Du FIC 2019[i] à PWC[ii] en passant par Kaspersky[iii] pour ne citer que les sources les plus récentes, il est maintenant entendu par tous que l’approche technico-centrée de la cybersécurité a vécu. Selon Deloitte[iv], 63% des incidents de sécurité dans l’entreprise sont liés à une action malintentionnée ou à une erreur d’un collaborateur. Place donc à l’humain.
Dans ce contexte, place aux Directions des Ressources Humaines !
Sur le cœur de métier de la cybersécurité, la formation et le recrutement d’experts techniques en cybersécurité est à la peine et aucune solution miraculeuse n’est en vue pour former assez de spécialistes. Et le remède miraculeux ne viendra pas de la technologie : l’empilement des solutions techniques est déjà vécu une fois sur deux comme aggravant la complexité opérationnelle et réduisant la visibilité sur la politique de cybersécurité de l’entreprise[v].
Sur l’ensemble de la population de l’entreprise, l’œuvre de sensibilisation est immense, et les DRH ont tout leur rôle à jouer.
Pourtant, on ne les entend guère. Pourquoi ? Peut-être parce qu’on ne les mobilise pas. Les précieux rapports précités ne les mentionnent pas spécifiquement, et se contentent de conseils adressés à l’entreprise et à la direction générale de manière générique. Peut-être aussi parce que la cybersécurité traine toujours comme un boulet ce qui fait sa fierté : sa complexité technique.
Je ne suis pas le seul à vouloir approcher les experts des ressources humaines, à vouloir le faire entrer dans le grand cercle des hommes et des femmes qui construisent la cybersécurité, à espérer leur implication, leur soutien. J’ai pu en approcher quelques-uns. Ils me disent c’est une bonne idée, qu’il faudra le faire. Dans un an, dans deux ans peut-être, oui, dans deux ans probablement le moment serait venu. Nous serons en 2021.
Les experts de la table ronde que j’ai animé au FIC 2019 sur l’humain comme maillon faible de la cybersécurité de l’entreprise ont heureusement déjà mis l’humain au cœur de leur action. Comme Phédra Clouner, la directrice adjointe du Centre de Cybersécurité Belgique. L’agence nationale a mené une campagne de sensibilisation au phishing qui a été remarquée par 43% de la population, soit près de 5 millions de personnes. Et pris des initiatives de formation vers les acteurs publics et les opérateurs de services essentiels. Stéphane Nappo, le RSSI de la branche internationale d’une grande banque française qui couvre 30 millions de clients et 71000 collaborateurs, a également fait le choix de parier sur l’individu dans son intimité. Pour sensibiliser les équipes au mieux, on leur parle de la sécurisation de leurs photos personnelles sur leurs appareils personnels. Quand on vous parle de votre intimité, vous écoutez. Au Centre de Compétences en Cybersécurité du Luxembourg, Pascal Steichen a lancé la Room#42, un jeu de simulation de cyberattaque qui rend bien palpable à quels défis les équipes d’une entreprise sont confrontées quand il faut réagir dans l’urgence. Dans ce moment, le confort de l’organisation en silos et le chacun pour soi deviennent vraiment le pire obstacle pour surmonter la panique créée par les pertes de données et le système informatique en panne. Les fournisseurs de technologie ne sont pas en reste, ainsi Sébastien Gest de Vade Secure conseille et outille les RSSI en leur donnant la visibilité sur les attaques de phishing pour mieux protéger l’entreprise. Parce qu’un homme informé en vaut deux.
Chaque équipe, chacun a un rôle à jouer pour sécuriser l’entreprise. Et s’il est évident que l’équipe qui a dans son titre même le mot « humain » est – ou du moins a vocation à devenir – un acteur incontournable de la cybersécurité, force est de constater que la DRH est aujourd’hui dans l’angle mort de la cybersécurité.
Je rêve de voir un directeur ou une directrice des ressources humaines monter sur une estrade et témoigner de son implication au quotidien pour la (cyber)sécurité de l’entreprise et de tous ses collaborateurs, et mobiliser toute une profession. Mon rêve sera-t-exaucé enfin en… 2021 ?
[i] « You are the weakest link ! », table-ronde du FIC 2019, Lille 23 janvier 2019
[ii] PWC Cybersecurity Day 2018, Luxembourg 23 octobre 2019
[iii] La sensibilisation des collaborateurs à la sécurité informatique. Il est temps d’ouvrir les yeux ! (Kaspersky, avril 2019)
[iv] Etude Enjeux Cyber 2018, Deloitte
[v] Etude Ponemon Institute pour IBM : The 2019 Study on the Cyber Resilient Organization (avril 2019)
![[Forum InCyber Montréal 2023] Penser en grand : sommes-nous en route vers un cadre réglementaire mondial sur la protection des données ?](https://incyber.org/wp-content/uploads/2023/12/iStock-1596127582-480x300.jpg)
