luc Pansu - Consultant SIRH
Luc Pansu
Consultant AMOA SIRH

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

tristique elit. Lorem venenatis ut sit consectetur ut ut accumsan commodo

Merci pour votre inscription!

Vous pouvez accéder le replay du webinar “Bien choisir son SIRH en 2021” en cliquant sur le bouton ci-dessous :