J'avais publié l'article qui suit en 2022 sur un ancien blog, Honnêtement il ne semble pas avoir pris une ride, surtout quand on voir les fuite de données récentes chez France Travail et récurrentes chez Linkedin ;-) donc je partage.
-----------------
Le marché de l'emploi a franchi une nouvelle étape en 2020, très probablement accélérée par les confinements COVID qui ont provoqué une généralisation de la transformation des usages professionnels vers le numérique. En parallèle et logiquement cela s’accompagne d’un développement significatif de la cybercriminalité.
Selon une étude de l'ANSSI, les cyberattaques sur les entreprises françaises ont augmenté de manière significative durant la pandémie, représentant un risque important pour les sites employeurs, entre autres.
Cyber risque : la 3ème Économie mondiale
« Evalué à 6 000 milliards de dollars en 2021, le risque cyber devrait atteindre 10 500 milliards de dollars en 2025 compte tenu de son rythme de croissance de près de 15% par an. Le poids économique qu'il représente fait de lui la troisième économie mondiale derrière les États-Unis et la Chine. Si la pandémie de Covid-19, et notamment le télétravail devenu la source de 20% des incidents cyber, a accéléré et facilité les attaques, le cyber espace et ses dangers se nourrit et se développe dans une économie qui se digitalise plus rapidement qu'elle ne se protège contre ces nouveaux risques. » (source : Etude Le Club des juristes, think tank juridique français, publiée le 3 mai 2021)
Les enjeux spécifiques aux sites employeurs
1/ Maintenir la confiance des candidats De par son fonctionnement et son modèle, le site employeur est extrêmement exposé. Il engage non seulement sa responsabilité vis-à-vis des candidats, mais cet élément est vital à son développement et même sa survie. En clair, les candidats doivent impérativement avoir confiance aux systèmes qui traitent leurs données personnelles et professionnelles.
2/ Prendre conscience que la cybersécurité est une culture d’entreprise, quelle que soit sa taille « Les TPE et les PME doivent comprendre qu’elles sont autant vulnérables que les grandes entreprises françaises. De par le fait qu’elles sont devenues une porte d’entrée sur les grands groupes, elles doivent comprendre qu’elles sont devenues la cible privilégiée des cybercriminels et cela même si elles continuent d’être attaquées pour les mêmes raisons que les grandes entreprises (vol d’informations sensibles, escroquerie…). » (Interview de Ely de Travieso président du Clusir Paca, 2016, FEVAD).
Une culture d’entreprise intégrant ce point permet, quelles que soient ses contraintes, de combiner solutions techniques et organisationnelles. La bonne nouvelle est que les solutions se développent et se démocratisent. Par exemple, une entreprise peut simplement trouver des solutions « tiers de confiance » ("Les tiers de confiance sont des structures habilitées à effectuer des opérations d'échange, de sécurisation et de conservation des données").
Cependant, le risque zéro n’existe pas. La cybersécurité a un coût, difficilement chiffrable mais conséquent lorsqu'il s’agit d’agir après une attaque. Nous pouvons donc considérer que l’anticipation est de l’ordre de l’investissement.
3/ Gérer la cybersécurité sous le rapport risque/coût/gain
L’aspect organisationnel étant essentiel, l’entreprise doit donc équilibrer les risques et le retour qu’elle doit générer. Un parcours utilisateur optimal avec une interface de candidature trop simplifiée représente un éventuel risque de sécurité que l’entreprise anticipe. En effet, il est complexe pour elle de renoncer à cette optimisation.
L’arbitrage est donc complexe entre sécurité, mise en œuvre opérationnelle et organisationnelle, et efficacité !
Les Solutions
Les métiers du responsable de la sécurité des systèmes d’informations (ou RSSI) sont en mutation permanente. Au sein d’une structure et bien au-delà de l'aspect uniquement RH mais globalement, son rôle est essentiel. La maturité de l’entreprise se mesure d’ailleurs à la fréquence et à la qualité des interactions entre les différents services et le RSSI. Pour les plus petites structures n’ayant pas les moyens d’internaliser ce type de fonction, au-delà des outils disponibles, il existe de multiples offres pouvant concilier leur budget aux contraintes de sécurité. Il incombe par ailleurs dans ce cas au dirigeant ou à la personne en charge de veiller à différents points pouvant sembler simples mais qui permettent de bloquer un certain nombre d’attaques :
La prévention : sensibiliser les collaborateurs et mettre en place des procédures internes.
La protection des données sensibles de l’entreprise : ne pas se dire qu’il est trop cher de mettre en place certaines solutions de sécurité et prévoir des solutions de sauvegardes multiples.
L’aspect juridique : là encore les entreprises les plus matures ont déjà pris leurs dispositions, mais le petit employeur peut lui aussi anticiper ce point, notamment en ce qui concerne le partage de responsabilité entre le site employeur et ses prestataires. La protection des données personnelles et professionnelles des candidats est indiscutable.
En dehors des attaques liées à l'adoption croissante de technologies comme le Cloud, l'IA et le Machine Learning, l’augmentation du télétravail engendre de nouveaux terrains d’attaques. N’oublions pas la 5G, nouvelle porte d’entrée pour la cybercriminalité. Selon Yoel Tordjman, CEO de DataScientest (avril 2021) : «Les petites entreprises sont des proies faciles, car leurs systèmes de sécurité sont souvent moins élaborés faute de moyens. En cas de partenariat avec de grandes multinationales, une PME peut aussi être piratée pour servir d'accès au plus gros “gibier”. Selon une étude menée par Smallbiztrends, seuls 14% des entreprises estiment pourtant avoir la capacité de faire face à de telles attaques. (…) Face aux enjeux colossaux de la cybersécurité en entreprise, les professionnels sont de plus en plus demandés et de nouveaux métiers ne cessent de voir le jour. D'ici 2022, le nombre d'offres d'emploi devrait augmenter de 37% par an selon le Bureau of Labor Statistics des États-Unis. Entre 2013 et 2021, le nombre de postes à pourvoir a crû de 350%. »
Si l’entreprise n’est pas en mesure d’internaliser, elle doit donc faire appel à des profils spécifiques ou former ses collaborateurs. Si cela n’est pas possible non plus, il existe des ressources en ligne très pertinentes et complètes. Notamment, l’ANSSI (Agence nationale de la sécurité des systèmes d'information), autorité nationale en matière de sécurité et de défense des systèmes d'information, produit de nombreux documents destinés à des publics variés. Beaucoup de fiches pratiques (prévention, protection, réaction) pour sensibiliser aux bonnes pratiques de sécurité numérique et accompagner les entreprises dans la mise en œuvre de ces mesures de sécurité : sur ce lien ANSSI - Bonnes pratiques.
留言