Dans de nombreuses organisations, la cybersécurité est souvent considérée à tort comme un problème purement technique relégué au seul département informatique. Cependant, chez iExperts, nous constatons régulièrement que l'élément humain reste la variable la plus significative de toute posture de sécurité. Les Ressources Humaines (RH) ne sont pas seulement une fonction de support ; elles constituent un pilier critique de la Gouvernance de la Cybersécurité. En intégrant les exigences de sécurité dans le cycle de vie des employés, les organisations peuvent atténuer les risques avant même qu'ils n'atteignent la couche réseau.

Sécurité fondamentale : Recrutement et embauche

La gouvernance de la sécurité commence avant même qu'un employé ne franchisse la porte. Une sécurité du personnel efficace débute par des processus de sélection rigoureux conformes à des normes telles que l'ISO/IEC 27001:2022. Les RH doivent s'assurer que les responsabilités en matière de sécurité sont clairement définies dans les descriptions de poste et que les vérifications d'antécédents sont proportionnelles au niveau d'accès que l'individu détiendra.

• Vérification des qualifications
• Filtrage complet des antécédents
• Exécution d'accords de confidentialité exécutoires

Cultiver une culture axée sur la sécurité lors de l'intégration

La phase d'intégration est le moment le plus opportun pour établir les attentes de l'organisation en matière de sécurité. C'est ici qu'iExperts recommande l'introduction formelle de la Politique d'Utilisation Acceptable (AUP). Les employés ne doivent pas simplement signer ces documents ; ils doivent comprendre le « pourquoi » derrière les règles. Les départements RH devraient collaborer avec le RSSI pour proposer des formations couvrant la sensibilisation au phishing, l'hygiène des mots de passe et les protocoles de classification des données.

« La gouvernance ne consiste pas à restreindre le mouvement, mais à s'assurer que chaque mouvement de l'organisation est sécurisé, intentionnel et conforme aux normes mondiales. »

L'importance cruciale d'un processus de départ sécurisé

L'aspect le plus souvent négligé du rôle sécuritaire des RH est peut-être le processus de départ (offboarding). Les statistiques montrent qu'une partie importante des violations de données implique d'anciens employés disposant toujours d'identifiants actifs. Une stratégie robuste de Gestion des Identités et des Accès (IAM) exige que les RH notifient l'informatique en temps réel lorsqu'un employé quitte l'entreprise. Cela garantit que l'accès est révoqué immédiatement sur toutes les plateformes, y compris les services cloud et les locaux physiques.

• Récupération des actifs : Collecte systématique du matériel, des jetons et des appareils mobiles.
• Révocation des accès : Désactivation instantanée des comptes Active Directory et SSO.
• Entretiens de départ : Rappeler au personnel sortant ses obligations de confidentialité continues.

Conseil de pro

Pour automatiser ces processus et réduire le risque d'erreur humaine, envisagez d'intégrer votre système d'information RH (SIRH) directement à votre Fournisseur d'Identité (IdP). Cela permet un provisionnement et un déprovisionnement automatisés basés sur le statut de l'employé dans la base de données RH.

Une gouvernance efficace de la cybersécurité nécessite un front uni. Lorsque les équipes RH et de sécurité travaillent en tandem, elles créent un périmètre résilient qui commence par les personnes qui font avancer l'entreprise. Chez iExperts, nous aidons les organisations à combler ce fossé pour garantir la conformité et la sécurité à chaque étape du parcours de l'employé.