En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 29/03/2017
    Documation 2017, les 29 et 30 mars

    Documation 2017 fera la part belle au « Digital Workplace »,selon l’angle de la sécurité, de la mobilité, du…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site E-Commerce pour un photographe
    2000 €
    > En savoir plus
  • Sites E-commerce pour la vente de produits personnalisables
    <1200 €
    > En savoir plus
  • Création d'un site E-Commerce dans la vente de produits de beauté
    < 5 000 €
    > En savoir plus
Iron Mountain_RAP_leaderboard

Stratégie de sécurité de l’entreprise : les services RH ont un rôle central à jouer

elo_processur pointe_pave

Les risques de fuites de données et les répercussions financières de plus en plus élevées des incidents de sécurité ont propulsé les stratégies de sécurité en tête des priorités des entreprises et en ont fait le principal sujet de discussion des conseils d’administration. Et les RH ont désormais un rôle clé à jouer dans l’accompagnement et le renforcement des stratégies de sécurité, affirme ici Fortunato Guarino, consultant solutions Cybercrime et Protection des données EMEA chez Guidance Software (sécurité de l’information)

Toute atteinte à la sécurité peut avoir de graves conséquences, allant de la baisse de la valeur des actions et de la perte de contrats clients jusqu’à l’interruption de l’activité de l’entreprise ciblée. Le coût moyen d’une fuite de données a augmenté de 29 % depuis 2013, passant à près de 4 millions de d’euros par incident, et l’impact sur les résultats de l’entreprise peut être dévastateur. L’opérateur britannique TalkTalk a par exemple enregistré une baisse de plus de 50 % de ses bénéfices suite à l’attaque dont il a été victime l’année dernière.

Si la cybersécurité a jusqu’ici été considérée comme la chasse gardée du département informatique, il est temps aujourd’hui d’adopter une approche transverse plus collaborative. En première ligne, le service des ressources humaines a désormais un rôle clé à jouer dans l’accompagnement et le renforcement des stratégies de sécurité. L’établissement de canaux de communication entre les RH et le département informatique peut considérablement aider les entreprises à identifier et à gérer les risques.

La stratégie de sécurité doit être définie au plus haut niveau de l’entreprise, puis mise en œuvre grâce aux efforts conjoints des services RH et IT.

Une approche collaborative

Alors que le département IT assure la protection, le contrôle et la gestion des données sensibles sur le réseau de l’entreprise, le « facteur humain » représente souvent le maillon faible de la sécurité informatique. Les cybercriminels empruntent généralement le chemin d’accès le plus court pour accéder à un système, ce qui explique pourquoi les pirates continuent de cibler les employés au moyen d’attaques d’ingénierie sociale. Il est en effet beaucoup plus facile de duper un utilisateur que de contourner des systèmes de sécurité. D’où la nécessité pour les entreprises de former leurs employés à être leur première ligne de défense.

Et les ressources humaines doivent s’approprier cette mission de formation des employés aux meilleures pratiques en matière de sécurité. Fort heureusement, elles disposent de moyens concrets pour appuyer les stratégies de sécurité informatiques.

Des formations régulières à l’ensemble des employés

En collaboration avec les équipes chargées de l’informatique et de la sécurité, les ressources humaines doivent dispenser des formations régulières à l’ensemble des employés sur les risques de sécurité, l’identification de menaces telles que les e-mails de phishing, et leurs responsabilités vis-à-vis de la protection des données. Pour une efficacité maximale, il est important que les programmes de formation soient parfaitement adaptés aux différents départements et fonctions métier, et définissent clairement les responsabilités de chacun concernant la gestion des informations sensibles.  Informer les employés des risques de fuite de données découlant d’une mauvaise gestion des documents, des dispositifs de stockage USB et des partages de fichiers tiers, entre autres, est un exemple de formation utile soulignant le rôle des employés dans la prévention de la perte de données.

Sans ce type de formation, les données sensibles peuvent par inadvertance quitter l’entreprise. Rien de plus simple, en effet, que de laisser échapper des informations sensibles dans un long fil d’e-mails, dans les lignes masquées d’une feuille Excel ou encore dans les notes d’une présentation PowerPoint.

Les employés doivent en outre être formés aux modalités de notification et de suivi des cyber incidents, aux processus de communication et aux protocoles à respecter. Il convient de noter que la formation est un processus continu. Il s’agit d’une première étape, mais pas d’une fin en soi. Il est important de mettre en place les outils et processus nécessaires pour que les employés ne perdent pas de vue tous ces objectifs. Des outils tels que : l’envoi d’e-mails, la publication de bulletins d’information, l’organisation de cours de remise à niveau réguliers ou encore l’affichage de notes dans les espaces communs de l’entreprise.

Le contrôle des droits d’accès

Compte tenu de l’augmentation massive des volumes de données et de la multiplicité des terminaux professionnels, mettre en œuvre des contrôles autour des informations sensibles et empêcher la dispersion de ces dernières peut représenter un énorme défi. Les données circulent librement dans la plupart des entreprises. Elles sont constamment mises à jour, modifiées et déplacées.

Le département informatique est chargé d’analyser et de gérer les mouvements des données sensibles au sein de l’entreprise grâce à une surveillance proactive. Il peut, au besoin, supprimer ces informations des emplacements illégitimes ou en interdire l’accès aux utilisateurs non autorisés. Les ressources humaines jouent également un rôle essentiel en établissant des processus destinés à renforcer les pratiques en matière de sécurité informatique.

En collaboration avec le département IT, les RH doivent définir des processus de gestion des droits d’accès aux données sensibles, s’assurer que des contrôles appropriés sont en place et empêcher les employés d’accéder aux informations dont ils n’ont pas besoin. Elles peuvent aussi aider le département informatique à identifier les permissions qui n’ont pas été supprimées, ou les privilèges qui doivent être redéfinis, au niveau des départements ou des individus, notamment des sous-traitants ou des travailleurs temporaires. La mise en place de processus et de technologies permettant de gérer les droits d’accès et de les contrôler régulièrement pour pallier toute faille dans la sécurité est également à envisager.

Une coopération pleine et entière entre les ressources humaines et le département informatique est indispensable dans le déploiement d’initiatives aussi stratégiques que la gestion des identités et des accès. L’absence de collaboration interne est un écueil courant, qui peut engendrer des malentendus ou, au pire encore, complètement réduire à néant des projets.

En matière de sécurité, le départ des employés restera toujours le moment le plus critique à gérer. Les services RH et informatiques doivent travailler de concert pour s’assurer que les protocoles adéquats sont respectés en toutes circonstances, que ce soit lors de la restitution des terminaux, de la suppression des droits d’accès aux services ou encore de l’élimination des données d’entreprise sensibles qui pourraient avoir été laissées par inadvertance sur un terminal. Cela est d’autant plus crucial à l’ère du BYOD (Bring Your Own Device) où la frontière entre les terminaux personnels et ceux de l’entreprise tend de plus en plus à s’estomper. L’implication des responsables RH dans la définition de politiques de protection des données revêt par conséquent une importance capitale. Une approche conjointe, allant de la formation à l’élaboration de stratégies BYOD, est essentielle à une époque où les cyber incidents peuvent coûter très cher.

Notez cet article

Laisser un commentaire

Sondage

Vos projets Démat et GED en 2017

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Juridique - Droit à la déconnexion : la charte informatique comme outil de régulation ?

    Depuis le 1er janvier 2017, tout salarié bénéficie d’un droit à la déconnexion en application…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Impliquer les collaborateurs dans les projets de transformation digitale avec la signature digitale

    Comment la signature digitale contribue-t-elle à fédérer les collaborateurs et à les impliquer dans les…

    > En savoir plus...
Etudes/Enquêtes
  • Automatisation: peu d'emplois risquent de disparaître mais beaucoup vont évoluer

    Moins de 10% des emplois sont "très exposés" aux mutations technologiques et présentent donc le…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
Iron Mountain_RAP_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Un regard neuf sur la gestion des coûts de stockage des données archivées

    > Voir le livre
  • Le Edge Computing : tendances et bénéfices

    > Voir le livre
Iron Mountain_RAP_skycraper