- maif.fr
- Associations et Collectivités
- Associations
- Guides pratiques des associations
- Guides fonctionnement
- Protection des données : cyberrisques
Protection des données : cyberrisques
SCOP La Navette
9 min
MAJ mai 2024
Vol de données, acte de malveillance informatique, virus : les cyberattaques se multiplient. Et les associations sont aussi la cible des malfaiteurs. Avec des conséquences qui peuvent être importantes sur votre activité, celle de vos membres ou de vos donateurs.
1
La protection des données, une obligation
Toute association a pour impératif d’assurer la protection des données personnelles de sa structure, tout comme celles de ses salariés, fondateurs, adhérents, etc. Tout stockage de données personnelles, sensibles ou pas, doit faire l’objet d’une analyse et il convient d’étudier sa conformité aux dispositions réglementaires du RGPD (règlement général sur la protection des données).
Autrement dit, si votre association enregistre le nom, le prénom, l’adresse e-mail ou postale ou encore le numéro de téléphone d’une personne pour un événement, une collecte de don, un financement participatif ou une adhésion, elle est soumise au RGPD (que ces informations soient stockées dans un fichier texte, excel sur ordinateur ou sur un simple cahier).
2
Une réelle menace
Une cyberattaque est une atteinte à un ou des systèmes informatiques réalisée dans un but malveillant. Elle peut cibler différents dispositifs : ordinateurs ou serveurs, isolés ou en réseaux, reliés ou non à Internet, équipements périphériques (imprimantes…), ou appareils communicants comme les téléphones mobiles, les smartphones ou les tablettes. Cybercriminalité, atteinte à l’image, espionnage, sabotage : les cyberrisques sont variés et leurs conséquences diverses.
3
Les différentes cyberattaques
Parmi les cyberattaques, nous pouvons distinguer :
L’hameçonnage (phishing)
Messages (email, SMS, chat…) visant à dérober des informations confidentielles (mots de passe, informations personnelles ou bancaires) en usurpant l’identité d’un tiers de confiance. Conséquences possibles : atteinte à l'image, piratage de comptes professionnels de messagerie ou d’accès aux systèmes d’information de l’association, intrusion sur son réseau, fraude aux faux ordres de virement…
Le rançongiciel (ransomware)
Empêche l’accès aux données de la structure et réclame une rançon pour les libérer. Ce type d’attaque s’accompagne de plus en plus souvent d’un vol de données et d’une destruction préalable des sauvegardes. Ces attaques sont généralement rendues possibles par une intrusion sur le réseau informatique soit par ses accès à distance soit par la compromission de l’équipement d’un collaborateur. Conséquence : arrêt de l’activité, perte de données…
Le vol de données
Les faux ordres de virement
Escroquerie réalisée, parfois suite au piratage d’un compte de messagerie, par message et même téléphone, en usurpant l’identité d’un dirigeant ou d’un de ses mandataires, d’un fournisseur ou d’un prestataire, voire d’un collaborateur, pour demander un virement exceptionnel et confidentiel, ou un changement des coordonnées de règlement (RIB) d’une facture ou d’un salaire. Conséquence : perte financière.
4
De bonnes habitudes à prendre
Sensibilisez vos salariés ou bénévoles
Donnez des consignes claires sur ce qu’ils peuvent faire ou ne pas faire, par exemple en encadrant l’usage des appareils personnels au travail ou l’utilisation du Wi-Fi. Fait avec pédagogie, cela vous assure de leur adhésion et donc de l’efficacité des consignes.
Maîtrisez et sécurisez vos réseaux
Configurez les droits des utilisateurs pour que seuls les personnes autorisées aient accès à certaines banques de données, et pensez à signaler toute modification apportée au réseau. Filtrez strictement ces accès sur votre pare-feu. Préservez vos systèmes en cloisonnant ceux pour lesquels un accès à distance n’est pas nécessaire.
Mettez les logiciels à jour
Effectuez toujours les mises à jour de vos logiciels. Les criminels ont ainsi moins de failles à exploiter. Cette habitude peut être suffisante pour parer les attaques automatisées et pour dissuader bon nombre de pirates informatiques.
Renforcez votre politique de gestion des mots de passe
Investissez dans un bon système de protection
Préparez-vous aux situations d’urgence
5
Que faire en cas de violation des données ?
Si vous êtes victime d'une cyberattaque, de négligence (accès mal contrôlé), d'un défaut technique (faille de sécurité), d'un comportement malveillant (salarié ou ancien salarié) ou d'un problème organisationnel (cession de mots de passe), vous devez prévenir la CNIL (article 55 du RGPD) dans les meilleurs délais, et si possible 72 heures au plus tard après en avoir pris connaissance. Et si le risque est élevé, vous devez contacter les personnes concernées.
En savoir plus
Guide MAIF RGPD : qui est concerné ?
Notre point de vue d’assureur
Aujourd’hui, l’assurance cyberrisques devient indispensable pour vous protéger contre les attaques. Toute altération de vos données ou indisponibilité de votre système informatique génère d'importantes pertes financières, pouvant aller jusqu'à des millions d'euros. Grâce à une assurance cyberrisques, vous pouvez renforcer votre protection et limiter vos pertes financières.