Peshkova-Adobe Stock

Secu

Cybersécurité et RH : une collaboration toute en mutation

Par CESIN, publié le 19 mars 2018

Dans son rôle transverse avec les différents départements de l’entreprise, après la Direction Marketing et la Direction Financière, le CISO doit s’assurer que les RH jouent leur rôle dans la mise en œuvre de la politique cybersécurité au niveau de l’organisation depuis la nomenclature des fonctions permettant d’attribuer les droits d’accès, à l’élaboration des règles de fonctionnement professionnel (charte informatique) jusqu’aux mesures disciplinaires en cas de non-respect de celle-ci.

L’un des enjeux les plus important de la RH est de contribuer à la mise en place d’une organisation adaptée aux évolutions nécessitées par la révolution digitale en cours. Elle doit aider au recrutement des meilleurs profils et appréhender les nouveaux modes de fonctionnement bousculés par les nouveaux usages (réseaux sociaux d’entreprise). Dans le cas du recrutement d’un CISO, le CESIN préconise qu’il soit rattaché à une direction des risques ou équivalente pour qu’il puisse jouer un rôle transverse y compris d’être en mesure de challenger la DSI sur la mise en œuvre des processus et des solutions de protection de l’information.

Bien que la définition des processus de l’entreprise soit souvent dévolue à la DSI, il n’est pas souhaitable que celle-ci soit aussi responsable de l’organisation ; l’impact organisationnel et sociétale des choix d’évolution de l’entreprise ne peut être que de la prérogative de la RH.

Habilitation et charte informatique à l’aune du RGPD

La deuxième mission en matière de sécurité des SI de la RH est de contribuer à une gestion des habilitations la plus proche possible des mouvements du personnel : arrivée, départ, mutations … Même si l’attribution des droits est de la prérogative des métiers eux-mêmes, la RH reste le garant ultime que les droits d’accès soient bien modifiés voire supprimés en fonction des mouvements des salariés. Les auditeurs sont toujours friands de cas d’utilisation de comptes relatifs à des personnes ayant quitté l’entreprise. De plus, une insuffisance dans la revue des séparations des tâches (définition des fonctions individuelles) en accord avec les métiers ouvre à des risques de fraude financières souvent difficiles à identifier par les contrôleurs.

La troisième responsabilité de la RH est la définition des règles de travail au sein de l’entreprise. Après une revue par les juristes, le CISO doit produire et mettre à jour régulièrement la charte informatique ; tous les deux ans en moyenne et plus particulièrement cette année à l’aune du RGPD. Dans ce contexte, la RH doit s’assurer de sa validation auprès des employés pour qu’elle soit opposable et donc applicable. En parallèle, il est aussi de la responsabilité des chefs de projets, dans leur rôle de gestion d’équipe en engageant des prestataires de services, de s’assurer de l’application de cette charte, ou une version simplifiée ; cela doit être fait dans le cadre d’un contrat signé avec la société de prestation de service et sous le contrôle du CISO.

Les règles de « surveillance » des employés

Les règles de fonctionnement à l’intérieur de l’entreprise ou Code of Conduct, Binding Corporate Rules, peuvent amener la RH à mettre en place des règles éthiques au travail rappelant la confidentialité des échanges de données en interne ainsi qu’avec les partenaires de l’entreprise. Le CISO propose alors d’intégrer des paragraphes dans ces documents pour rappeler l’importance de la protection de l’information par les employés.

Enfin, un sujet qui devient prédominant avec la digitalisation de l’entreprise et l’ouverture des systèmes d’information induits est la définition des règles de « surveillance » des employés particulièrement en cas d’analyse forensic suite à une attaque informatique ou de fuite d’information du fait du salarié. Les technologies de Deep Packet Inspection[1] ou encore déchiffrement des flux entrants et sortant de l’entreprise permettent d’identifier les intrusions. Compte tenu de l’utilisation occasionnels à des fins personnelles du système d’information de l’entreprise, cette technique pourrait être considérée comme intrusive par les salariés et doit donc être présentée aux instances représentatives du personnel par la RH. Dans le cadre d’une réunion du CE, le CISO est amené à expliquer le bon sens de cette fonctionnalité pour être conforme à la loi française.

Globalement, le CISO doit mettre en place une réunion régulière avec la RH pour traiter tous ces sujets y compris être informé des départs conflictuels d’employés qui pourraient être à l’origine de fuite du capital informationnel de l’entreprise. Ce retour d’information peut diminuer le risque d’un employé mécontent emportant lors de son départ des informations confidentielles ; le CISO prendra alors des mesures préventives longtemps avant le départ de l’employé.

Tribune réalisée par Michel Juvin, membre du CESIN



[1]Deep Packet Inspection est une technique recommandée par l’ANSSI dans le cadre de la nouvelle version de loi de programmation militaire février 2018.

Dans l'actualité

Verified by MonsterInsights