La cybersécurité est un enjeu pour tous, même pour le monde associatif et humanitaire. Organisations non gouvernementales (ONG) et associations peuvent être la cible de cybercriminels aux motivations financières ou politiques, ou faire face à des failles de sécurité. Il devient urgent que ces structures mettent en place une démarche de cybersécurité – même si cela peut sembler éloigné de leurs priorités et de leurs objectifs.
ONG et associations : des proies potentielles pour les cybercriminels
L’usage des outils informatiques pour fonctionner et se financer
Dès lors qu’une structure est « connectée », elle peut être victime de cyberattaques. C’est pour cette raison que la sécurité des systèmes informatiques est l’affaire de tous.
Comme toute organisation, les associations et ONG utilisent au quotidien des outils numériques connectés à internet pour héberger leur site, échanger des mails, mais aussi lever des fonds – campagnes de crowdfunding ou cagnottes en ligne, appels aux dons hébergés sur un site internet, etc.
Tous ces points d’entrées sont autant de surfaces d’attaques potentielles pour les cybercriminels, afin de détourner l’argent que ces organisations récoltent par exemple, de compromettre leur fonctionnement ou d’accéder à des données sensibles.
Le traitement des données à caractère personnel
La question de la protection des données à caractère personnel et leur gestion sont primordiales pour les associations, d’autant que ces données peuvent concerner les salariés, les bénévoles et les donateurs.
L’exemple le plus parlant est l’appel au don : lors de campagnes de dons sur internet, le donateur doit fournir ses informations bancaires, son adresse physique, etc. Ces données, qui peuvent être volées, revendues sur le dark web, voire être utilisées à des fins d’usurpation d’identité, doivent être protégées à tout prix, pour la sécurité des donateurs mais également afin de préserver la réputation de l’organisation.
Les ONG et la protection des données
70 % des acteurs du secteur non lucratif ne gèrent pas leurs données (sondage réalisé dans le programme Cyber For Good, 2022).
La nature des missions et des données sensibles
Les données personnelles ou sensibles traitées par les associations et ONG dans le cadre de leurs missions peuvent être de grande valeur pour un attaquant aux motivations politiques ou terroristes par exemple, car elles regroupent parfois des informations « thématiques ».
Certaines ONG peuvent avoir accès à des données ultra sensibles sur une population précise et considérée comme hautement vulnérable, telles que des listes d’adresses physiques de réfugiés politiques dans un pays d’accueil, ou des listes de personnes victimes de violences liées à leur appartenance à une minorité.
Ces informations sensibles peuvent également être détournées à des fins géopolitiques, car elles peuvent être considérées comme stratégiques pour un régime autoritaire ou un groupe terroriste.
La nécessité de sensibiliser à la cybersécurité
Toutes les organisations doivent prendre conscience des risques cyber et être sensibilisées pour limiter les attaques et se conformer à la réglementation – les ONG et associations n’y font pas exception.
Se conformer au Règlement Général de la Protection des Données est obligatoire dans les États membres de l’Union européenne pour toute organisation traitant des données. Les organisations à but non lucratif ont certes une mission « noble », mais cela n’exempte pas de se soumettre à la loi en vigueur.
La protection des outils informatiques utilisés pour les activités des associations est également essentielle pour maintenir leurs activités, protéger leurs différents acteurs et prévenir toute faille causée par une erreur humaine.
En France, près de 90 % des ONG s’estiment « pas du tout » ou « partiellement » prêtes à répondre à ces enjeux (Le Monde, 2022).
Associations et ONG, face à la menace Cyber
Le programme Cyber For Good
Cyber For Good s’inspire de Tech For Good, un programme d’acculturation et d’accompagnement pour les structures qui œuvrent pour l’intérêt général – un programme accéléré par le fonds de dotation Advens for People and Planet.
Un premier pilote du programme Cyber For Good a été lancé en septembre 2022 par Advens et ses deux partenaires Latitudes et Share It, deux structures elles-mêmes issues de Tech For Good : il a déjà mobilisé une trentaine d’experts cyber et une centaine d’interlocuteurs.
Cyber For Good a en effet pour ambition de mettre en relation les ESN spécialisées dans l’informatique et des associations, des ONG et des entreprises de l’économie sociale et solidaire (ESS). Le rôle d’Advens est de soutenir ces structures sur la partie cybersécurité. En 2023, l’ambition est d’élargir ce programme à toute la communauté cyber pour avoir plus d’experts en ressource et à tout l’écosystème ESS du territoire pour accompagner le plus grand nombre de structures ESS (avant un déploiement à l’international !).
L’engagement d’Advens en 3 étapes
L’engagement d’Advens s’articule sur trois temps forts pour accompagner les associations, ONG et startups solidaires.
Première étape : sensibiliser
Cette première partie prend la forme d’une série de trois webinaires pour évangéliser, acculturer le monde associatif et le secteur non lucratif aux bonnes pratiques de cybersécurité et faire prendre conscience de l’importance de protéger ses données.
Deuxième étape : coacher
Advens propose – à travers l’engagement volontaire de ses collaborateurs – une heure de coaching gratuit pour éclairer les structures sur des problématiques précises de cybersécurité qu’elles auront exprimées à la suite des webinaires.
Les heures « solidarité et engagement » mises en place par Advens permettent à chaque collaborateur de s’impliquer sur des projets à impact, à raison de 2 jours par an et par collaborateur.
Troisième étape : accompagner sur la durée
La dernière étape est un appel à projets pour accompagner trois structures sur des problématiques cyber approfondies via du mécénat de compétences, pour mettre à disposition tout le savoir-faire des experts au profit des associations et ONG qui en ont besoin.
Quelques cyber-bonnes pratiques pour protéger son association
- Partage des données : limitez les accès à un fichier lorsqu’il est destiné à une personne externe à l’association (droits d’administration et temporalité). Désactivez les comptes des bénévoles ne faisant plus partie de la structure.
- Base de données à caractère personnel : assurez-vous d’être en conformité avec le RGPD.
Facebook & réseaux sociaux : pour les campagnes de levée de fonds, pensez à activer l’authentification forte. - Site internet : redoublez d’attention lors du choix des prestataires chargés de l’hébergement, de la conception et de la gestion. Mettez à jour les systèmes d’exploitation, les logiciels et les applications afin d’éviter toute faille de sécurité.
L’univers associatif et humanitaire n’est que trop peu sensibilisé aux enjeux de la cybersécurité. C’est pourtant un sujet essentiel pour se prémunir contre toute attaque, face à des assaillants qui ne s’encombrent ni de vertus, ni de morale.
À quoi ça sert de protéger son système informatique ? Est-ce que ça coûte cher ? Comment faire ? Toutes ces questions ne doivent plus être un frein : nous sommes en mesure de rendre la cybersécurité accessible à tous.
Advens est engagé pour un monde plus juste. C’est pour cela que nous accompagnons des structures associatives dans leurs démarches de protection en leur apportant des solutions concrètes, rapides et faciles à mettre en place avec notre programme Cyber For Good.