Associations : les bonnes pratiques pour gérer votre cybersécurité
Gérer votre association

Associations : les bonnes pratiques pour gérer votre cybersécurité

Dans le cadre du programme Cyber for Good, les équipes de HelloAsso et Latitudes ont animé un webinaire portant sur les bonnes pratiques pour protéger son association contre les risques cyber. À cette occasion, Baptiste David, expert cybersécurité chez Tenacy et intervenant bénévole auprès de Cyber for Good, nous partage les 5 clés pour sécuriser son association.

Je regarde le replay

Rappel : les enjeux de la cybersécurité 

Pour rappel, cyber sécuriser, c’est garantir :

  • La disponibilité des données (que les personnes autorisées puissent y avoir accès lorsque c’est nécessaire) ;
  • Leur intégrité (qu’elles ne soient pas modifiées sans autorisation) ;
  • Leur confidentialité (que seules les personnes autorisées puissent y accéder) ;
  • La traçabilité des modifications qui y sont apportées.

Cela implique de faire face à des cyberattaques de différents types et ayant différents objectifs :

  • Gagner de l’argent (rançons, monétisation de données volées, fraude…) ;
  • Déstabiliser et transmettre un message (modification de sites, attaques DDoS pour rendre un service indisponible) ;
  • Obtenir des informations (vol de données sensibles et/ou à portée concurrentielle). 

Gérer sa cybersécurité : pourquoi c’est important ?

Parce que cela n’arrive pas qu’aux autres

Selon le dernier Panorama de la cybermenace de l’ANSSI, le nombre total de compromissions par rançongiciel portées à la connaissance de l’ANSSI en 2024 (144) se maintient à un niveau équivalent à 2023. ME/TPE/ETI sont la catégorie d’entités la plus affectée par ce type de compromissions. Tout le monde est donc concerné par cette menace, associations et structure de l’économie sociale et solidaire comprises.

Pire encore, on estime que le coût moyen d’une cyberattaque est d’environ 15 000 euros ! Une somme considérable, dont les associations ne peuvent se priver sans compromettre leur survie.

Puisque le risque existe, la protection est nécessaire

La réglementation cyber européenne a été mise en place en priorité pour protéger les droits des citoyens européens. Il est donc essentiel de ne pas considérer ces mesures comme punitives en assumant pleinement les responsabilités qui reviennent aux structures qui se doivent d’appliquer les réglementations en vigueur.

Le RGPD, Règlement Général sur la Protection des Données, via l’article 32, est applicable à toute entité, qu’elle soit privée ou publique, qui collecte ou traite des données à caractère personnel. Cela inclut les entreprises, les administrations, les particuliers dans certains cas, et évidemment, les associations, indépendamment de leur taille ou de leur secteur d’activité.. 

À noter :

  • Pour les plus grosses structures associatives, la directive NIS 2, applicable depuis le 17 Octobre 2024 peut s’appliquer. Pour plus d’informations, nous vous conseillons de vous appuyer sur le site de l’ANSSI pour identifier si votre structure est concernée : https://monespacenis2.cyber.gouv.fr/
  • En fonction du secteur d’activité, certaines réglementations ou certifications peuvent s’appliquer. Par exemple, si votre association possède une boutique de vente en ligne réalisant de nombreuses ventes, vous pouvez être soumis à une version “edulcorée” de la PCI-DSS.
  • En revanche, si vous traitez de nombreuses données médicales vos systèmes informatiques risquent de devoir être déployés sur un hébergeur HDS (Hébergeur de données de santé).

5 clés pour cyber sécuriser votre association

Clé #1 : Faire régulièrement des sauvegardes

Quelle que soit la sécurité mise en place, le risque zéro n’existe pas. Il est donc crucial de se préparer à toutes les éventualités et de prévoir des solutions pour récupérer, au moins en partie, les données essentielles de l’association.

C’est tout l’enjeu de la sauvegarde : faire une copie régulière des données, afin de pouvoir les rétablir si elles sont perdues, volées ou compromises. Vous pouvez pour cela utiliser un disque dur externe et/ou une clé USB – mais veillez à ne pas les égarer ou les abîmer !

Quelques points d’attention :

  • Synchroniser n’est pas sauvegarder. Si une donnée synchronisée (c’est-à-dire présente à plusieurs endroits) est compromise ou supprimée, elle le sera partout.
  • Les données sur vos supports de sauvegardes peuvent être volés. Penser à les chiffrer. Il existe des outils gratuits pour sauvegarder et protéger vos données en même temps.
  • Testez de temps en temps de restaurer votre sauvegarde pour voir si cela fonctionne.

L’astuce de Baptiste :

Il existe une méthode pour bien sauvegarder ses données, c’est la règle (théorique) des 3-2-1-0

3 copies différentes de la donnée (à ajuster suivant la fréquence, la criticité des données) – importance des données comptables versus les données mail ? 

2 support différents : (logiciel de sauvegarde, clé USB, disque dur, stockage cloud, papier)

1 copie “hors ligne”

0 erreur lors de la restauration : Avoir des sauvegardes c’est bien, pouvoir les utiliser c’est mieux. Pour ça on teste de temps en temps : si on sait faire et si cela fonctionne.

Clé #2 : Limiter les accès

La règle est simple : tout le monde ne doit pas avoir accès à tout

Les utilisateurs du système d’informations ne doivent accéder qu’à ce dont ils ont réellement besoin : c’est le principe du moindre privilège

Il est fortement conseillé de : 

  • S’assurer que chaque personne ayant un droit d’accès à vos logiciels internes dispose de leur propre identifiant ; 
  • Avoir connaissance des droits qui sont accordés à chacun ;
  • Supprimer les comptes et les droits des utilisateurs qui quittent la structure ;
  • Ne jamais partager son compte, ses identifiants et mots de passe ;
  • S’assurer que la gestion des systèmes est assurée par plusieurs comptes permettant de garder le contrôle si un des comptes est compromis ;
  • Les comptes administrateurs (qui ont le plus de droits) sont ceux auxquels il faut faire le plus attention.

Par exemple, sur HelloAsso, un administrateur = un accès au compte. Attention, l’usage d’une adresse mail générique de l’association avec mot de passe partagé n’est pas une bonne pratique.

Pour que votre compte HelloAsso soit le plus sécurisé possible, respectez ces 3 conseils :

  • Avoir un accès individuel au compte ;
  • Définir un mot de passe complexe ;
  • Ne jamais partager ses identifiants.

Clé #3 : Activer l’authentification forte

Dans le paysage cyber actuel, les mots de passe ne suffisent plus : les hackers sont de plus en plus doués (et équipés) pour les deviner. Plus encore, certains attaquants peuvent manipuler les utilisateurs pour les inciter à révéler leurs mots de passe !

Dans ce contexte, plusieurs solutions existent (et peuvent être associées) : 

  • Choisir des mots de passe forts (longs, constitués de différents types de caractères) et différents pour chaque service ;
  • Mettre en place la double authentification (envoi d’un code par SMS, validation sur une application…) ;
  • Utiliser des coffres-forts de mots de passe (Keepass, Bitwarden, Dashlane) pour stocker les identifiants de manière sécurisée ;
  • Sur les sites, les fameux « captcha » permettent de ralentir les outils automatisés de recherche de mots de passe.

Clé #4 : Appliquer les dernières mises à jour

Les mises à jour ne servent pas uniquement à ajouter de nouvelles fonctionnalités ou à modifier l’apparence de vos logiciels : elles intègrent aussi des correctifs, appelés « patchs« , qui permettent de combler des failles de sécurité récemment identifiées.

Mettez donc vos systèmes et applications à jour régulièrement, car de nouvelles vulnérabilités sont détectées et corrigées en permanence ! 

Une attention particulière doit être portée sur les outils communément répandus comme les CMS tels que WordPress et Drupal, souvent utilisés pour gérer les sites des associations : des attaques automatisées existent et sont régulièrement perpétrées. Mettez les à jour lorsque de nouvelles versions sont disponibles !

Clé #5 : Installer des antivirus

Un virus est un programme malveillant destiné à modifier un ordinateur/serveur. Les cybercriminels peuvent s’en servir pour :

  • Récupérer des données qui les intéressent ;
  • Chiffrer les données et demander une rançon à leur propriétaire ;
  • Attaquer d’autres cibles via un système de relais. 

Face à cette menace, vous pouvez utiliser un antivirus –  en d’autres termes, un programme destiné à détecter et supprimer les virus. Ces outils sont souvent payants, mais restent abordables – et il vaut mieux débourser quelques euros par mois que subir une cyberattaque (beaucoup) plus coûteuse !

Le mot de la fin : comment réagir en cas de crise ? 

Si une attaque est détectée, appliquez ces 3 réflexes : 

  • Déconnecter l’ordinateur concerné du réseau (mais sans l’éteindre) ;
  • Déposez plainte ;
  • Lancez une analyse complète de votre système.

Et pour mieux vous y préparer, n’hésitez pas à vous former dès maintenant grâce au programme de coaching de Cyber For Good !