Vidéo: Cybersécurité : les règles à appliquer [Webinaire] (Novembre 2024)
Lorsque les pirates informatiques attaquent, les ressources humaines (RH) sont l’un des premiers endroits où ils se rendent. Les ressources humaines sont une cible populaire en raison de l'accès des ressources humaines à des données commercialisables sur le Web sombre, notamment les noms des employés, leurs dates de naissance, leurs adresses, leurs numéros de sécurité sociale et les formulaires W2. Pour mettre la main sur ce type d’informations, les hackers utilisent tout, du phishing jusqu’à se faire passer pour des dirigeants d’entreprise demandant des documents internes - une forme de phishing appelée "chasse à la baleine" - pour exploiter les vulnérabilités des services informatiques de paie et de RH basés sur le cloud.
Pour se défendre, les entreprises doivent suivre des protocoles informatiques sécurisés. Cela comprend la formation du personnel des RH et d’autres employés pour qu’il surveille les escroqueries, l’adoption de pratiques qui protègent les données et la vérification des fournisseurs de technologies RH en nuage. Dans un avenir pas si lointain, la biométrie et l'intelligence artificielle (IA) pourraient également aider.
Les cyberattaques ne vont pas disparaître; si quelque chose, ils empirent. Les entreprises de toutes tailles sont exposées aux cyberattaques. Les petites entreprises, cependant, pourraient être les plus exposées, car elles emploient généralement moins de personnel dont la seule tâche est de surveiller la cybercriminalité. Les grandes organisations pourraient peut-être absorber les coûts associés à une attaque, notamment en payant des rapports de solvabilité pour quelques années aux employés dont l'identité a été volée. Pour les plus petites entreprises, les conséquences du pillage numérique pourraient être dévastatrices.
Il n’est pas difficile de trouver des exemples d’atteintes aux données humaines. En mai, les pirates ont eu recours à l'ingénierie sociale et aux mauvaises pratiques de sécurité des clients d'ADP pour voler les numéros de sécurité sociale de leurs employés et d'autres données relatives au personnel. En 2014, les pirates ont exploité les informations d'identification de connexion auprès d'un nombre indéterminé de clients de la suite de gestion de la paie et des ressources humaines UltiPro d'Ultimate Software pour voler les données des employés et générer des déclarations de revenus frauduleuses, selon Krebs on Security.
Ces derniers mois, les services des ressources humaines de nombreuses entreprises ont été la cible d'escroqueries à la baleine avec le formulaire W-2. Dans plusieurs cas bien rapportés, le service de la paie et d’autres employés ont communiqué aux pirates informatiques des informations relatives à la taxe W-2 après avoir reçu une lettre usurpée qui ressemblait à une demande légitime de documents émanant d’un dirigeant de la société. En mars, Seagate Technology a déclaré avoir partagé par inadvertance les informations du formulaire de déclaration fiscale W-2 pour "plusieurs milliers" d'employés actuels et anciens par le biais d'une telle attaque. Un mois auparavant, SnapChat avait déclaré qu'un employé de son service de la paie avait partagé les données relatives à la masse salariale d'un "nombre" d'employés actuels et anciens à un fraudeur se faisant passer pour le chef de la direction, Evan Spiegel. Selon le Wall Street Journal, Weight Watchers International, PerkinElmer Inc., Bill Casper Golf et Sprouts Farmers Market Inc. ont également été victimes de ruses similaires.
Former les employés
Sensibiliser les employés aux dangers potentiels est la première ligne de défense. Formez les employés à reconnaître les éléments qui seraient ou ne seraient pas inclus dans les courriels des dirigeants de l'entreprise, tels que la façon dont ils signent leur nom. Faites attention à ce que l'e-mail demande. Il n’ya aucune raison pour un CFO de demander des données financières, par exemple, car il est probable qu’il les ait déjà.
Un chercheur participant à la conférence sur la cybersécurité Black Hat à Las Vegas cette semaine a suggéré aux entreprises de demander à leurs employés de se méfier de tout courrier électronique, même s'ils connaissaient l'expéditeur ou si le message correspondait à leurs attentes. Ce même chercheur a admis que la formation de sensibilisation au phishing peut avoir des effets négatifs si les employés passent autant de temps à vérifier que les messages individuels sont légitimes, ce qui réduirait leur productivité.
La formation à la sensibilisation peut être efficace si l’entreprise de formation au savoir-faire en matière de cybersécurité que KnowBe4 a réalisée en est une indication. Au cours d'une année, KnowBe4 a envoyé des e-mails simulés d'attaque de hameçonnage à 300 000 employés de 300 entreprises clientes sur une base régulière. ils ont fait cela pour leur apprendre à repérer les drapeaux rouges qui pourraient signaler un problème. Avant la formation, 16% des employés avaient cliqué sur des liens dans les courriels de phishing simulés. Seulement 12 mois plus tard, ce nombre a chuté à 1%, selon Stu Sjouwerman, fondateur et PDG de KnowBe4.
Stocker des données dans le nuage
Une autre façon de contourner les attaques de phishing ou de chasse à la baleine consiste à conserver les informations de l'entreprise sous forme chiffrée dans le cloud plutôt que dans des documents ou des dossiers sur des ordinateurs de bureau ou des ordinateurs portables. Si des documents sont dans le cloud, même si un employé tombe sous le coup d'une demande d'hameçonnage, il n'enverrait qu'un lien vers un fichier auquel un pirate informatique n'aurait pas accès (car ils n'auraient pas les informations supplémentaires dont ils avaient besoin ouvrez-le ou déchiffrez-le). OneLogin, une société de San Francisco qui vend des systèmes de gestion d’identité, a interdit l’utilisation de fichiers dans son bureau, a déclaré Thomas Pedersen, PDG de OneLogin.
"C’est pour des raisons de sécurité et de productivité", a déclaré David Meyer, cofondateur de OneLogin et vice-président du développement de produits. "Si l'ordinateur portable d'un employé est volé, cela n'a pas d'importance, car rien ne s'y trouve."
Meyer conseille aux entreprises d’examiner les plateformes technologiques RH qu’elles envisagent d’utiliser pour comprendre les protocoles de sécurité proposés par leurs fournisseurs. ADP ne ferait aucun commentaire sur les récentes introductions par effraction qui ont frappé ses clients. Toutefois, un porte-parole d'ADP a déclaré que la société fournissait aux clients et aux consommateurs des informations, une formation à la sensibilisation et des informations sur les meilleures pratiques permettant de prévenir les problèmes courants de cybersécurité, tels que le phishing et les logiciels malveillants. Une équipe de surveillance de la criminalité financière d'ADP et des groupes de soutien à la clientèle informent les clients lorsque l'entreprise détecte une fraude ou une tentative d'accès frauduleux, selon le porte-parole. Ultimate Software a également mis en place des précautions similaires après les attaques contre les utilisateurs d'UltiPro en 2014, notamment l'instauration d'une authentification multifactorielle pour ses clients, selon Krebs on Security.
En fonction de l'emplacement de votre entreprise, vous pouvez être légalement tenu de signaler les intrusions numériques aux autorités compétentes. En Californie, par exemple, les entreprises ont l'obligation de signaler lorsque plus de 500 employés ont été volés. C'est une bonne idée de consulter un avocat pour savoir quelles sont vos fonctions, selon Sjouwerman.
"Il existe un concept juridique qui vous oblige à prendre des mesures raisonnables pour protéger votre environnement, et si vous ne le faites pas, vous êtes essentiellement responsable", a-t-il déclaré.
Utiliser un logiciel de gestion d'identité
Les entreprises peuvent protéger les systèmes de ressources humaines en utilisant un logiciel de gestion des identités pour contrôler les connexions et les mots de passe. Pensez aux systèmes de gestion des identités en tant que gestionnaires de mots de passe pour l'entreprise. Au lieu de compter sur le personnel des ressources humaines pour garder en mémoire - et protéger - les noms d'utilisateur et les mots de passe de chaque plate-forme utilisée pour la paie, les avantages sociaux, le recrutement, la planification, etc., ils peuvent utiliser un seul identifiant pour accéder à tout. Placer tout sous un seul identifiant peut faciliter la tâche des employés qui pourraient oublier les mots de passe des systèmes de ressources humaines auxquels ils ne se connectent que quelques fois par an (en les incitant davantage à les écrire quelque part ou à les stocker en ligne, où ils pourraient être volés).
Les entreprises peuvent utiliser un système de gestion d’identité pour configurer l’identification à deux facteurs pour les administrateurs du système RH ou utiliser le geofencing pour limiter les connexions, de sorte que les administrateurs ne peuvent se connecter qu’à partir d’un certain emplacement, tel que le bureau.
"Tous ces niveaux de tolérance au risque de sécurité pour différentes personnes et différents rôles ne font pas partie des systèmes de ressources humaines", a déclaré Meyer de OneLogin.
Les fournisseurs de technologie des ressources humaines et les entreprises de cybersécurité travaillent sur d'autres techniques de prévention des cyberattaques. Éventuellement, davantage d'employés se connecteront aux systèmes de ressources humaines et à d'autres systèmes de travail en utilisant des données biométriques telles que les empreintes digitales ou les analyses de la rétine, qui sont plus difficiles à craquer pour les pirates informatiques. À l'avenir, les plates-formes de cybersécurité pourraient inclure un apprentissage automatique permettant aux logiciels de se former à la détection de logiciels malveillants et d'autres activités suspectes sur des ordinateurs ou des réseaux, selon une présentation à la conférence Black Hat.
En attendant que ces options soient plus largement disponibles, les services des ressources humaines devront compter sur leur propre sensibilisation, la formation des employés, les mesures de sécurité disponibles et les fournisseurs de solutions RH avec lesquels ils travaillent pour éviter les problèmes.
