Selon le Rapport officiel 2022 sur la cybercriminalité publié par eSentire1, le coût annuel de la cybercriminalité, estimé sur le plan mondial, devrait atteindre 8 billions de dollars américains cette année. Un tel pronostic nuisible est aggravé par le fait que le coût des dommages causés par la cybercriminalité atteindra 10,5 billions de dollars américains d’ici 2025. Par conséquent, la cybersécurité n’est plus un gadget agréable à posséder, mais elle est essentielle à la réussite des entreprises œuvrant dans divers secteurs. Quelles que soient les circonstances, que vous soyez une petite, moyenne ou grande entreprise, tout le monde est vulnérable aux cyberattaques à un moment donné et la cybersécurité ne doit pas être simplement considérée comme un problème des technologies de l’information.
[1] eSentire – The Authority in Managed Detection and Response Services. L’Autorité en matière de gestion des services de détection et d’intervention.
Dans cette Infolettre du mois d’avril 2023, nous nous attarderons explicitement sur les rôles opérationnels du Département des Ressources humaines et nous examinerons de près les meilleures pratiques organisationnelles couvrant toutes les étapes professionnelles relatives au recrutement : de la sélection des candidats à l’intégration d’un(e) employé(e) en passant par la gestion de départ d’un membre d’une équipe.
Meilleures stratégies de recrutement
Les nouveaux recrutements de personnel suscitent des idées nouvelles et des compétences uniques pour le bien-être d’une entreprise. Néanmoins, une sélection et une évaluation adéquates des employés sont primordiales pour protéger la sécurité de votre organisation. Avant l’embauche, la première étape consiste à définir l’ensemble des compétences requises par l’organisation. Après la publication de l’offre d’emploi et le processus de sélection connexe, une fois le candidat idéal choisi, il est indispensable de dûment procéder à la vérification des références et à la vérification des antécédents criminels avant d’accorder à la personne sélectionnée l’accès aux données confidentielles. Il existe de nombreux fournisseurs de services de vérification des antécédents, et en choisir un de bonne réputation est indéniablement crucial pour la sécurité de votre entreprise.
Vous devez également penser aux emplacements où vos employés ont travaillé avant de rejoindre votre entreprise. Par exemple, s’il s’agit d’immigrants nouvellement arrivés au Canada et aux États-Unis, et que leurs antécédents professionnels ou leurs antécédents personnels se sont déroulés dans un autre pays, une vérification des antécédents uniquement au Canada ne révélera pas nécessairement les caractéristiques historiques de ces personnes. Il y a des fournisseurs spécialisés en services de vérification des antécédents qui ont la capacité de faire des vérifications des antécédents au sein de nombreux pays à travers le monde. Avant le début de la vérification des antécédents, la plupart de ces fournisseurs requièrent un consentement à un formulaire de vérification des antécédents à remplir et dûment signé par le candidat.
Non seulement les vérifications des références aident à confirmer et valider les antécédents de l’employé, mais elles offrent également une esquisse de ses forces et de ses faiblesses dans la perspective des éventualités de développement potentiel. De par ce fait, la vérification des références et la vérification des antécédents criminels sont des composantes fondamentales du processus de sélection. À maintes reprises, nous nous retrouverons pressés d’embaucher du nouveau personnel et nous serons souvent tentés de raccourcir certaines exigences, mais nous devons penser à l’impact à long terme, et c’est la raison pour laquelle il est judicieux d’entreprendre diligemment toutes vérifications au préalable. Même si de telles vérifications peuvent sembler être des obstacles supplémentaires, la plupart des candidats comprendront et respecteront un tel processus de sélection. Si ces derniers ne comprennent pas et ne respectent pas de telles procédures , c’est probablement un bon signal d’avertissement. Une fois que vous avez pris une décision d’embauche, si vous ne disposez pas de contrat de travail type, consultez un avocat pour rédiger un contrat de travail. En référence aux exigences de cybersécurité, un tel contrat de travail devrait inclure une entente de non-divulgation pour protéger les données confidentielles, une clause de propriété intellectuelle pour s’assurer que les travaux effectués par la personne-ressource demeurent la propriété de votre entreprise, et enfin une clause de conformité précisant que l’employé doit se conformer aux politiques de votre entreprise.
Incorporer la cybersécurité dans le processus d’intégration du personnel
Maintenant que vous avez les conditions légales de travail mutuellement convenues par les deux parties, il est important de vous assurer que vos politiques et obligations contractuelles établies sont non seulement acceptées, mais également appliquées. Une fois que l’employé nouvellement sélectionné a dûment lu et compris les politiques de votre entreprise, cette personne doit dûment signer tous les documents connexes. Cela comprendra non seulement des documents tels que les politiques des Ressources humaines, mais également les politiques en matière d’informatique et de cybersécurité.
Ce faisant, si vous avez un employé qui se plaint plus tard du fait que vous devez installer la sécurité des terminaux sur son appareil informatique ou que vous devez vous assurer que son équipement est crypté, vous pouvez renvoyer ce dernier à ces documents de politiques régissant votre entreprise. Nous avons tous la responsabilité de protéger les données de nos clients, mais dans un environnement de télétravail (travail à distance) où les gens utilisent souvent leurs appareils personnels, il est vraiment d’une importance primordiale que nous documentions clairement et de manière transparente ces exigences afin que nos employés puissent savoir ce qu’ils permettent d’entrer et de sortir à travers les portes de nos entreprises, et qu’il est facile pour eux d’appliquer de telles politiques et directives.
Mettre en œuvre et maintenir une culture de cybersécurité
Conformes aux conclusions du Rapport d’enquête 2022 sur les violations de données publié par Verizon1, 82 % des atteintes à la sécurité des données impliquaient un élément humain. Les cyberattaquants considèrent et ciblent les êtres humains comme la plus grande surface d’attaque, mais l’embauche d’un nouveau membre d’équipe au sein de votre entreprise ne veut pas nécessairement dire que vous êtes en train d’élargir votre surface d’attaque. Grâce à une formation efficace, un tel nouveau membre de votre équipe peut devenir votre pare-feu humain.
[1] Verizon – Rapport d’enquête 2022 sur les violations des données.
Un des éléments du maintien et de la préservation d’un niveau élevé de cybersécurité consiste à s’assurer que les employés non chargés de la cybersécurité comprennent le rôle qu’ils jouent. La cybersécurité ne doit surtout pas être envisagée comme une activité à accomplir une fois uniquement, en particulier lorsqu’il s’agit de former vos employés. 80 % des organisations ont déclaré que la Formation de sensibilisation à la cybersécurité a réduit la propension de leur personnel aux cyberattaques telles que l’hameçonnage. De nos jours, de nombreuses entreprises ont des Programmes de sensibilisation à la cybersécurité et des Politiques de cybersécurité obligatoires pour les nouveaux employés. En raison du fait que les menaces de cybersécurité sont en persistante évolution, il est fondamental de mettre à jour régulièrement les matériels de formation et les ressources pédagogiques. Au lieu de former les employés une seule fois, et ensuite plus jamais pendant plusieurs années, une formation régulière et actualisée est bénéfique pour la protection de votre organisation. Garder prioritairement la cybersécurité au premier plan grâce à une formation constante permet de s’assurer qu’elle devienne une partie intégrante de la culture d’entreprise.
Les chefs d’entreprise doivent avoir un comportement exemplaire en démontrant des pratiques positives de cybersécurité pour protéger leur entreprise et ses données confidentielles. Des mises à jour administratives régulières et des conversations quotidiennes peuvent renforcer l’importance sine qua non de la cybersécurité et favoriser la faculté de conscientisation à la cybersécurité pour tout le monde. La mise en œuvre, le maintien et l’encouragement d’une culture de sensibilisation à la cybersécurité peuvent contribuer à assurer la sécurité de l’entreprise et de ses données confidentielles.
Faire participer vos cadres supérieurs, comprendre pourquoi la cybersécurité est importante et pourquoi ils doivent manœuvrer et gérer une culture d’entreprise depuis le sommet peut être difficile pour certains cadres supérieurs. Parce que le plus grand défi pour les chefs d’entreprise est de prendre en permanence des décisions fondées sur les risques et axées sur les résultats, il est donc crucial de leur communiquer les risques relatifs à la cybersécurité d’une manière qu’ils puissent clairement comprendre. Au lieu que le personnel informatique se concentre sur les détails techniques, la quantification pour les chefs d’entreprise des conséquences financières et de la probabilité de différents types de cyberattaques peut aider les cadres supérieures à hiérarchiser les risques et à prendre des décisions éclairées concernant les investissements dans la cybersécurité. En fin de compte, il s’agit de fournir aux cadres supérieurs les informations pertinentes dont ils ont besoin pour prendre des décisions judicieuses sur les secteurs où investir des ressources dans le but de protéger l’organisation.
Il y a des circonstances où vous devrez prendre des sanctions disciplinaires. Évidemment, ce n’est pas agréable pour les parties impliquées, mais à certains moments, une sanction disciplinaire est obligatoire, car elle aide à gérer les comportements indésirables. La caractéristique proactive la plus importante est que vous êtes cohérent avec les politiques de votre entreprise et que vous avez, en fait, quelque chose de documenté auquel vous conformez, qui décrit les actions indésirables pour vous aider à gérer les comportements de manière équitable et transparente. Si les employés ont l’impression qu’il s’agit d’un ensemble de comportements et de conséquences pour un collègue en question, et d’un ensemble différent de comportements et de conséquences pour un autre collègue, ils ne sauraient pas quelle voie suivre et ils seraient confus ou même perdraient confiance dans les cadres supérieurs.
Un milieu de travail sans préjugés, non discriminatoire et impartial, est également un milieu de travail plus sécuritaire. Bien que les sanctions disciplinaires puissent sembler effrayantes et dissuasives, elles peuvent prendre de nombreuses formes qui varient en sévérité, allant de l’avertissement verbal au licenciement, et elles doivent être adaptées à la gravité du comportement indésirable. Mener une enquête, formaliser les procédures et prendre les mesures appropriées contribueront à créer un milieu de travail équitable.
L’autre caractéristique proactive notable est que vous voulez vous assurer que vous avez à la fois le dévouement et la loyauté de tous les membres de votre équipe des Ressources humaines. Pour ce qui concerne les meilleures pratiques de cybersécurité, si vous avez un processus bien documenté, ralliant un bon soutien et une bonne adhésion des Ressources humaines, vous êtes également plus outillé pour ne pas occasionner des risques pour votre entreprise.
L’importance d’organiser avec les employés des Réunions de rapport sur la cybersécurité
Tandis que les cybermenaces continuent de croître en volume et en complexité, le signalement des cyberincidents joue un rôle de plus en plus important pour que les entreprises apprennent et évitent de commettre les mêmes erreurs, offrant ainsi aux organisations un moyen de documenter et d’intervenir en cas d’une cyberattaque. Cependant, les employés ont tendance à sous-estimer la possibilité d’être victime d’une cyberattaque et l’ampleur d’une cyberattaque réussie. Les recherches démontrent que 30 % des employés ne pensent pas que les cybercriminels les cibleraient au travail, et 21 % pensent que la plupart des violations sont mineures et faciles à résoudre. Signaler un incident de cybersécurité peut être un enjeu complexe, en particulier lorsqu’il s’agit de déterminer et décider quand et comment le signaler.
En réalité, il y a deux groupes différents à considérer ici : vos employés subalternes et l’équipe responsable de la gestion des incidents de cybersécurité. D’une part, pour les employés subalternes, il est impératif de s’assurer qu’ils sont conscients des risques et des menaces de cybersécurité, et qu’ils comprennent parfaitement comment signaler les cyberattaques et les cyberincidents de manière cohérente, que ce soit par l’intermédiaire d’un Slack Channel, d’un courriel ou d’un formulaire Web. D’autre part, l’équipe responsable du traitement des incidents de cybersécurité doit dûment disposer d’un Plan documenté d’intervention face à un cyberincident (PDICI) avec des mécanismes de signalement en place pour suivre et évaluer efficacement les cyberincidents. De cette manière, ils peuvent efficacement faire face à différents types d’incidents de cybersécurité. À l’instar des rapports sur la santé et la sécurité sur le lieu du travail, le fait de disposer d’un mécanisme fiable de signalement permet de suivre, d’évaluer et de quantifier les cyberincidents, et d’utiliser les rapports dans les examens trimestriels de la cybersécurité pour aider à empêcher que des cyberincidents similaires ne se reproduisent à l’avenir.
D’une part, en tant qu’employé, il est important que vous signaliez aux personnes concernées au sein de votre entreprise toute activité potentiellement à risque que vous pourriez rencontrer. Sans aucun doute, trouver le bon équilibre peut prendre du temps, mais il est important de se rappeler que si personne ne signale pas une attaque d’hameçonnage, par exemple, chacun devra y faire face individuellement, sans se rendre compte que d’autres personnes sont confrontées au même problème. D’autre part, si quelqu’un signale tôt le cyberincident en question, il peut être rapidement identifié et traité par l’équipe appropriée, empêchant potentiellement de causer d’autres dommages.
Rester connecté et protégé dans un environnement de travail à distance
Les Départements des Ressources humaines doivent porter une attention particulière aux risques associés à l’environnement de travail à distance, qui est devenu de plus en plus populaire avec l’essor du travail à domicile et des technologies d’accès à distance. En termes de mécanismes de communication, le travail à distance augmente les risques pour les entreprises. Dans le passé, les doutes concernant une communication par courriel pouvaient être facilement confirmés en marchant vers l’espace de travail de la personne d’à côté, mais cela n’est plus faisable dans un environnement de travail à distance. Les cybercriminels profitent d’une telle situation en se faisant passer pour des employés internes et en essayant d’effectuer des fraudes via courriel professionnel. Il s’agit d’une menace sérieuse, car 75 % des organisations dans le monde ont signalé l’année dernière une tentative de compromission des courriels professionnels, dont 78 % impliquant de faux courriels de PDG, ce qui a entraîné une augmentation de 64 % entre le troisième et le quatrième trimestre de 2022. Les employés doivent prendre des précautions et être conscients de ces risques, ainsi que toutes les politiques et pratiques mises en œuvre pour garantir la sécurité de leurs appareils personnels. Il est impérieux d’avoir de bonnes pratiques concernant les appareils et équipements personnels et de garantir que les employés comprennent ce qu’ils doivent faire pour que les contrôles adéquats soient mis en place. Avec l’avènement d’employés travaillant dans divers environnements, il est impératif de tirer parti des modèles de conception de sécurité tels que les architectures zéro confiance et les RPV (VPN), ainsi que d’utiliser des communications Web cryptées et l’authentification pour garantir une communication sécurisée. Cela permet aux employés de travailler efficacement et en toute sécurité de n’importe où sans mettre en danger la sécurité de leurs entreprises.
L’augmentation du travail à distance a permis aux entreprises de se développer à l’échelle internationale et de concevoir une main-d’œuvre transfrontalière. À l’inverse, une telle réalité s’accompagne de répercussions juridiques sur lesquelles les entreprises doivent réfléchir. Il est de la plus haute importance de travailler avec les Ressources humaines pour comprendre les accords de travail locaux et les lois afin d’assurer une conformité pertinente. Embaucher quelqu’un dans un pays éloigné peut être compliqué, car les entreprises doivent respecter les lois locales du travail. Pour atténuer une telle éventualité, les entreprises peuvent travailler conjointement avec des organisations locales d’employeurs (OLE), qui leur permettent d’employer légalement quelqu’un dans un endroit éloigné par l’intermédiaire d’un tiers sans avoir à ouvrir une unité administrative dans le pays en question. Ce cadre opérationnel permet aux entreprises de fonctionner de manière rentable tout en respectant la législation locale du travail.
Il y a également une augmentation du nombre de travailleurs numériques nomades qui sont principalement des travailleurs à distance qui sont indépendants d’un emplacement, c’est-à-dire qui se déplacent régulièrement vers différents endroits. Dans certains pays, de tels travailleurs relèvent de la législation locale du travail. Il est important pour les entreprises d’évaluer le risque occasionné par ces pratiques novatrices de travail. La police d’assurance cybersécurité de votre entreprise couvrira-t-elle une fuite provenant d’un pays étranger où travaille l’un de vos employés numériques nomades?
Sécuriser les données avec une équipe travaillant à distance
De plus en plus de nos jours, nous ne sommes pas en train de stocker nos données localement sur nos ordinateurs portables : telle est l’une des caractéristiques frappantes du travail à distance. D’une part, nous exploitons des services de stockage infonuagique qui sont en fait plus sécurisés, car les employés n’ont pas à s’inquiéter autant dans l’éventualité où leur appareil personnel serait perdu ou volé. D’autre part, les entreprises doivent s’assurer qu’elles ont mis en œuvre des protocoles robustes de cybersécurité – tels que des cryptages, des sauvegardes régulières et des contrôles d’accès. Par ailleurs, il est indispensable que les employés soient formés aux meilleures pratiques pour utiliser en toute sécurité les services de stockage infonuagique, comme l’utilisation des mots de passe robuste et l’activation de l’authentification multifacteur (AMF).
La gestion des risques offerte par une tierce partie est primordiale pour assurer la sécurité des données et des systèmes informatiques d’une entreprise, surtout en cas d’une faille de sécurité infonuagique. Il est important que les entreprises évaluent minutieusement leurs fournisseurs et s’assurent qu’ils se conforment aux normes de sécurité de l’industrie informatique telles que SOC2 ou ISO, ainsi qu’aux réglementations en matière de confidentialité telles que la loi 25 au Québec, RGPD en Europe et PIPEDA au Canada. De telles normes s’appliquent particulièrement aux entreprises dont la main-d’œuvre est répartie, car les fournisseurs tiers jouent un rôle essentiel pour consolider la cybersécurité dans l’ensemble des activités de leur l’organisation.
Gestion des départs des employés et sécurité des données
Il est inévitable que des employés qui ont accès à des données confidentielles décident éventuellement de quitter l’entreprise et il existe des risques de cybersécurité sous-jacents à une telle éventualité. Le Département des Ressources humaines et l’entreprise doivent prendre des mesures pour protéger les données confidentielles, en commençant bien avant le départ des membres de l’équipe, en établissant des limites et en gérant l’accès aux données. Des vérifications d’accès aux données doivent être effectuées régulièrement, en particulier dans les grandes organisations, afin de garantir un accès approprié pour les fonctions de chaque employé. Les déplacements latéraux peuvent susciter des problèmes pendant que le droit d’accès aux systèmes informatiques est maintenu, et un compte compromis peut entraîner des violations de tous les systèmes informatiques auxquels les employés ont accédé au cours de leur mandat.
Une fois qu’un employé est prêt à quitter l’entreprise, ses dossiers doivent être conservés et sauvegardés en toute sécurité. La désactivation de l’utilisateur englobe la déconnexion, la suppression de l’accès, la récupération des appareils appartenant à l’entreprise et la réinitialisation des mots de passe pour les comptes partagés. La plupart des employés comprennent que de telles procédures sont accomplies pour respecter des mesures de sécurité et de politique, et que ces actions administratives ne représentent pas un manque de confiance envers eux. L’enjeu est de ne pas laisser subsister des lacunes persistantes, en particulier pour le personnel informatique ou ceux qui ont un accès administratif aux systèmes. Couper rapidement l’accès est fondamental.
Résumé
Au cours des dernières années, dans le sillage d’un environnement réglementaire plus actif, avec l’expansion des technologies d’accès à distance et la reconnaissance de l’importance de la culture de cybersécurité, les Ressources humaines jouent un rôle de plus en plus crucial dans la gestion des cyberrisques organisationnels. D’ici 2025, les données collectives de l’humanité atteindront 175 zettaoctets. Un partenariat solide entre le personnel informatique et les Départements des Ressources humaines est essentiel pour gérer les données confidentielles et les précieux actifs, offrant ainsi la visibilité et l’évolutivité dont une organisation a besoin pour contrôler efficacement les cyberrisques au sein du paysage des cybermenaces en constante évolution.