Retour sur le colloque que nous avons organisé sur les enjeux de la sécurité des informations, la cyberdéfense et le Règlement Général sur la Protection des Données (RGPD) pur les RH qui s’est tenu le 19 septembre 2019 à l’école supérieure de management Pégase, à Paris.

Gérard Saïd, directeur de l’institution, a accueilli le public dans la prestigieuse salle Napoléon III au mobilier d’époque : « Cette école est chargée d’histoire et a de tous temps hébergé les étudiants nécessiteux ». Le jardin de l’Impératrice, en contrebas, laisse entrevoir deux poules se promenant en liberté.

Après le mot d’ouverture de Christophe Leparq, directeur d’Adesidées, l’ambiance est tout de suite donnée par Eric Valin, consultant-formateur et spécialiste de l’Intelligence Economique : « La cybercriminalité vient de partout. Des états, des entreprises, des mafias ou des hackers peuvent passer à l’attaque. On est dans une logique de ruse et d’embuscade, mais les risques peuvent aussi être liés à de mauvais comportements ou à l’ignorance ». Le donneur d’alerte s’adresse aux RH : « Au niveau de l’entreprise, il faut former, communiquer avec sa hiérarchie et instaurer une confiance réciproque. Cela doit se traduire par une alliance du DRH, du DSI et du PDG. La réaction doit être rapide car la cybercriminalité a un impact sur le management ». Gérard Peliks, directeur pédagogique adjoint à l’Institut Léonard de Vinci, donne la mesure de la vulnérabilité du cybersespace : « 420 câbles sous-marins relient les continents. Quand ils sont endommagés, Internet est coupé. Cela s’est passé à deux reprises en Algérie, où le black-out a failli provoquer une révolution. […] Les RH doivent être sensibles et communiquer sur les risques ».

Clémence Souchon, associée du cabinet d’avocats Vivant Chiss, nous éclaire sur le RGPD : « Ce règlement européen est entré en vigueur le 25 mai 2018 et a pour vocation d’améliorer la protection des données personnelles en renforçant le droit des individus (droit d’accès, droit de rectification, droit à l’oubli) et en fixant de nouvelles obligations pour les entreprises. […] La finalité du traitement des données doit être précise, légale et légitime, ce qui implique que les DRH doivent épurer leurs dossiers en ne retenant que les informations nécessaires ». Ne pas jouer le jeu peut coûter cher à une entreprise : une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires. Adrien Krebs, Data Protection Officer chez Manpower, en sait quelque chose : « Négliger le RGPD, pour nous, cela représenterait une amende de 750 millions d’euros. Tout le mode se met en conformité avec le RGPD et les RH vont s’y mettre rapidement ».

Franck Gicquel, expert SI et responsable des partenariats au gouvernement, assure que les autorités ne sont pas en reste : « Le 17 octobre 2017, nous avons lancé cybermalveillance.gouv.fr, et plus de 100 000 victimes de phishing sont déjà passées sur notre plateforme ». Et il y a urgence : « Les petites entreprises se font rançonner. Les bases de données et les mots de passe se revendent sur le Dark Web, il y a une taylorisation de cette pratique ». Le spécialiste se tourne vers nous : « Il faut se faire accompagner par des professionnels et je demande à Adesidées de sensibiliser sur ces risques ». François Zerafa, directeur de projets chez Servier acquiesce : « Face aux menaces, les DRH doivent adapter les métiers, communiquer et s’ouvrir vers l’extérieur ».

Jérôme Bondu, expert IE du cabinet Inter Ligere fait la démonstration sous nos yeux des failles de sécurité mises à nu grâce à Internet. Et les cas de négligence sont légion, dont cet exemple d’un militaire pris en photo dans un TGV en train de communiquer sur l’usage des drones par l’Armée française via son ordinateur portable (!). Les DRH doivent en être conscients : « La reconstitution de l’organigramme d’une société avec le nom et les coordonnées des collaborateurs, sur chacun des postes, est possible avec Google ». René Picon-Dupré, expert RH et cybersécurité, enfonce le clou : « Les ressources humaines ont vraiment du pain sur la planche. Il faut instaurer une hygiène de sécurité des systèmes d’information. La perte des données est préjudiciable à l’entreprise, et la malveillance ou les actes d’imprudence peuvent mener à des licenciements. Aux RH de donner le cap et de défendre l’horizontalité ! » Et à Isabelle Kucharski, DRH chez B&B Hotels d’ajouter : « Tout à fait. Et la mise en place d’une charte est une garantie à la fois pour l’employeur, comme pour l’employé ».

Paul Coulomb, directeur de la prévention des risques de la Banque de France, nous éclaire sur les dispositifs mis en place à son niveau : « Des parcours de formation incluant la sensibilisation à la cybersécurité sont menés, et on procède à des tests d’hameçonnage ». Pour lui, « il y a des habitudes à changer chez les RH. Ils sont encore trop nombreux à échanger par mail des informations confidentielles ». Les préjudices liés aux cyberattaques sont énormes. Thibault Renard, responsable Data Intelligence et prospective à la CCI France, en sait quelque chose : « Les gens dans l’entreprise sont traumatisés, comme s’ils avaient été attaqués personnellement. Des boîtes coulent à cause des conséquences d’une cyberattaque ». Les risques les plus redoutés sont les virus, et « les hackers qui attaquent les PME en les extorquant arrivent la plupart du temps à se faire payer les rançons ». Le remède ? « Il faut faire du cyber LE sujet de la machine à café pour que la négligence soit perçue comme un risque grave pour l’entreprise ».

En guise de conclusion, et pour répondre aux inquitéudes d’une de nos participantes sur « les mesures compliquées à mettre en place par les DRH dans l’entreprise », il nous appartient, chez Adesidées, de continuer à sensibiliser dans relâche sur ces questions plus que vitales pour l’ensemble de l’univers des Ressources Humaines.

Par Alexandre Holtrop, responsable développement chez Adesidées. 

Pour télécharger gratuitement le kit de sensibilisation aux risques numériques, mis en place par cybermalveillance.gouv.fr, cliquez ici. 

Pour tout renseignement complémentaire, n’hésitez pas à nous contacter : 01 46 34 85 00