CYBERATTAQUES : LES APPLICATIONS DE GESTION RH SONT-ELLES PLUS EXPOSÉES ?

Depuis plusieurs mois, la presse se fait l’écho d’une multiplication d’attaques informatiques. Qu’en est-il réellement ? Les applications de gestion des ressources humaines sont-elles l’objet de menaces particulières ? Nous avons fait le point avec Julien Soudée, RSSI d’Horoquartz.

Julien, le nombre de cyberattaques est-il réellement en augmentation ou est-ce leur médiatisation qui est en progression ?

« En réalité, on ne sait pas très bien répondre à cette question car bien évidemment de très nombreuses attaques ne sont jamais signalées. Les statistiques sont donc très partielles.

On parle beaucoup plus des requins qui font moins de 10 morts par an que des moustiques qui tuent 800 000 personnes tous les ans. C’est un peu la même chose ici. Certaines attaques sont très médiatisées alors que peu fréquentes et d’autres se produisent à grande échelle et personne n’en parle. Malgré tout, il y a un consensus des professionnels de la sécurité pour dire que le nombre d’attaques est en progression. »

Et la nature des attaques change-t-elle ?

« La menace la plus fréquente reste celle des rançongiciels (de l’anglais ransomware) et les experts prévoient que celle-ci ne diminuera pas. Le risque provient très majoritairement des comportements à risque des utilisateurs eux-mêmes. 90% des attaques par rançongiciel trouvent leur origine dans un mail frauduleux : pièce jointe malveillante ou lien menant vers un site compromis. »

Les applications de gestion RH ou de gestion des temps et des plannings sont-elles plus exposées que d’autres ?

« Les applications RH contiennent des informations à caractère personnel qui peuvent intéresser les hackers. Accéder au fichier du personnel d’une organisation peut faciliter l’élaboration d’une attaque (arnaque au président ou phishing ciblé, par exemple). Cela devient particulièrement sensible pour  des domaines stratégiques, relevant du confidentiel défense par exemple.

De façon plus courante, des hackers peuvent tout à fait soumettre une entreprise à un chantage (publication ou chiffrement de données confidentielles de ses salariés) avec toutes les conséquences médiatiques ou en termes de RGPD que cela suppose.

Enfin, accéder aux données nominatives permet de reconstituer des informations stratégiques (l’organigramme par exemple) ou liées à la performance RH de l’entreprise. Ne pas garder la confidentialité sur sa politique RH ou salariale est bien évidemment un risque concurrentiel, encore plus en situation de pénurie de talents. »

Donc finalement, les données RH doivent être protégées au même titre que les autres, ni plus ni moins ?

« Absolument. Néanmoins il y a une particularité à prendre en compte pour les applications de gestion des temps. Celles-ci présentent la particularité d’être utilisées par tout le monde dans une entreprise. Nous avons coutume de dire que c’est l’application la plus accédée après la messagerie. Cela nécessite d’être encore plus vigilant. »

Dans l’immédiat, si vous deviez donner 3 conseils pour protéger une application RH, quels seraient-ils ?

« Le premier serait de centraliser l’authentification et les connexions, en s’appuyant sur des annuaires à jour en permanence. L’authentification centralisée (SSO en anglais) est très clairement préconisée. Quand cela n’est pas possible, il est recommandé d’appliquer strictement les recommandations de la CNIL en matière de sécurité et de privilégier des mots de passe robustes, tant que pour le système que pour l’applicatif.

Le deuxième est de sensibiliser les collaborateurs aux risques les plus fréquents, car encore une fois, l’homme est un maillon indispensable à la bonne gestion de de la sécurité.

Le troisième est d’avoir une approche minimaliste sur les données RH. Il est tentant de mettre le plus de données possibles dans un SIRH, mais plus on a de données et plus le risque augmente, on parle ici de « surface d’attaque ». Ce qui signifie qu’il faut toujours s’interroger sur la pertinence et le besoin réel de chaque information signalétique, ce qui est d’ailleurs la logique du RGPD. De la même façon, il faut veiller à ne conserver en historique que ce qui est nécessaire. »

Pouvez-vous revenir sur ce que vous nous disiez sur les messages d’absence de bureau ?

« Oui, on ne se rend pas toujours compte du risque à publier des messages du style ‘je serai absent du bureau du tant au tant’. C’est un peu comme publier sur Facebook les dates de vos prochaines vacances à l’étranger, une information qui peut vite devenir intéressante pour des personnes mal intentionnées.

Si la personne a des responsabilités hiérarchiques importantes ou si elle a un rôle clé dans la sécurité de l’organisation, ce type de message constitue un risque encore plus important. »

Mais au final, on sait qu’il est impossible d’assurer une protection à 100%.

« En effet, il faut rester humble car aucune organisation ne peut prétendre qu’elle ne sera jamais la victime d’une attaque. Mais en être conscient est déjà un premier pas. »

Thierry Bobineau, Directeur Marketing chez Horoquartz, d’après une interview de Julien Soudée, RSSI chez Horoquartz.