Cybersécurité

Cybersécurité et éthique du numérique dans les Systèmes d’Information des Ressources Humaines (SIRH)

2 février 2016

author:

Cybersécurité et éthique du numérique dans les Systèmes d’Information des Ressources Humaines (SIRH)

La cybersécurité est devenue essentielle dans tous les secteurs d’activités Elle impacte également notre économie en ligne à vitesse grand V. Le nombre de cybermenaces a augmenté au cours de ces dernières années ; le Rapport 2015 sur la défense contre les cybermenaces souligne qu’en 2014, 71 % des entreprises ont subi une cyberattaque réussie. Nous observons également des menaces plus élaborées et poussées, en particulier à l’encontre des informations d’identification personnelle (IIP), comme l’ont mis en évidence les attaques contre le Bureau américain de la gestion du personnel (OPM) où 22 millions de fichiers d’employés ont été dérobés et en Europe, où un important opérateur de téléphonie français a été attaqué à deux reprises, causant la perte des données personnelles de plus d’un million de clients.

Un vol de données d’une telle ampleur a de lourds impacts sur l’économie en ligne. Il engendre non seulement des pertes financières, mais nuit également à la réputation, les clients craignant de faire appel aux sociétés concernées.

De par cette situation, la cybersécurité est devenue le principal souci des services informatiques quel que soit le secteur d’activité. La rapidité des transformations numériques augmente le risque de cyberattaque. Avec l’utilisation de solutions de plus en plus connectées, nous élaborons des systèmes mêlant des architectures hétérogènes, hybrides et globales aux données hautement dispersées. L’échange entre ces services souvent fragmentés crée une surface d’attaque idéale pour les hackers. Pour cette raison et pour d’autres raisons d’ordre éthique, les Directions des Services Informatiques, les éditeurs et les fournisseurs de services prennent les devants en proposant une stratégie de gestion des risques visant à établir une confiance numérique.

L’évolution des facteurs de risques liés à la sécurité

Jamais encore, le monde n’avait connu tant de données, si largement dispersées et partagées. Les données se trouvent dans des clouds publics, hybrides et privés. Elles passent par des réseaux privés et professionnels locaux, internationaux, sans fil et sociaux. Elles sont échangées entre les applications, services, équipements et objets connectés. Elles s’accumulent dans des gisements de Big Data. Et les données sont précieuses ; les cybercriminels vendent régulièrement des entrées de données dérobées sur le deep web (web profond) – le prix moyen par donnée piratée avoisine 154 USD (142 EUR) et peut atteindre 363 USD (335 EUR) pour les dossiers médicaux selon le rapport 2015 Ponemon sur le Coût des données piratées.

Les cybercriminels et leur impact sur les politiques de cybersécurité

Pour faire face à ce niveau accru de cybermenaces à l’encontre des données personnelles et professionnelles, les politiques de cybersécurité ont dû s’adapter. Elles doivent désormais être ultra flexibles pour couvrir le cadre réglementaire. Le Responsable de la Sécurité des Systèmes d’Information (RSSI) doit traiter la cybersécurité selon une perspective nouvelle. Son rôle lui impose de couvrir les trois principes clés de contrôle des menaces de cybersécurité modernes :

  1. Prévention
  2. Protection
  3. Détection / réaction

En termes de prévention, stratégies et gouvernance évoluent afin de mieux comprendre les risques et adapter les réponses. Les audits et les exigences de conformité ont renforcé les standards de sécurité édictés par les normes ISO 27001 ou PSSI (Politique de Sécurité des Systèmes d’Information).

En France, les réglementations sur la confidentialité des données sont contrôlées par la CNIL (Commission Nationale de l’Informatique et des Libertés). La réglementation a évolué vers des lois en faveur des droits de confidentialité des individus ; ce sont elles qui définissent la responsabilité des opérateurs numériques. La technologie évolue également avec les changements dans la mise en œuvre des politiques de cybersécurité. De nouveaux outils de sécurité ont été développés afin d’offrir une gestion sûre des identités. On observe l’émergence de diverses tendances, notamment une approche de l’identité plus centrée sur l’utilisateur et une autre utilisant des méthodes d’authentification plus accessibles et sûres. Des organisations telles que lInitiative Kantara et des projets européens tels quHorizon 2020 œuvrent à l’échelle internationale afin d’explorer de nouvelles façons de protéger la vie privée et l’identité des personnes. Le travail de la CNIL et d’autres organismes a permis d’identifier de nouvelles façons d’utiliser les attributs d’identité et l’authentification afin de gérer l’accès aux ressources, tout en préservant la confidentialité et la sécurité des données personnelles des utilisateurs.

La recherche et l’utilisation pratique de l’identité et de la confidentialité modernes révèlent que les mesures de sécurité doivent être basées sur les risques afin de mieux atténuer les menaces de sécurité. Les robots de SDS (sécurité définie par logiciel) ou SDE (cryptage défini par logiciel) ont été identifiés en 2014 par Gartner comme l’une des dix tendances technologiques. Depuis, ces méthodologies sont utilisées dans des plates-formes matures pour aider à lutter contre le cybercrime et l’usurpation d’identité. Les systèmes d’identité en ligne ont également adopté cette nouvelle approche de sécurité de l’information, la fédération d’identité étant gérée via des CMS (systèmes de gestion de cartes à puces) ou l’IDaaS (Identity as a Service) dans le cloud. L’évolution de l’identité en ligne a également nécessité l’application de mesures d’authentification plus facilement utilisables, moins enclines à générer des soucis de sécurité, et pouvant fonctionner dans des environnements en ligne, sur divers types d’équipements. Pour cela, des capteurs biométriques, une gestion des certificats et des clés de sécurité, le standard OAuth et les signatures électroniques, entre autres, sont en phase d’intégration. Avec l’arrivée de cyberattaques de plus en plus élaborées, passant à travers les mailles du filet des outils de sécurité classiques, de nouvelles approches utilisant des mécanismes de détection et de réaction de pointe sont déployées. Entreprises et réseaux d’action multipartites (sociétés de services informatiques, industries, laboratoires de recherche, universités) organisent la cybersurveillance pour contrer des menaces toujours plus élaborées.

Un Système d’Information RH auto-protégé

La Direction des Ressources Humaines occupe une place unique au cœur du paysage moderne des menaces de sécurité et de techniques de contre-mesure. Le SIRH est un émetteur et un consommateur de données qui gère des transactions financières et des données personnelles et d’entreprise hautement confidentielles. Les transactions de données sont gérées à travers les couches d’application de ressources humaines. L’accès aux utilisateurs, à leurs profils et à leurs droits, y compris les autorisations d’accès aux données dans l’entreprise, s’effectue à l’aide de l’authentification unique (SSO) en interne, et, en externe, à l’aide, par exemple, d’une signature électronique via un tiers de confiance.

Le SIRH doit également garantir la traçabilité des événements de gestion et des actions des utilisateurs, via l’utilisation de journaux et d’audit étendus.

Un Système d’Information RH responsable

Les RH ont une responsabilité envers les collaborateurs et envers la CNIL. Cette responsabilité n’a jamais été aussi importante qu’aujourd’hui, les données personnelles et celles des entreprises étant de plus en plus sensibles et dispersées. Pour exemple : les données issues de l’Internet des Objets (appareils de géolocalisation, de biométrie et vêtements connectés), celles émanant des applications sociales externes (Facebook et Twitter) ou circulant dans les réseaux sociaux professionnels (LinkedIn). Les RH étant au cœur de l’entreprise et visibles par l’ensemble des collaborateurs de la société (internes et externes), le SIRH peut contribuer activement au processus d’éducation, à la prise de conscience et à la responsabilisation sur les questions de sécurité.

Parce que les RH gèrent dans ses référentiels les données détaillées des collaborateurs et des organisations, le SIRH peut cibler les groupes d’utilisateurs, équipes, projets, postes, profils, voire des individus précis et leur envoyer des alertes et des documents axés sur la sécurité. Ce référentiel RH offre une source puissante et fiable pour créer des groupes d’utilisateurs et peut être utilisé par le service informatique dans l’attribution de matériel et de logiciels, ainsi que pour la gestion de la sécurité. Le SIRH peut ainsi véritablement influer positivement sur la sécurité de la société et de ses collaborateurs.

2 Comments
  1. Infogérance

    Même si les tentatives d'établir des lois régissant l'utilisation des données informations ainsi que la sécurité informatique sont nombreuses, il faut reconnaître qu'il y a encore un très long chemin à parcourir dans la lutte contre le piratage. En tout cas, le plus important c'est de ne pas baisser les bras et croire qu'on arrivera bien un jour.

Leave a comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *