L’analyse du cyber-comportement dans l’environnement de travail
Emplois menacés, atteinte à l’image de marque, démoralisation du personnel et lourdes conséquences financières… les retombées d’un vol de données peuvent être extrêmement préjudiciables. D’autant que, depuis l’entrée en vigueur du RGPD, il semble clair que les enjeux et les sanctions ne font que s’accentuer.
La protection des entreprises contre ces incidents est un défi de tous les instants que les entreprises se doivent de relever : il en va potentiellement de leur survie. Un challenge auquel chacun doit faire face un jour ou l’autre au sein d’une entreprise, quel que soit son poste. Que vous soyez chef d’entreprise ou jeune stagiaire, la cybersécurité est devenue une affaire de responsabilité collective.
Toutefois, cette responsabilité n’est pas la même pour tout le monde, et diffère selon le poste de l’employé. Par exemple, quel rôle les ressources humaines (RH) peuvent-elles jouer dans la protection des entreprises ? Font-elles le nécessaire pour contribuer à se mettre à l’abri d’une attaque ? Comment délivrer avec succès un programme de ce genre ?
Une réponse inattendue
La réponse à certaines de ces questions nous vient d’une source apparemment inattendue mais qui est en passe de prendre une importance croissante dans les environnements de travail : le suivi et l’analyse du comportement. En cernant et analysant les interactions et les actions des employés avec les données de l’entreprise, il est possible pour cette dernière de déceler les activités anormales ou dangereuses dans l’environnement numérique, les traiter et réagir en quasi temps réel. Il est ainsi possible d’analyser différents types de comportements utilisateurs, ainsi que leur accès aux applications et services dans un système d’information hybride, mêlant des applications locales et dans le cloud ainsi que des utilisateurs nomades. Mieux encore, ce suivi de données peut s’appliquer de manière pseudo-anonyme, afin que le personnel n’ait connaissance de l’identité d’un utilisateur que dans des circonstances prédéfinies et strictement contrôlées. Les entreprises peuvent ainsi contenir des incidents de cybersécurité avant même que ces derniers ne soient susceptibles de nuire à leur activité.
Les départements RH ont pour rôle d’encourager les bonnes pratiques dans l’entreprise et de veiller au bien-être du personnel. C’est donc leur responsabilité de promouvoir ces programmes d’analyse comportementale auprès des collaborateurs.
Une démarche délicate
Le principal obstacle à surmonter, aussi bien lors du lancement d’une démarche de ce type dans une entreprise que durant la partie opérationnelle, est la peur. L’analyse du comportement au sein de l’environnement de travail est notoirement sujette à des craintes et des doutes infondés, en particulier en matière de respect de la vie privée. La sensibilité au traitement des données s’est en effet exacerbée à la suite des scandales récents comme Cambridge Analytica et de l’entrée en vigueur du RGPD.
Les départements RH doivent donc maintenir une collaboration forte avec le personnel de sécurité en charge de la protection contre les menaces potentielles, tout particulièrement sur le respect de la vie privée des collaborateurs. Il importe de faire savoir dans l’entreprise que la mise en place d’outils et de processus d’analyse du comportement dans le cadre de l’utilisation des données peut prévenir de graves incidents, sans pour autant empiéter sur la vie privée ni gêner le travail de chacun : c’est une initiative bienveillante visant à défendre l’entreprise et son personnel contre le risque de cyberattaque. En effet, le suivi du comportement des collaborateurs dans un environnement de travail protège de précieux actifs mais aussi des moyens d’existence des employés.
Un filet de sécurité pour les employés
Dans certains secteurs tels que la finance, l’industrie pharmaceutique ou la défense, il est admis que les personnes ayant accès à des données critiques, voire ultrasecrètes, soient plus étroitement surveillées pour des raisons de sécurité, de droit ou de conformité. De très nombreux autres secteurs peuvent bénéficier de systèmes similaires car ces informations contextuelles sont primordiales pour identifier des auteurs de cyberattaques, des postes utilisateurs infectés ou des vols d’identité. Malheureusement, les outils de sécurité traditionnels ne fournissent pas ou ne traitent pas ces informations.
Les entreprises ont besoin de programmes d’analyse comportementale afin de comprendre au mieux la manière dont les utilisateurs interagissent avec les données et les différences d’intention derrière une activité suspecte, que celle-ci résulte d’un accident, d’un piratage ou d’un acte de malveillance. Il se peut que des données aient fuité à la suite d’une simple erreur mais, faute de contexte, il est impossible d’analyser correctement l’incident et de le traiter en conséquence, voire y remédier en amont.
Pour développer cet aspect, imaginez que votre poste de travail soit piraté. Alors que vous n’êtes pas à votre bureau, des cybercriminels naviguent librement sur votre machine et accèdent à des fichiers et documents de travail de l’entreprise. Ceux-ci pourraient rapidement causer des dommages à l’entreprise. Que ce soit en divulguant des données confidentielles, en effaçant ou modifiant des informations critiques ou encore en les conservant afin de les revendre ou de les échanger contre rançon. Toutes ses actions se dérouleraient en votre nom et, en l’absence de suivi du comportement dans l’environnement de travail, vous apparaîtriez comme le coupable tout désigné. Des programmes élaborés d’analyse du comportement détecteraient ces activités dès qu’elles se produisent et détermineraient qu’elles ne correspondent pas à votre comportement habituel. Les équipes de sécurité seraient automatiquement alertées afin de restreindre – voire de bloquer totalement – l’accès de l’utilisateur pour empêcher l’exfiltration. Avec pour conséquence la sauvegarde de la réputation de l’entreprise comme de ses collaborateurs.
Plus grande proximité
Une autre piste de réflexion intéressante consiste à se demander comment ces outils d’analyse peuvent servir et protéger les responsabilités directes du personnel RH. Bon nombre nous expliquent qu’une part importante de leur temps de travail est consacrée à effectuer des micro-évaluations : analyse de l’état d’esprit, du comportement, voire d’éventuels risques de défection. Or, votre rôle devrait être axé sur l’amélioration et la préservation du bien-être des collaborateurs. Pour accomplir une mission aussi floue, le personnel RH a besoin de toute l’aide possible. L’analyse du comportement dans l’environnement de travail peut y contribuer, en repérant en temps réel les comportements potentiellement nuisibles ou dangereux à la suite de changement d’attitudes d’un salarié. Le personnel RH est alors en mesure d’y remédier avant que des dommages graves ne soient causés et, éventuellement, rappeler aux collaborateurs les comportements professionnels attendus, voire les aider si nécessaire.
Position idéale
Alors que les cyberattaques, qu’elles soient de sources externes ou internes, font l’actualité quasi quotidiennement, il n’a jamais été aussi important pour les entreprises de mettre en place des processus et des solutions pour protéger, non seulement leurs clients, leur propriété intellectuelle et leur image de marque, mais aussi leurs collaborateurs. Les équipes RH sont dans une position idéale pour mettre en œuvre des mesures de suivi et d’analyse du comportement utilisateur dans le cadre de leurs interactions avec le réseau et les données de l’entreprise, de manière à faire passer en priorité l’intérêt du personnel. Le département RH pourrait même voir son statut et ses responsabilités rehaussées au sein de l’entreprise, en raison du rôle accru que celle-ci peut leur attribuer dans la protection de ses actifs et de ses collaborateurs. En partageant et en faisant comprendre clairement les raisons du choix de cette analyse du comportement, l’entreprise répondra aux craintes de ses salariés quant aux perceptions d’un projet type « Big Brother ». Elle aura ainsi l’assurance que chacun de ses membres participe activement à la sauvegarde de ses informations sensibles, de ses capacités opérationnelles et de sa réputation.
- L’analyse du cyber-comportement dans l’environnement de travail - 16 janvier 2019
