En entreprise, un nombre important d’informations sensibles circule au quotidien. La confidentialité et sécurité de ces données sont une priorité, bien que cela ne soit pas toujours si simple, dépendamment des méthodes mises en place par l’organisation pour les préserver.
Il en va d’autant plus pour les données RH, d’autant plus sensibles et confidentielles.
Les managers RH ont d'ailleurs l’obligation de les protéger et d’assurer leur confidentialité. Une mission a ne pas prendre à la légère! Ces départements doivent donc mettre en place des mesures de confidentialité fortes et fiables pour les protéger.
Voici quelques pistes de réflexion :
LA CONFIDENTIALITÉ DES DONNÉES RH, L'AFFAIRE DE TOUS
Les managers en Ressources Humaines ont affaire à de nombreuses données sur l'ensemble des salariés de leur organisation. Elles concernent non seulement la vie professionnelle mais également privée des membres des équipes (adresse, date de naissance, rémunération...).
Les départements RH n’ont toutefois pas tous les droits sur ces données.
Au fond, au-delà des RH, ceci s’applique à toute l’entreprise : toute personne qui manipule des données a une responsabilité. D'où l'importance d'identifier clairement qui devrait accéder à certaines de ces données et pourquoi!
Pour ce faire, les entreprises peuvent créer des profils de sécurité, ou mettre en place une granularité des accès.
Créer des profils de sécurité distincts permet de restreindre les accès à certains dossiers et ainsi d’éviter que des informations délicates ne se retrouvent entre les mauvaises mains.
Ainsi, les employés n’ont accès qu’aux informations qui leur sont pertinentes et nécessaires dans le déroulement de leurs tâches. Pas plus, pas moins!
Les données stockées dans des dossiers physiques, elles, se voient encore plus fragilisées que celles structurées dans un cadre en ligne, comme un Système d'Information Ressources Humaines (SIRH) par exemple.
En effet, un dossier papier peut simplement être perdu, abimé, détruit ou même volé. Il ne possède pas non plus de sécurité d’authentification : une fois sur un bureau, rien n’empêche un collègue curieux de l’ouvrir et d’en consulter son contenu.
Même constat pour la gestion par fichiers Excel, souvent décentralisée. Un système par qui peut occasionner de nombreuses erreurs de retranscription ou des pertes de données.
LES DANGERS DU TÉLÉTRAVAIL
Le télétravail a pris une place importante dans nos vies professionnelles cette dernière année et demie.
Pourtant, encore aujourd’hui, très peu d’entreprises prennent en considération les dangers en termes de sécurité que le travail à distance peut représenter.
Pour commencer, le télétravail a décuplé le volume de données échangées par e-mail. Un détail anodin pour beaucoup.
Pourtant, comment assurer que les employés d’une entreprise ne divulguent pas des données confidentielles, voire des accès à des outils, des fichiers ou à des bases de données de l’organisation, par e-mail?
Difficile en effet de garder une trace de tout ce qui peut être échangé entre collègues.
Ici encore, une granularité des accès et des profils de sécurité pourrait éviter une fuite de données, volontaire ou non, dans l’entreprise.
LA SENSIBILISATION POUR ÉVITER LES ATTAQUES À L'INTERNE
Nous entendons de plus en plus parler d’affaires liées à des vols de données.
En premier lieu, il est bon de savoir que ces vols peuvent arriver dans des entreprises de toute taille, non seulement dans de grandes multinationales.
Pour rappel, selon le Ponemon Institute et IBM Security, 51% des entreprises ont été victime d’au moins une cyberattaque qui a occasionné un incident important venant perturber les activités de l'organisation entre 2019 et 2020. C’est plus d’une entreprise sur deux.
Ces incidents coûtent d’ailleurs très cher aux organisations victimes. Selon IBM, le coût moyen d'une fuite de données est de 3,86 millions de dollars.
Hameçonnage, fraude, malveillance, erreur involontaire d’un individu dans l’entreprise… les types de fuites de données sont nombreux (et se multiplient !). C’est pourquoi il est si important de sensibiliser ses salariés et de tout faire pour éviter ces malencontreux événements.
De nombreux moyens existent pour éviter ce genre de situations. Système de pare-feu, connexion sécurisée…
Vous pourriez également offrir des procédures de sécurité pour vos équipes. En cas de doute sur la provenance d’un courriel, la véracité d’un site internet qui demande des identifiants de connexion, elles pourraient se référer à un document présentant des étapes de vérification à effectuer avant de cliquer sur un ou plusieurs liens suspects.
Un SIRH peut également aider à la protection de vos données!
D'autres outils d’authentification sont également accessibles avec un SIRH, comme du SSO ou encore la double authentification.
Enfin, pour assurer la sécurité des données de son entreprise, notez que de nombreux éditeurs de SIRH font affaire avec des prestataires de services qui protègent les serveurs (encryptions), empêchant ainsi de lire les données d'une organisation à partir d’un serveur inconnu.