La DRH en première ligne dans la lutte contre la cybercriminalité


 

Ransomware, attaque virale, fraude externe, vol ou fuite d’informations… 79 % des entreprises françaises auraient été victimes d’au moins une cyberattaque au cours de l’année 2017. Un chiffre révélé par le baromètre de la cybersécurité des entreprises du Cesin, qui rappelle que nulle organisation n’est à l’abri. Face à une menace vouée à progresser à mesure que la digitalisation se développe, nombre d’entreprises continuent à augmenter leurs budgets de cybersécurité. Un réflexe qui trahit une méconnaissance des vecteurs de risques, particulièrement prononcée parmi les DRH. L’édition 2018 du « Baromètre des DRH » démontre en effet que les Directions des ressources humaines sous-estiment totalement les risques informatiques, qui figurent au dernier rang de leurs préoccupations.

Pourtant, les entreprises ont beau investir massivement dans des technologies toujours plus sophistiquées, elles négligent encore trop souvent un facteur capable de mettre à mal tous leurs efforts : le risque humain. D’après une récente enquête menée par Willis Towers Watson auprès de 450 000 collaborateurs d’entreprises anglaises et américaines, si les entreprises doivent bien-sûr rester attentives aux innovations technologiques en matière de cybersécurité,  c’est désormais surtout sur les risques opérationnels et humains que doivent porter les efforts. Une stratégie de bon sens, si l’on considère que 60 % des pertes ou fuites de données sont dues à des erreurs humaines ou mauvaises pratiques (par ex. se connecter à un réseau wi-fi non sécurisé ou omettre de crypter une clé USB).

Faire évoluer la culture d’entreprise
Sans surprise, les collaborateurs d’entreprises victimes de failles de sécurité ont une moins bonne perception de leur organisation que celle de leurs homologues au sein de celles qui affichent d’excellentes performances. Mais c’est surtout sur la qualité de la formation, l’image de l’entreprise et son orientation clients que se creusent les écarts. Autant de paramètres en lien étroit avec la culture d’entreprise, ce qui conforte la DRH dans un rôle à l’avant-garde de la lutte contre la cybercriminalité.

Le manque de formation ou la faible qualité des formations (qu’elle soit réelle ou seulement ressentie) entraîne un écart de perception de 14 % entre entreprises vulnérables et performantes. Ce taux – le plus élevé observé parmi les différents thèmes abordés dans l’enquête – fait de la formation la première priorité RH en matière de lutte contre la cybercriminalité. En effet, si les deux tiers des incidents de sécurité informatique ont pour origine une erreur humaine, celle-ci est généralement involontaire, qu’elle soit liée à la négligence ou à l’ignorance de son auteur. D’où l’importance de sensibiliser l’ensemble des collaborateurs aux enjeux de cybersécurité et à l’adoption des bonnes pratiques. Un travail qui passe avant tout par la qualité de la communication et des formations, particulièrement auprès de celles et ceux qui viennent de rejoindre l’entreprise.

Valoriser la performance et les comportements vertueux

Parallèlement, nombreux sont les responsables informatiques dans les entreprises sujettes aux failles de sécurité à déplorer l’absence d’une rémunération à la performance. Un manque qui nuirait, selon eux, à l’implication et à la motivation des collaborateurs, tout particulièrement au sein des services informatiques. L’adoption d’une politique de valorisation de la performance accompagnée de mesures incitatives pour récompenser la vigilance et les actions menées serait donc de nature à renforcer l’engagement des salariés et à réduire ainsi les risques de cyberattaques.

De même, des collaborateurs démotivés ou s’apprêtant à quitter l’entreprise pourraient en effet baisser la garde, voire être tentés d’adopter une attitude malveillante envers leur organisation. Charge donc à la direction des ressources humaines de mesurer régulièrement le niveau d’engagement des collaborateurs et d’évaluer les pratiques informatiques de chacun.

Enfin, les entreprises peu orientées clients, et par conséquent moins attentives aux besoins et aux attentes de ces derniers, semblent moins vigilantes quant à la sécurité de leurs données. D’où la nécessité de recentrer la stratégie de l’entreprise et l’attention des collaborateurs sur le client et renforcer ainsi la vigilance de chacun quant à la sécurité des informations – un travail à mener tant au niveau de la DRH que de la direction et du management intermédiaire.

D’après une autre enquête de Willis Towers Watson, seules 8 % des organisations avaient, en 2017, intégré la gestion des risques informatiques à leur culture d’entreprise, mais ce taux pourrait atteindre les 85 % dans les trois années à venir, preuve qu’elles ont pris conscience de l’importance du rôle des collaborateurs dans le développement d’une culture de cybersécurité.



Source link

GRAS SAVOYE
Premier réseau de courtage d’assurance en France et tout particulièrement en région, Gras Savoye traite toute la chaîne des risques : le conseil, la négociation des contrats avec les assureurs, la gestion des contrats et des sinistres.
Gras Savoye est une société Willis Towers Watson, entreprise internationale de conseil, de courtage et de solutions logicielles qui accompagne ses clients à travers le monde afin de transformer le risque en opportunité de croissance.

Contacter Gras Savoye