Aucun résultat
Le magazine Replay Mémos #JeunesProsRH Carrière RH
Adhérer
Adhérer
← Actualités
Prospective
Tech & RH

« Chaque RH aura à gérer un incident de cybersécurité dans son parcours professionnel »

Par Anaïs Coulon Publié le 06/03/2025
Mis à jour le 10/03/2025
À l’occasion du premier jour du parcours cybersécurité de l’ANDRH avec ADHEL, Anne Doré, experte en cybersécurité, rappelle les fondamentaux, les principales menaces et le rôle clé des RH pour protéger les données et anticiper les crises.

Comment définissez-vous la cybersécurité et quels en sont les piliers essentiels ?

Anne Doré : La cybersécurité, c'est l’ensemble des moyens humains et technologiques permettant de protéger l’information. Elle repose sur quatre piliers :

  • La confidentialité, qui vise à protéger les données sensibles des accès non autorisés.
  • L’intégrité, qui garantit que les informations n’ont pas été modifiées de manière malveillante.
  • La disponibilité, qui permet d’assurer un accès aux informations quand cela est nécessaire.
  • L’authenticité, qui permet de vérifier que les données et les utilisateurs sont bien ceux qu’ils prétendent être.

Ces principes s’appliquent non seulement aux entreprises, mais aussi aux individus, notamment en ce qui concerne la protection de leur vie privée.

Quelles sont les principales menaces qui pèsent sur les organisations aujourd’hui ?

AD : Les attaques les plus courantes sont :

  • Le ransomware, qui bloque et chiffre les données de l’entreprise en échange d’une rançon.
  • Le phishing, qui consiste à envoyer des emails frauduleux pour récupérer des identifiants ou des données confidentielles.
  • Le déni de service, qui surcharge un site ou un système pour le rendre inutilisable.
  • L’ingénierie sociale, qui repose sur la manipulation psychologique pour contourner les règles de sécurité, comme la fraude au président (se faire passer pour un supérieur hiérarchique ayant besoin de données sensibles).
  • L’espionnage industriel, qui vise à obtenir des informations stratégiques sur une entreprise.

Toutes les entreprises sont concernées, quelle que soit leur taille et il est important de le rappeler. Une PME peut être visée parce qu’elle a un savoir-faire spécifique ou parce qu’elle travaille avec un grand groupe par exemple. Les attaques peuvent être massives et ne font pas de distinction entre grandes et petites entreprises.

Avec la généralisation du travail en réseau et des outils SaaS, quels nouveaux risques apparaissent ?

AD : Aujourd’hui, les entreprises fonctionnent dans un écosystème interconnecté avec des partenaires et des prestataires. L’utilisation de solutions en mode SaaS (Software as a Service) pour la gestion des RH, la paie ou encore les notes de frais entraîne de nouveaux risques. Si un prestataire subit une cyberattaque, les données de l’entreprise peuvent être compromises.

Il y a un enjeu de conformité : où sont stockées les données ? Sont-elles protégées selon les normes en vigueur ? Les sous-traitants des prestataires peuvent aussi représenter une faille de sécurité.

Les entreprises doivent s’assurer que leurs fournisseurs prennent bien en compte ces enjeux et collaborer avec la DSI ou le RSSI pour sécuriser ces outils.

Quel est le rôle des RH dans la cybersécurité ?

AD : Les RH ont plusieurs responsabilités :

  • Protéger les données des collaborateurs et collaboratrices, qui incluent des informations sensibles comme le numéro de sécurité sociale ou les coordonnées bancaires.
  • Préparer la gestion de crise, car une attaque peut bloquer l’activité, forcer l’entreprise à mettre ses collaborateurs en chômage partiel et bloquer les canaux de communication classiques.
  • Sensibiliser et accompagner les collaborateurs pour qu’ils adoptent les bons réflexes.
  • Travailler avec les responsables cybersécurité pour s’assurer que les règles sont respectées et que les processus sont adaptés.

La cybersécurité est un risque métier : le déclencheur est bien sûr technologique, mais l’impact est humain et organisationnel.

Comment sensibiliser les collaborateurs de manière efficace ?

AD : Il faut aller au-delà des formations classiques et privilégier des approches concrètes et interactives. Par exemple, organiser des simulations de phishing, mettre en place des exercices de gestion de crise, ou encore sensibiliser sur des périodes à risque, comme les grands événements (évènements sportifs de grande ampleur par exemple) où les campagnes de phishing se multiplient. L’important est d’adapter la formation aux métiers et aux réalités du terrain.

Un dernier message pour les RH ?

AD : La cybersécurité est une certitude. Chaque entreprise sera confrontée à une attaque à un moment ou un autre et il est fort à parier que chaque RH aura à gérer un incident de cybersécurité dans son parcours professionnel. Mieux vaut être préparé que subir les conséquences d’une crise mal anticipée. Les RH ont un rôle essentiel à jouer pour protéger les collaborateurs et l’organisation.

Pour aller plus loin

Lectures liées
Prospective
Tech & RH

« Le principal frein de l’intelligence artificielle réside dans l’absence d’un dialogue social technologique structuré » - François-Xavier Petit

L’utilisation de l’intelligence artificielle sous toutes ses formes effraie aussi bien qu’elle fascine. François-Xavier Petit, directeur général de Matrice, revient dans le numéro de janvier 2025 du magazine de l'ANDRH, sur ce concept et livre un état des lieux avec un objectif simple : démystifier son utilisation, aujourd’hui bien ancrée, et se consacrer aux questions clés, comme la gouvernance des algorithmes ou le dialogue social technologique.

Prospective

Thibaut Guilluy, DG de France Travail : « Notre ambition est d’être le meilleur allié des RH en France »

Depuis sa mise en œuvre en 2024, France Travail ambitionne de devenir le partenaire incontournable des RH et des employeurs. Avec des actions concrètes et un déploiement ambitieux sur les territoires, l’institution vise à mieux répondre aux besoins des acteurs du marché du travail. Décryptage de ces ambitions avec Thibaut Guilluy, son directeur général.