Selon le dernier baromètre du CESIN, 60 % des cyberattaques en 2023 étaient liées à des techniques de phishing, spear phishing ou smishing. En parallèle, 31 % des entreprises ont signalé des vols de données. Si la protection des informations clients reste une priorité pour de nombreuses organisations, les données des employés représentent également une cible lucrative pour les cybercriminels.

Pourquoi les données des employés sont-elles si vulnérables ?

Les informations des collaborateurs, particulièrement dans les secteurs sensibles comme le public ou la justice, peuvent être exploitées pour des actes malveillants tels que l’usurpation d’identité ou des menaces physiques. Les collaborateurs travaillant sur des données confidentielles sont particulièrement exposés.

Malheureusement, la sécurité des données des employés est souvent reléguée aux départements RH, qui ne disposent pas toujours des compétences techniques nécessaires en cybersécurité. Ce manque de coordination avec les équipes IT et sécurité accroît les vulnérabilités.

Comportements à risque et menaces internes
Les attaques de phishing ciblent fréquemment les employés pour voler des justificatifs d’identité ou d’autres informations sensibles. L’utilisation d’identifiants professionnels à des fins personnelles, comme pour des inscriptions en ligne, ouvre la porte aux attaques de type credential stuffing. Par ailleurs, les menaces internes, qu’elles viennent de salariés mécontents ou d’une gestion défaillante des départs, constituent un autre facteur de risque.

Sécuriser les données : découvrir, classer et protéger

Pour protéger efficacement les informations des collaborateurs, les entreprises doivent commencer par une évaluation approfondie de leurs données :

  • Localiser les informations sensibles : évaluations de performance, ajustements salariaux, dossiers médicaux, etc.
  • Supprimer les données superflues de manière sécurisée.
  • Protéger les données essentielles avec des politiques adaptées à leur sensibilité.

Ces pratiques permettent de réduire la surface d’exposition aux attaques tout en garantissant une gestion claire et organisée.

Une stratégie de protection globale et équitable
Toutes les informations personnelles méritent une protection égale, qu’elles concernent les clients ou les employés. Les entreprises doivent assurer une coordination entre les services RH et IT pour mettre en place des stratégies de sécurité robustes, y compris dans un environnement de travail hybride ou à distance.

Les technologies cloud, devenues essentielles pour la collaboration, ajoutent une couche de complexité en matière de sécurité. Les organisations doivent s’équiper d’outils capables de protéger les données sensibles, qu’elles soient stockées en interne ou dans le cloud.

Sécuriser les données partagées avec des tiers
Les tiers tels que les administrateurs de régimes de retraite ou les sociétés de vérification des antécédents manipulent également des données sensibles. Il est crucial de vérifier leur conformité avec les normes de sécurité et de s’assurer qu’ils protègent ces informations avec le même niveau de rigueur que l’entreprise.

Appliquer le RGPD pour les clients et les employés
Les réglementations comme le RGPD imposent une protection équivalente pour toutes les données personnelles, qu’elles concernent les clients ou les collaborateurs. Ignorer cette règle peut exposer les entreprises à des sanctions financières importantes. Les organisations doivent adopter des politiques de sécurité strictes et promouvoir une culture de la protection des données pour limiter les risques.

Priorité à la protection des données
Face à la montée en puissance des cyberattaques, sécuriser les informations des employés est un impératif stratégique. Les entreprises doivent renforcer leurs pratiques de gestion des données, adopter des solutions technologiques avancées et sensibiliser leurs équipes à l’importance de la cybersécurité. En protégeant de manière équitable les données des clients et des collaborateurs, elles garantissent leur conformité et renforcent leur résilience face aux menaces numériques.

error: Content is protected !!