La responsabilité de la cybersécurité. Le nombre de cyberattaques à travers le monde a augmenté de près de 8 % au cours du second trimestre 2023, et celles-ci sont de plus en plus difficiles à détecter. Dans la majorité des cas d’intrusion, les directeurs et les responsables des systèmes d’information (DSI, RSSI) sont tenus pour seuls responsables. Cependant, la cybersécurité ne devrait-elle pas être l’affaire de toutes et de tous ?
Les cybercriminels ont souvent une longueur d’avance et la technologie n’est aujourd’hui pas en mesure de contrer, à elle seule, 100 % des cyberattaques. Ainsi, 90 % d’entre elles aboutissent suite à une erreur de l’un des collaborateurs. Pourtant, très peu d’entre eux sont formés aux risques et aux bonnes pratiques cyber. Dans ce contexte, le DRH a un rôle clé à jouer, aux côtés des DSI, dans la sécurisation des organisations, par la mise en place d’outils de formation et de sensibilisation.
Des attaques qui s’intensifient et se complexifient
Les cybercriminels utilisent des nouvelles technologies, telles que l’intelligence artificielle générative, pour créer des attaques de plus en plus personnalisées afin de piéger efficacement leurs victimes. À l’aide d’informations personnelles accessibles sur la toile ou dérobées suite à une intrusion, ils peuvent perfectionner leurs attaques en les adaptant à leurs cibles.
Les conséquences de ces attaques sont importantes : en 2023, le coût moyen d’une violation de données s’élève à 4,45 millions de dollars d’après un rapport d’IBM. Sans compter les coûts additionnels liés à une utilisation future des données personnelles des utilisateurs ayant fuité, à la perte d’efficacité opérationnelle, à la réputation entachée de l’organisation ou encore à une éventuelle perte de confiance de son écosystème.
La responsabilité de la cybersécurité : des DSI sous haute pression
Les cyberattaques les plus répandues – phishing ou ransomware – transitent par e-mail, l’outil le plus utilisé par les collaborateurs au quotidien. Si la technologie permet de filtrer la majorité des menaces, certaines d’entre elles passent néanmoins les mailles du filet et atterrissent dans les messageries électroniques. Dans ce contexte, chaque collaborateur pourrait être potentiellement responsable d’une faille de sécurité. Et pourtant, dans la majorité des cas d’attaques réussies, ce sont les équipes cyber qui sont mises en cause.
Les cyberattaques sont aussi à l’origine de répercussions psychologiques, pas toujours faciles à mesurer, entraînant un “cyber stress”, des dépressions ainsi que des démissions, notamment chez les DSI et RSSI. Les difficultés de recrutement dans le secteur de la cybersécurité amplifient la charge de travail des équipes. Une étude menée en 2023 auprès des professionnels du secteur indique que 63 % d’entre eux ont été victimes d’épuisement au travail. Autre donnée inquiétante, 73 % ont démissionné pour cause de burn out en 2022. Parmi les principaux facteurs du stress subit : le contexte d’adversité, la difficulté à déconnecter, le sentiment d’incertitude, ou encore la culpabilité. Dans ce contexte, le DRH doit être vigilant et à l’écoute afin d’empêcher que ces profils ne tombent dans une détresse quotidienne au travail.
Inculquer une culture cyber
Pour diminuer la vulnérabilité des entreprises, il est important de sensibiliser les DRH aux enjeux de la cybersécurité. Ils pourront ainsi accompagner au mieux les DSI et RSSI et impliquer les collaborateurs dans ce combat permanent face aux cybercriminels. Si les dirigeants d’entreprises prennent de plus en plus conscience de l’importance de la cybersécurité, ils ont tendance à investir dans de nouvelles technologies plutôt que dans leur vulnérabilité première : l’humain.
D’après une étude de 2022, 62 % des salariés français affirment ne jamais avoir reçu de formation à la cybersécurité. Selon cette même étude, 45 % des entreprises françaises ne proposent aucune formation à la cybersécurité à leurs collaborateurs. Des chiffres surprenants lorsque l’on connaît les conséquences que peuvent avoir ces attaques sur la pérennité des organisations. Pour réduire les risques, les DRH peuvent inclure dans les plans de formation des outils de sensibilisation et de formation à la cybersécurité, s’adressant à l’ensemble des collaborateurs.
Une plus grande collaboration entre les DRH et les DSI permettrait de mieux responsabiliser les collaborateurs en leur faisant prendre conscience du rôle clé qu’ils occupent dans la sécurité de leur organisation. D’autre part, il est essentiel de les sensibiliser et les former aux risques et bonnes pratiques cyber à l’aide d’outils ludiques et éducatifs. La simulation d’attaques régulières et inopinées permet également de former de manière concrète et continue et de maintenir la vigilance des collaborateurs sur le long terme.
Cybersecurité et DRH credit Depositphotos_Gorodenkoff