3 min.

Cybersécurité

Associations et cybersécurité : à quoi faut-il penser ?

Date de publication : 31/03/2023

#Article

Les associations, comme toute autre personne morale, sont concernées par la cybersécurité et peuvent être victimes de cyberattaques. Elles doivent donc prendre des mesures préventives pour assurer la sécurité de leur système d’information. Voici quelques conseils à appliquer.

Etat des lieux : les associations et les cyberattaques

La transformation digitale (ex : obligation de passer à la facture électronique) pousse chaque secteur à redoubler de vigilance concernant les cybermenaces.

Selon une étude de l’ANSSI, en 2022, 6% des structures concernées par des attaques par rançongiciels sont des associations. Ces attaques, malheureusement très fréquentes, et véhiculées souvent par mail (phishing) exécutent un programme qui exfiltre puis chiffre des données qui deviennent illisibles et, par conséquent, inexploitables.

Par la suite, le pirate fait en sorte d’engager un chantage avec la victime afin de fournir une clé de récupération contre une somme en bitcoins. Au quotidien, la vigilance est de mise, notamment avec la messagerie qui est un vecteur important de tentative de cyberattaques.

Aujourd’hui, plus que jamais, la sécurité des systèmes d’information (SI) est un élément essentiel des organisations. Les associations ne sont pas épargnées par les cyberattaques ou les fraudes diverses. En effet, les criminels profitent des « faiblesses » techniques et/ou organisationnelles pour atteindre leurs objectifs. D’autant plus que des solutions de piratage sont accessibles « clés en main » sur le darkweb, donnant également l’opportunité à des apprentis de s’exercer à dessein.

A lire aussi

RGPD et association : la gestion de vos données personnelles est-elle conforme ?

Alors quelles précautions à prendre quand on est une association ?

Cybersécurité : sensibilisation des membres, bénévoles et salariés

Premier point, il est nécessaire de sensibiliser vos membres. Mettez des affiches sur des thématiques, suivez des formations en ligne (In Extenso dispose d’un programme de coaching cyber en partenariat avec la société Izencia), assistez à des webinaires, renseignez-vous également auprès des autorités (ex : gendarmerie) pour prévoir une session de sensibilisation. Le site https://www.cybermalveillance.gouv.fr/ propose également des informations efficaces et accessibles au grand public.

Vous souhaitez en savoir plus et être au courant des dernières actualités en matière de cybersécurité ?

Découvrez nos webinaires gratuits, réalisés avec Izencia et Tour digital.

Je m’inscris

Gestion et sécurisation du parc informatique

Voici quelques conseils pratiques à mettre en œuvre dans votre association en matière de cybersécurité :

• Equipez-vous d’un anti-virus qu’il faudra maintenir à jour afin de protéger vos ordinateurs des derniers virus connus.
• Ayez une vigilance accrue sur les comptes informatiques que vous ouvrez : les associations connaissent souvent un turnover important, notamment au niveau des bénévoles.
• Faites des revues régulières : désactivez les comptes non utilisés, et réinitialisez régulièrement les mots de passe qui sont connus par du personnel ayant quitté l’entité.
• Limitez les droits de ces comptes : mettez toujours des autorisations « au juste besoin ».
• Donnez de la complexité à vos mots de passe (utiliser une phrase : paroles de chanson, phrase culte de film, en mélangeant chiffres et caractères spéciaux par exemple) et changez-les régulièrement (ex : une fois tous les 3 mois). Surtout, n’utilisez pas le même mot de passe pour tous vos comptes. Un mot de passe trouvé et l’accès à votre vie numérique peut être dévoilé !
• Travaillez, dans la mesure du possible, sur des logiciels en Saas (Software as a service). Cela vous évitera de gérer l’obsolescence des logiciels et leur vulnérabilité. Attention toutefois aux conditions de vos contrats, notamment sur la protection des données que vous confiez. N’installez pas de logiciels non validés au préalable par votre informaticien.
• Sauvegardez vos données essentielles sur des support externes et protégez-les en lieu sûr, à l’abri du vol ou des risques incendies / inondations. Bien entendu, gardez à minima une sauvegarde par mois qu’il ne faudra pas écraser.

Certes, la sécurité de votre SI implique une gestion rigoureuse, toutefois, ces mesures seront bénéfiques pour l’ensemble de l’association (membres, salariés, bénévoles ou encore bénéficiaires).

Il est nécessaire de se rappeler également que les activités associatives manipulent de nombreuses données personnelles et donc soumises au Règlement Général sur la Protection des Données (RGPD). C’est une opportunité pour sécuriser son système d’information, tout en étant en adéquation avec la mise en conformité. Sur ce sujet, nous ne pouvons que vous conseiller le très bon guide de la CNIL spécifique aux associations.

72h

Si votre association subit un jour une cyberattaque, vous devez porter plainte auprès des autorités dans les 72h (loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur) si vous souhaitez avoir une chance d’être indemnisé par votre assureur. De plus, si des données personnelles sont concernées, il faudra également effectuer une déclaration auprès de la CNIL, sous le même délai de 72h.

Nous vous conseillons enfin de ne pas hésiter à faire appel à un expert cyber, car avec l’effet de sidération, il se peut qu’un soutien soit nécessaire. La pérennité de votre organisation sera fortement concernée.

Pour aller plus loin

Fraudes externes : s’y préparer pour s’en prémunir