Protection des données : cyberrisques

Toute association a pour impératif d’assurer la protection des données personnelles de sa structure, tout comme celles de ses salariés, fondateurs, adhérents, etc. Tout stockage de données personnelles, sensibles ou pas, doit faire l’objet d’une analyse et il convient d’étudier sa conformité aux dispositions réglementaires du RGPD (règlement général sur la protection des données). Autrement dit, si votre association enregistre le nom, le prénom, l’adresse e-mail ou postale ou encore le numéro de téléphone d’une personne pour un événement, une collecte de don, un financement participatif ou une adhésion, elle est soumise au RGPD (que ces informations soient stockées dans un fichier texte, excel sur ordinateur ou sur un simple cahier).

Une cyberattaque est une atteinte à un ou des systèmes informatiques réalisée dans un but malveillant. Elle peut cibler différents dispositifs : ordinateurs ou serveurs, isolés ou en réseaux, reliés ou non à Internet, équipements périphériques (imprimantes…), ou appareils communicants comme les téléphones mobiles, les smartphones ou les tablettes. Cybercriminalité, atteinte à l’image, espionnage, sabotage : les cyberrisques sont variés et leurs conséquences diverses.

Parmi les cyberattaques, nous pouvons distinguer :

• L’hameçonnage (phishing) : Messages (email, SMS, chat…) visant à dérober des informations confidentielles (mots de passe, informations personnelles ou bancaires) en usurpant l’identité d’un tiers de confiance. Conséquences possibles : atteinte à l'image, piratage de comptes professionnels de messagerie ou d’accès aux systèmes d’information de l’association, intrusion sur son réseau, fraude aux faux ordres de virement…
• Le rançongiciel (ransomware) : Empêche l’accès aux données de la structure et réclame une rançon pour les libérer. Ce type d’attaque s’accompagne de plus en plus souvent d’un vol de données et d’une destruction préalable des sauvegardes. Ces attaques sont généralement rendues possibles par une intrusion sur le réseau informatique soit par ses accès à distance soit par la compromission de l’équipement d’un collaborateur. Conséquence : arrêt de l’activité, perte de données…
• Le vol de données : Attaque qui consiste à s’introduire sur le réseau informatique, ou sur ses hébergement externes (cloud), pour lui dérober des données afin de les revendre ou de les diffuser pour nuire. Comme pour les rançongiciels, ces attaques sont généralement possibles par une intrusion dans le réseau. Conséquences : atteinte à l’activité et à l’image de l’organisation.
• Les faux ordres de virement : Escroquerie réalisée, parfois suite au piratage d’un compte de messagerie, par message et même téléphone, en usurpant l’identité d’un dirigeant ou d’un de ses mandataires, d’un fournisseur ou d’un prestataire, voire d’un collaborateur, pour demander un virement exceptionnel et confidentiel, ou un changement des coordonnées de règlement (RIB) d’une facture ou d’un salaire. Conséquence : perte financière.

Sensibilisez vos salariés ou bénévoles en donnant des consignes claires sur ce qu’ils peuvent faire ou ne pas faire, par exemple en encadrant l’usage des appareils personnels au travail ou l’utilisation du Wi-Fi. Fait avec pédagogie, cela vous assure de leur adhésion et donc de l’efficacité des consignes.

Maîtrisez et sécurisez vos réseaux. Configurez les droits des utilisateurs pour que seuls les personnes autorisées aient accès à certaines banques de données, et pensez à signaler toute modification apportée au réseau. Filtrez strictement ces accès sur votre pare-feu. Préservez vos systèmes en cloisonnant ceux pour lesquels un accès à distance n’est pas nécessaire.

Mettez les logiciels à jour. Effectuez toujours les mises à jour de vos logiciels. Les criminels ont ainsi moins de failles à exploiter. Cette habitude peut être suffisante pour parer les attaques automatisées et pour dissuader bon nombre de pirates informatiques.

Renforcez votre politique de gestion des mots de passe. Ceux-ci doivent être suffisamment longs, complexes et uniques sur chaque équipement ou service utilisé. La majorité des attaques est due à des mots de passe trop simples ou réutilisés.

Investissez dans un bon système de protection. Adoptez une approche en profondeur en établissant plusieurs couches de contrôles de sécurité : pare-feu, système de prévention des intrusions (IPS), système de détection des intrusions (IDS)… Prévoyez des copies de sauvegarde au cas où quelqu’un exploiterait une vulnérabilité de votre système. Bref, l’idée est de vous doter d’une bonne défense tous azimuts.

Préparez-vous aux situations d’urgence. Comme personne ne peut prédire quand surviendra une attaque, il est sage de mettre en place des stratégies de sauvegarde et de récupération prêtes à être déployées. Chiffrez toutes les données de nature sensible lors de leur stockage ou de leur transmission. Dotez-vous d’un plan en cas de panne des systèmes. Plus vous surveillez vos systèmes de près, plus vous pourrez réagir vite aux attaques.

Si vous êtes victime d'une cyberattaque, de négligence (accès mal contrôlé), d'un défaut technique (faille de sécurité), d'un comportement malveillant (salarié ou ancien salarié) ou d'un problème organisationnel (cession de mots de passe), vous devez prévenir la CNIL (article 55 du RGPD) dans les meilleurs délais, et si possible 72 heures au plus tard après en avoir pris connaissance. Et si le risque est élevé, vous devez contacter les personnes concernées.