Le rôle croissant des RH dans la cyber-résilience des organisations

Dans le paysage numérique actuel, la cybersécurité n’est plus uniquement du ressort des départements informatiques. Selon le rapport Verizon 2025 sur les violations de données [1] , 60% des violations impliquaient un élément humain – un rappel brutal du fait que les personnes sont la première ligne de la cyberdéfense. C’est pourquoi les professionnels des Ressources Humaines (RH) sont de plus en plus reconnus comme des acteurs essentiels dans la protection des organisations contre les cybermenaces.

Comment les RH peuvent-elles contribuer à prévenir et à répondre aux cybermenaces ?

Les équipes RH occupent une position unique pour façonner et influencer la culture de l’organisation, ce qui fait d’elles un partenaire essentiel pour la fonction sécurité. En travaillant ensemble, les départements RH et Informatique peuvent codévelopper des politiques couvrant l’utilisation acceptable, le travail à distance sécurisé et les attentes en matière de comportement des utilisateurs. Il est essentiel que les employés, à tous les niveaux, comprennent leur responsabilité personnelle dans la protection des données, des systèmes et des services.

La formation à la sécurité doit être obligatoire pour tous les rôles dans l’entreprise, et pas seulement pour ceux disposant d’un accès privilégié. Les RH peuvent promouvoir des sessions de formation régulières et motivantes et contribuer à intégrer une culture de sensibilisation à la sécurité dans les opérations quotidiennes. Il faut noter que 22 % des violations proviennent désormais de comptes compromis.

Le processus de recrutement doit également s’adapter aux menaces modernes. La technologie deepfake peut permettre à des acteurs malveillants d’usurper l’identité de demandeurs d’emploi. Dans un exemple récent, un agent nord-coréen a utilisé des images générées par IA et des identités volées pour occuper une fonction informatique à distance dans une entreprise occidentale, contournant les vérifications standard. Les RH doivent rester vigilantes, examiner les incohérences et vérifier l’identité des candidats pendant le recrutement.

Quels plans d’urgence les départements RH devraient-ils prévoir en cas de perturbations dues aux cyberattaques ?

Lorsqu’une cyberattaque survient, les RH deviennent un intervenant critique. L’accès à des informations de contact précises et à jour est essentiel pour assurer une communication rapide et multicanale – via SMS, e-mail et applications mobiles. Les RH devraient disposer d’un organigramme de contacts d’urgence prédéfini et d’un modèle de priorisation qui permet la continuité des opérations et l’accompagnement du personnel.

Il y a des rôles critiques qui doivent rester opérationnels pendant une crise cyber, et les RH devraient les pré-identifier pour s’assurer qu’ils bénéficient d’une assistance supplémentaire. Cette assistance peut inclure des prestations de voyage et d’hébergement, mais elle doit aussi prévoir un programme de bien-être obligatoire pour aider ces employés à gérer le stress lié à l’intervention en cas d’incident, compte tenu des conséquences psychologiques de tels événements. Ce programme de bien-être peut également proposer des conseils et un soutien en santé mentale à un personnel plus large qui pourrait être affecté par l’incertitude prolongée.

Les systèmes RH eux-mêmes doivent être résilients. La paie, l’administration et les données essentielles des employés doivent être sauvegardées de manière sécurisée dans des environnements séparés. Des processus manuels doivent également être développés au cas où les systèmes informatiques seraient hors service. La paie du personnel ne peut pas échouer juste parce que les systèmes sont indisponibles.

Enfin, une stratégie médiatique coordonnée est d’une importance capitale. Les RH devraient collaborer avec le département Communication pour prédéfinir qui parle publiquement, quand et avec quels messages – en assurant clarté, confiance et cohérence.

Quelles sont les meilleures pratiques pour former les équipes distantes et hybrides à la cybersécurité ?

Les travailleurs distants et hybrides sont des cibles privilégiées pour les attaquants. Ils opèrent souvent sans la protection des contrôles de sécurité en place sur site et ils sont moins susceptibles de poser des questions informelles ou de repérer des activités suspectes.

Pour l’ensemble du personnel, la formation annuelle traditionnelle s’avère largement inefficace. Les RH devraient soutenir une formation basée sur les sciences comportementales proposant des apprentissages de courtes durées (2 à 5 minutes), dispensés fréquemment et sur plusieurs canaux. Tous les employés ne travaillent pas au bureau ou ne sont pas rivés à leurs e-mails, donc l’approche doit être inclusive.

Les simulations basées sur des scénarios – comme l’hameçonnage ou le vishing (hameçonnage vocal) – aident les utilisateurs à reconnaître les menaces. Des éléments ludiques, comme une marque de reconnaissance pour avoir signalé des tentatives d’hameçonnage, améliorent l’engagement des employés. Des interventions en temps réel, comme un tutoriel pop-up après un clic sur un e-mail d’hameçonnage, renforcent les leçons au moment le plus propice à l’apprentissage.

L’intégration de méthodes comme le modèle comportemental de BJ Fogg et la théorie du nudge peuvent également entraîner un véritable changement comportemental en rendant les choix de sécurité plus faciles, plus intuitifs et mieux encouragés.

Conclusion

Les professionnels des RH font partie intégrante de la cyber-résilience des organisations. En intégrant des comportements de protection dans la culture de l’entreprise, en réagissant rapidement aux menaces et en planifiant les éventuelles perturbations, les RH contribuent à protéger le noyau même de l’activité de l’entreprise.

Alors que les attaquants font évoluer leurs méthodes, les RH doivent elles aussi évoluer, en collaborant de manière proactive avec les départements informatiques et en restant attentives aux vulnérabilités humaines et systémiques.

Par Jean-Baptiste Roux, vice-président international chez SoSafe