Une cyberattaque contre les systèmes de paie et de ressources humaines peut exposer des données personnelles des employés et des informations financières de l’entreprise : une véritable mine d’or pour les criminels, pouvant mettre les entreprises à genoux par le biais d’amendes réglementaires, d’atteintes à la réputation et de perturbations opérationnelles.
« Les criminels ciblent le personnel des services de paie et des ressources humaines. Ils peuvent les tromper ou les contraindre en utilisant des informations personnelles, ou en leur faisant croire qu’ils aident le PDG. Les attaques par rançongiciel peuvent chiffrer les systèmes de paie. Négliger la cybersécurité de la paie et des RH, c’est comme laisser sa porte d’entrée grande ouverte dans un quartier dangereux », explique Sandra Crous, directrice générale de Deel Local Payroll, une solution de PaySpace.
Sécuriser ces secteurs d’activité stratégiques et leurs employés permet de réduire les risques pour votre entreprise. Des interventions allant de la formation personnalisée à l’utilisation de logiciels modernes, voici quatre conseils pour protéger votre paie et vos ressources humaines contre la cybercriminalité.
1. Comprendre les risques auxquels est confronté le personnel de la paie
Le personnel chargé de la paie est une cible de grande valeur car il a accès à des informations sensibles. Si des criminels s’emparent de ces informations, ils peuvent commettre des vols, des fraudes, des usurpations d’identité et bien d’autres méfaits.
Les criminels ciblent les employés du service de la paie de diverses manières. Ils peuvent les inonder d’attaques d’hameçonnage visant à voler des mots de passe ou à leur donner un accès non autorisé aux systèmes. Ils peuvent lancer des campagnes d’ingénierie sociale ciblant personnellement les employés. Ils peuvent même trouver des moyens d’inciter et de contraindre ces derniers à agir à leur guise. Ne sous-estimez pas la cruauté des cybercriminels qui s’en prennent aux employés du service de la paie et les extrémités auxquelles ils sont prêts à recourir.
2. Dispenser une formation en sécurité au personnel de la paie et des ressources humaines
Une fois que vous comprenez que le personnel de la paie et des ressources humaines est responsable de la protection des informations importantes, vous pouvez les aider en leur proposant une formation à la sécurité. Tout le personnel devrait être formé aux principes fondamentaux de la sécurité, notamment aux bonnes pratiques d’hygiène informatique et à la reconnaissance des messages d’hameçonnage et des escroqueries.
Ensuite, prévoyez une formation adaptée au personnel de la paie. Encouragez vos équipes de paie et de RH à collaborer avec des formateurs en sécurité afin de développer des compétences conformes aux processus et politiques internes. Cette formation ne doit pas se limiter à l’apprentissage par cœur ; elle doit inclure le renforcement de la résilience psychologique et encourager, de manière constructive et non punitive, les réflexes de sécurité.
3. Impliquer le personnel de sécurité
Les équipes de sécurité numérique ont souvent peu de points communs avec les services de paie ou des ressources humaines, et il est naturel qu’elles suivent des chemins séparés. C’est pourtant une erreur. Les équipes de sécurité contribuent à réduire les cyber-risques pour les autres services de l’entreprise, et la collaboration entre les spécialistes de la sécurité et les professionnels de la paie et des RH est extrêmement efficace.
Il existe plusieurs points de convergence entre les deux parties. Elles peuvent discuter conjointement des responsabilités liées à la paie et aux ressources humaines, notamment en matière de gestion des données. Elles peuvent se concentrer sur des objectifs communs tels que la réduction des erreurs de paie et le respect des normes de conformité. Elles devraient se rencontrer régulièrement et développer une compréhension partagée de la valeur ajoutée de chacune. Cette synergie permettra de renforcer la sécurité de manière pragmatique et productive.
4. Utilisez des logiciels modernes
Même les meilleures formations et la collaboration la plus efficace seront vaines si le logiciel sous-jacent est obsolète et dépourvu des fonctionnalités adéquates. Les logiciels de paie ou de ressources humaines isolés constituent des points de défaillance uniques que les criminels peuvent facilement exploiter, chiffrer et corrompre.
Les logiciels traditionnels de paie et de gestion des ressources humaines sont dépourvus de nombreuses fonctionnalités modernes essentielles et continueront d’être dépassés. Les plateformes cloud natives pallient les failles de sécurité. Leur gestion de comptes offre un accès modulable et sécurisé aux administrateurs, aux responsables et aux dirigeants. Les développeurs de la plateforme déploient automatiquement les mises à jour de sécurité sans interruption de service. Les équipes métiers et de sécurité ont accès à des journaux et des pistes d’audit détaillés permettant de détecter les activités criminelles et frauduleuses. Les logiciels cloud natifs permettent également aux employés d’effectuer des tâches, d’approuver des documents et d’accéder aux rapports en toute sécurité, où qu’ils soient.
