JustHR

Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs, il est donc essentiel de connaître les ressources de l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du système d'information.

Ramené au monde RH, il en va de même lors de l'ouverture de portails et de self-services sur internet. Par ailleurs, avec le nomadisme, consistant à permettre aux collaborateurs distants de se connecter au SIRH à partir de n'importe quel endroit, les personnels sont amenés à « transporter » une partie du système d'information hors de l'infrastructure sécurisé de l'entreprise.

La sécurité informatique vise généralement trois principaux objectifs identifiés la plupart du temps par les trois lettres D.I.C.

- D comme disponibilité, permettant de maintenir le bon fonctionnement du système d'information. L'objectif de la disponibilité est de garantir l'accès à l’information à un service, à des utilisateurs ou à des ressources.

- I comme intégrité, permettant de garantir que les données sont bien celles que l'on attend. Vérifier l'intégrité des données consiste à déterminer si les données n'ont pas été altérées durant la communication (de manière fortuite ou intentionnelle).

- C comme confidentialité, consistant à assurer que seules les personnes habilitées aient accès aux informations échangées.

Le point d’entrée sera :

- L'authentification, consistant à assurer que seules les personnes autorisées ont accès aux ressources.

L’authentification

Un SIRH contient non seulement des données sensibles comme le salaire, les augmentations individuelles, les primes, mais également des données à caractère confidentiel (diplômes, âge, carrière, situation de famille, conjoint, enfant, etc.). Il est donc important de soigner le mode d’authentification à la fois par respect pour le salarié qui a confié ses informations à son gestionnaire mais aussi pour le gestionnaire qui doit être le garant de la confidentialité exercé sur les informations de son client. Avec internet et la montée en puissance des applications en self service, on va encore plus loin, le salarié doit avoir la garantie que son dossier est inviolable.

La première étape est l'authentification, celle-ci passe encore majoritairement par l'utilisation du couple identifiant - mot de passe.

Idéalement, les entreprises peuvent mettre en place un projet SSO (Single Sign-On) afin qu'un unique login identifiant - mot de passe donne accès à l'ensemble des applications.

Une stratégie claire dans la politique de sécurité

Une stratégie efficace impose en effet le respect de certaines bonnes pratiques, appliquées grâce à la sensibilisation des utilisateurs et à la mise en place de procédures de contrôle a priori. Cela passe par le fait de proposer des changements réguliers (variables selon la criticité), tout en bloquant la possibilité d'utiliser des mots de passe déjà employés par le passé. Cette configuration peut être paramétrée directement au niveau du système d'exploitation.

Dans un souci de souplesse, les stratégies peuvent être appliquées à des profils d'utilisateur. On pourra ainsi exiger d'un administrateur, d'un directeur général ou d'une personne ayant des privilèges élevés, qu'il définisse obligatoirement un mot de passe respectant des critères stricts.

Sensibiliser les utilisateurs sur leurs responsabilités 

La sécurité informatique de l'entreprise repose sur une bonne connaissance des règles par les salariés, grâce à des actions de formation et de sensibilisation auprès d’eux, mais elle doit aller au-delà.

Un audit de la politique de mot de passe peut représenter la première étape d'une campagne de sensibilisation. Celle-ci aura pour but de démontrer l'importance de faire preuve de rigueur.