Association : 7 bonnes pratiques de cybersécurité

Pourquoi la cybersécurité est essentielle
pour une association ?

Pour une association, la cybersécurité n’est pas un luxe ou une option : c’est une nécessité pour les structures quelles que soient leurs tailles. Pour vous convaincre, voici quelques arguments à prendre au sérieux.

Les cyberattaques touchent tout le monde

Les associations ne sont pas épargnées par les cybercriminels. Les microentreprises, PME et entreprises de taille intermédiaire restent les structures les plus affectées par des rançongiciels. Plus clairement, il s'agit d'un logiciel malveillant chiffrant ou bloquant l’accès d’un système informatique et réclamant le paiement d’une somme d’argent pour le rendre de nouveau accessible.

Vous l’avez compris, ça n’arrive pas qu’aux autres : les structures les plus vulnérables, comme les associations 1901, restent des cibles de choix pour les hackers.

Protéger vos finances et vos missions

Chaque cyberattaque représente un coût moyen de 15 000 euros. Les conséquences financières seraient donc catastrophiques pour votre association. Une telle somme peut représenter plusieurs mois, voire plusieurs années de financements pour une organisation.

Un gouffre financier, sans compter l’impact négatif pour votre réputation et sur la confiance accordée par les membres, adhérents, bénévoles, partenaires et financeurs.

Garantir la continuité de vos actions

Une cyberattaque peut paralyser votre association pendant plusieurs jours, voire semaines. Imaginez un peu ne plus pouvoir accéder aux données de votre organisation, à la liste des adhérents, à vos dossiers de projets ou même à vos comptes bancaires.

La cybersécurité, c’est avant tout une garantie d’intégrité, de confidentialité et de disponibilité que vous offrez à votre structure et aux personnes qui gravitent autour. En bref, un moyen de continuer et d’assurer vos missions avec sérénité.

Respecter les obligations légales

Le Règlement général sur la protection des données (RGPD) s’applique à toutes les structures qui collectent et traitent des données personnelles. Les associations loi 1901 sont donc concernées par toutes ces obligations.

Le RGPD impose notamment de prendre les mesures de sécurité adaptées pour protéger correctement toutes les données confidentielles traitées. Ne pas respecter ces obligations, c’est une question de responsabilités envers vos membres et, surtout, prendre le risque de s’exposer à des sanctions.

‍

> À lire aussi : Moderniser les processus internes d’une association : avantages et opportunités

7 conseils pour protéger son association

Vous l’avez compris : la cybersécurité représente un enjeu majeur pour votre association, fédération, fondation ou ONG. Pour vous aider, voici 7 bonnes pratiques à mettre en place pour protéger efficacement votre organisation.

1. Sauvegarder régulièrement les données

Sauvegarder, sauvegarder et encore sauvegarder. Même avec la meilleure protection du monde, le risque zéro n’existe pas. C’est pourquoi des sauvegardes régulières restent votre meilleur matelas de sécurité.

Adoptez la règle du 3-2-1 :

• conservez 3 copies de vos données
• sur 2 supports différents (cloud, disque dur externe, clé USB)
• dont 1 copie hors-ligne.

Également, pensez à chiffrer vos supports de sauvegarde pour éviter qu’ils puissent être exploités en cas de vol. Et testez régulièrement vos sauvegardes en essayant de les restaurer. À quoi ça sert d’avoir plusieurs sauvegardes si elles ne fonctionnent pas le jour où vous en avez besoin ?

Et gardez en tête que synchroniser, ce n’est pas sauvegarder. Si une copie synchronisée est compromise, elle le sera de partout.

2. Contrôler les accès aux données

C’est une règle essentielle : tout le monde ne doit pas avoir accès à tout. Chaque membre de votre association ne doit pouvoir accéder qu’aux informations dont il a réellement besoin pour remplir ses missions.

Terminé, les adresses mails génériques et les mots de passe connus de tous : chaque utilisateur doit disposer de son propre identifiant. Maintenez à jour la liste des droits d’accès et supprimez les comptes des adhérents ou bénévoles qui quittent votre association. C’est d’autant plus vrai pour les comptes administrateurs, avec les droits les plus étendus, qui méritent une attention toute particulière.

3. Activer une authentification forte

Face à des hackers ingénieux, un mot de passe unique ne suffit plus. Pour renforcer votre sécurité, il est préférable de miser sur la double authentification, ou MFA pour Multi-Factor Authentication.

Pour ce faire, combinez votre mot de passe avec un second facteur de vérification, par exemple :

• un code envoyé par SMS ;
• une empreinte biométrique ;
• une validation sur une application mobile : Google Authenticator ou Microsoft Authenticator.

‍

En parallèle, privilégiez des mots de passes :

• longs, de minimum 12 caractères ;
• composés de majuscules, minuscules, chiffres et caractères spéciaux ;
• uniques pour chaque service utilisé.

Pour vous aider à gérer tous vos identifiants, vous pouvez également utiliser un coffre-fort de mots de passe comme Bitwarden ou Keepass.

4. Mettre à jour les systèmes et logiciels

On sait que vous avez l’impression que les mises à jour tombent toujours au mauvais moment mais ce n’est pas seulement pour vous embêter. Elles intègrent des correctifs essentiels pour combler les failles de sécurité récemment découvertes.

Activez les mises à jour automatiques dès que c’est possible afin de ne pas avoir à y penser. Et accordez une attention toute particulière à vos CMS (type WordPress) si votre association possède un site web : ce sont des cibles privilégiées pour des attaques.

Également, pensez à mettre régulièrement à jour vos navigateurs web, vos applications mobiles et les logiciels que vous utilisez au quotidien.

5. Installer un antivirus et protéger les appareils

Installer un antivirus reconnu sur tous vos appareils reste un bon moyen d’éviter les virus et programmes malveillants qui peuvent :

• chiffrer vos données ;
• voler des informations sensibles ;
• vous réclamer une rançon ;
• utiliser vos systèmes pour attaquer d’autres cibles.

Pour les associations plus importantes, il peut être pertinent d’envisager une solution EDR (Endpoint Detection & Response), plus poussée qu’un antivirus classique. Si ce genre d’outil représente un coût mensuel, il reste dérisoire comparé au coût moyen d’une cyberattaque.

Niveau sécurité, n’oubliez pas les gestes de base comme le verrouillage systématique de vos ordinateurs et téléphones, même pour une courte pause. Et activez le verrouillage par mot de passe, empreinte digitale ou reconnaissance faciale sur vos appareils.

6. Sensibiliser ses membres aux bonnes pratiques

Les erreurs humaines restent la cause de plus de 95% des cyberattaques. Votre moyen de protection le plus sûr, c’est donc de bien former tous vos membres. Vous pouvez organiser régulièrement :

• des sessions de sensibilisation pour que chacun adopte de bons réflexes ;
• des formations en ligne ;
• des ateliers ludiques avec des mises en situation.

Des structures spécialisées peuvent vous accompagner dans ces temps de sensibilisation. Ils vont notamment apprendre à vos équipes à reconnaître des tentatives de phishing (les faux mails incitant à donner son mot de passe), à ne jamais communiquer leurs identifier et à vous alerter immédiatement en cas de doute.

7. Choisir les bons outils

En matière de sécurité, tous les logiciels ne sont pas égaux. Sélectionnez soigneusement vos outils de travail en privilégiant ceux qui affichent clairement leurs mesures de protection de données.

Plusieurs mesures simples peuvent vous aider dans vos choix :

• limiter l’utilisation d’applications web gratuites pour manipuler vos données sensibles ;
• consulter les politiques de sécurité des éditeurs : où sont hébergées les données ? Sont-elles chiffrées ? Comment son gérés les accès ?
• privilégier des solutions conformes au RGPD, avec un hébergement en France ou, à défaut, en Europe.

Au-delà du choix, la bonne utilisation de ces outils reste primordiale. Évitez les comptes partagés, définissez des droits d’accès granulaires selon les besoins de chacun, et révisez régulièrement ces permissions.

‍

> À lire aussi : 10 conseils pour bien gérer sa base de données d’association

Comment réagir en cas de cyberattaque ?

Malgré toutes les bonnes pratiques et votre précaution, une cyberattaque peut malgré tout survenir. Si c’est le cas, gardez votre sang-froid et adoptez rapidement ces quelques réflexes :

• Déconnectez immédiatement l’appareil compromis du réseau Internet et informatique pour éviter la propagation de l’attaque mais, surtout, ne l’éteignez pas. Cela risquerait d’effacer des éléments de preuve utiles pour les experts en cybersécurité.
• Documentez l’incident : notez l’heure, les actions réalisées juste avant, les conséquences observées.
• Alertez rapidement tout le monde et prévenez vos membres pour qu’ils protègent leurs appareils.
• Déposez plainte auprès des autorités et contactez des experts en cybersécurité.
• Consultez les ressources de cybermalveillance.gouv.fr : ce dispositif propose un outil de diagnostic, des conseils personnalisés et vous met en relation avec des prestataires spécialisés.

Une fois la situation stabilisée, lancez une analyse complète de votre système afin d’identifier l’origine de l’attaque et prendre les mesures nécessaires pour éviter que ça ne se reproduise. 

Comment Kis vous aide à protéger les données de votre association ?

Chez Kis, on sait que la cybersécurité représente un enjeu majeur pour votre organisation. C'est pourquoi notre plateforme collaborative et personnalisée a été pensée pour simplifier votre gestion au quotidien tout en protégeant toutes vos informations sensibles.

Avec Kis, vous bénéficiez d’un :

• cryptage avancé des données, en totale conformité avec le RGPD ;
• hébergement en France, sur des serveurs qui respectent toutes les réglementations locales ;
• gestion fine des droits d’accès : chaque utilisateur a accès aux informations qui le concernent en fonction de son rôle et de ses responsabilités.

Grâce à notre logiciel pour association, vous alliez flexibilité et sécurité. Vous pouvez vous consacrer sereinement sur vos missions, on s’occupe de protéger vos données.

‍

> À lire aussi : 7 erreurs à éviter lors du choix de son logiciel d'association