Pour autant, l’utilisation de plateformes RH s’accompagne également de nouveaux risques de cybersécurité pour les entreprises, ce qui nécessite l’application de règles de sécurité strictes pour assurer la protection des données des entreprises face aux risques de cybercriminalité.
Voici tout ce qu’il faut savoir sur les violations de données des plateformes RH, ainsi que nos conseils pour renforcer votre protection sur ces systèmes.
Les données RH deviennent la cible des cybercriminels
Dernièrement, les cybercriminels ont développé de nouvelles attaques visant à toucher des plateformes RH et autres fournisseurs de services aux entreprises tiers, dans le but d’exposer des informations sensibles pouvant être utilisées pour perpétrer de nouvelles attaques. Ces fuites de données sont particulièrement dommageables du fait des informations dévoilées, allant des salaires aux adresses personnelles des employés.
Sequoia fait partie des entreprises concernées, et a fait part d’un accident survenu à la fin de l’année 2022 révélant les informations sensibles de nombreux clients, dont leurs numéros de sécurité sociale et les résultats de tests COVID-19. Cette violation touche les clients de la plateforme Sequoia One, une PEO (professional employment organization) qui assiste les entreprises dans la gestion des ressources humaines en externe. Ce service est particulièrement populaire auprès des start-ups américaines et serait utilisé par plus de 500 entreprises.
L’entreprise a signalé un accès non autorisé à une partie de son système de stockage cloud contenant des informations personnelles, dévoilant un ensemble de données personnelles sensibles, dont des noms, des adresses, des dates de naissance, des situations professionnelles, des salaires, des numéros de sécurité sociale ou encore des cartes d’identité gouvernementales.
La société déclare cependant qu’aucune donnée client n’a été modifiée, et qu’il n’existe pas de preuves que ces données aient été utilisées à mauvais escient. Toutefois, la situation reste préoccupante, d’où l’importance d’empêcher la perte d’informations sensibles en renforçant sa vigilance concernant ces systèmes.
Autre exemple survenu il y a peu, des experts de cybersécurité ont fait la découverte d’une base de données accessible au public contenant un total de 260 Go de données personnelles sensibles, des données provenant du PEO myrocket.co, spécialiste des solutions RH proposées aux entreprises indiennes. Au total, 200 000 employés et pratiquement 9 millions de demandeurs d’emploi seraient concernés par cette fuite de données. Une violation qui peut aider les cybercriminels à développer des campagnes de phishing ciblées et d’autres actions malveillantes.
Cette faille de sécurité a exposé des millions de documents privés, dont des déclarations fiscales, des fiches de paie, et 21 000 fiches de salaires des entreprises utilisant la plateforme RH, ce qui révèle des données personnelles telles que les noms des employés, des coordonnées bancaires, des adresses et de nombreuses autres informations privées. Une fuite de données qui peut être reliée à un manque de contrôle d’accès appropriés et à des erreurs de configuration sur la surveillance des infrastructures sensibles.
Ces fuites de données concernent également l’entreprise Gen Digital, cotée au NASDAQ et victime d’une récente attaque du ransomware MOVEit. Cette attaque a compromis les informations personnelles des employés de l’entreprise, dont les noms, les adresses, les dates de naissance ainsi que leurs adresses professionnelles. MOVEit était utilisé pour le transfert des fichiers de l’entreprise.
Comment protéger vos données sensibles lorsque vous utilisez des plateformes RH ?
La perte d’informations sensibles peut avoir de lourdes conséquences, tant pour les entreprises que pour leurs employés.
Ainsi, au-delà de renforcer la sécurité des systèmes RH pour protéger l’entreprise des violations de données préjudiciables, il est également important de protéger ces informations du fait des dangers auxquelles elles exposent les employés de l’entreprise, des risques de fraude et d’usurpation d’identité qui doivent être pris au sérieux.
Voici quelques conseils qui vous aideront à renforcer la protection des données de l’entreprise :
- Utilisez une solution vérifiée et sécurisée par votre équipe informatique : Il est important de choisir une solution sécurisée pour le stockage et l’organisation de l’ensemble des données RH sensibles, qui dispose de protections et de mesures de sécurité mises à jour.
- Protégez vos systèmes par des mots de passe forts : Les systèmes RH doivent être sécurisés par l’usage de mots de passe forts, des mots de passe qui doivent être uniques à chaque système et modifiés régulièrement.
- Renforcez les contrôles de niveau d’accès : Il est important de mettre en place des niveaux de contrôle d’accès performants, de manière à sécuriser la manière dont chaque employé peut accéder aux données de ressources humaines de l’entreprise.
- Formez vos employés : Chaque employé doit disposer d’une formation en cybersécurité régulièrement mise à jour, pour rester au fait des menaces et des bonnes pratiques à tenir pour améliorer la sécurité de l’entreprise.