Au Canada, plus que jamais, les cyberattaques attirent l’attention du public, d’autant plus que leur virulence et leur fréquence s’accentuent.
Dans le milieu à but non lucratif, la légende persiste que ces cyberattaques touchent seulement les grandes organisations. Or, ce n’est pas le cas. Malheureusement, les cyberattaques ont aussi touché des institutions essentielles à la confiance et au bien-être du public, comme les organismes à but non lucratif (OBNL).
La seule importance des données pour un organisme représente une raison suffisante pour lancer une attaque. De plus en plus automatisées, ces attaques sont perpétrées par des bots capables de lire rapidement des millions de sites Internet à la recherche de points vulnérables à exploiter.
Avec la multiplication du télétravail, la cybersécurité devient un élément central. Selon un rapport publié par Statistique Canada en 2021, près de la moitié des OBNL citaient le télétravail comme l’une des raisons principales de leurs investissements dans la sécurité Internet.
Or, malgré ce constat, seul environ un quart des organismes communautaires affirmaient en 2023 avoir des plans pour adopter des mesures nouvelles ou supplémentaires afin de renforcer leur sécurité en ligne au cours de l’année suivante. En même temps, environ un tiers des organismes indiquait ne pas savoir si un plan pour adopter des mesures nouvelles ou supplémentaires à ce sujet existait.
Il faut savoir que le recours aux outils gratuits de cybersécurité peut s’avérer insuffisant, puisque sans préparation et protection adéquates, d’importantes perturbations peuvent survenir. En plus des coûts directs de telles cyberattaques, les coûts indirects peuvent s’accumuler. Selon un rapport de Statistique Canada de 2021, parmi les OBNL ayant déclaré une cyberattaque, 27 % rapportaient que l’attaque les avait empêchés d’utiliser certaines ressources.
Puisque beaucoup d’OBNL ont transféré une grande part de leurs processus dans l’espace numérique, certaines fonctions clés associées à la prestation de services, à la collecte de fonds et aux communications pourraient devenir inaccessibles pendant une cyberattaque.
De plus, selon le même rapport de Statistique Canada publié en 2021, 21 % des OBNL ayant vécu une cyberattaque affirmaient que leurs équipes devaient travailler plus d’heures du fait de l’attaque.
Mesures de base en matière de cybersécurité
Alors, comment peut-on s’y prendre pour bien protéger son organisation contre une cyberattaque? Voici une liste de mesures de base que vous pouvez prendre pour renforcer la résistance de votre organisation face à ces menaces :
Utilisez des mots de passe complexes et l’authentification multifacteur
Utilisez un gestionnaire de mots de passe
Automatisez les mises à jour de systèmes et d’applications
Faites des sauvegardes de vos données
Installez des outils de sécurité préventive, p. ex. un logiciel antivirus
Formez vos équipes aux pratiques de base en matière de cybersécurité
Préparez un plan d’intervention en cas de cyberattaque (modèle et exemple)
La liste ci-dessus est adaptée de la publication Mesures de sécurité de base à l’intention des petites organisations (ITSAP 10.300) du Centre canadien pour la cybersécurité. Ce document comprend une série d’autres mesures fondamentales pour les organisations de petite et de moyenne taille.
Normes et évaluation des risques
En vue de préparer un plan de cybersécurité à long terme pour votre organisation, vous pouvez commencer par réaliser une évaluation de base des cyberrisques.
Dans un premier temps, lisez et remplissez le Questionnaire d’évaluation des risques de cybersécurité dans l’Annexe B du document Contrôles de cybersécurité de base des petites et moyennes organisations (CAN/DGSI 104 : 2021). Pour répondre au questionnaire, qui pourra vous aider à déterminer des risques dans votre organisation, il est recommandé de s’adjoindre un.e spécialiste en gestion de la cybersécurité.
Le Questionnaire fait partie de la norme intitulée Contrôles de cybersécurité de base des petites et moyennes organisations et publiée par le Conseil de gouvernance numérique. Les exigences de niveau 1 indiquées dans la norme s’appliquent aux organisations qui font leurs premiers pas dans le domaine de la cybersécurité.
À mesure que votre organisation augmente ses capacités et ressources, vous pourrez renforcer votre cybersécurité en adoptant les normes de niveau 2. Puis, plus elle gagne en maturité, vous pourrez également considérer adopter d’autres normes et cadres de référence. Selon les besoins uniques de votre organisations, vous pourrez opter pour le NIST Cybersecurity Framework, les mesures CIS Critical Security Controls, un centre de sécurité SOC (tous en anglais) ou la norme ISO 27001, entre autres.
Sécurité de sites Web
Les sites Web constituent un élément important de la présence en ligne des OBNL. Ils servent de porte d’entrée pour toute personne à la recherche d’information.
L’information contenue dans le site Web de votre OBNL peut comprendre des renseignements sur les services offerts, des occasions de bénévolat ou d’emploi, les coordonnées de l’organisation, et la marche à suivre pour faire un don.
Selon l’Enquête canadienne sur la cybersécurité et le cybercrime 2021, le secteur à but non lucratif est largement passé en mode numérique. En particulier, 84 % des organisations avaient un site Web, 82 % étaient présentes sur les réseaux sociaux et 72 % utilisaient la technologie infonuagique. Toutes ces présences doivent être sécurisées compte tenu de leur statut comme ressources importantes d’une organisation.
La liste de contrôle ci-dessous comprend des mesures de sécurité à considérer pour le site Web de votre OBNL. La liste a été adaptée du guide sur la sécurité Web des OBNL préparé par NTEN (en anglais).
Liste des mesures de sécurité pour sites Web
Hébergement de sites Web
Sauvegardes automatiques
Surveillance du temps de disponibilité et des ressources
Mises à jour logicielles automatiques
Recherche de logiciels malveillants
Activation du certificat de sécurité
Mesures fondamentales de la sécurité Web
Gestionnaire de mots de passe pour stocker l’information de connexion
Activation de l’authentification multifacteur pour la connexion au site Web
Système de noms de domaine (DNS)
Garder à jour l’information de contact du domaine
Configuration des registres Sender Policy Framework (SPF) et DomainKeys Identified Mail (DKIM) afin d’assurer l’authentification de courriels
Inscription au registre du statut du nom de domaine afin d’empêcher des changements non autorisés
Préparation et prévention
Mise en place d’un plan d’intervention en cas de cyberattaque
Nomination d’une équipe d’intervention en cas de cyberattaque
Politique organisationnelle en matière de cybersécurité (modèle)
Formation en cybersécurité pour le personnel
En renforçant la sécurité du site Web de votre OBNL, vous assurez une base solide à votre organisation et la paix d’esprit à votre équipe qui pourra s’occuper en priorité des activités au cœur de votre mission.
Politique sur la cybersécurité
Une politique sur la cybersécurité peut vous aider à documenter les étapes et méthodes utilisées par votre organisation pour protéger ses ressources numériques.
Une telle politique précisera les actifs et les risques de l’organisation, en plus de possibles mesures préventives et réactives. Visitez la page des Modèles de politique sur la cybersécurité sur Intervalles RH pour voir un exemple fourni par IslamicFamily.
Partie d’un tout
Il est important de se rappeler qu’avec l’adoption du numérique par les OBNL, la cybersécurité s’inscrit dans un contexte plus large. Ainsi, les efforts en matière de cybersécurité requièrent des pratiques et des politiques technologiques solides afin d’assurer leur durabilité.
Heureusement, des outils existent pour aider les OBNL à adopter le numérique, notamment Tech Accelerate de NTEN (en anglais) et la Charity Growth Academy de CanaDon (en anglais). Ces plateformes offrent des outils gratuits pour évaluer le niveau d’adoption, des pratiques et des politiques de technologie, en plus de ressources et de recommandations d’amélioration.
Devant l’évolution du milieu de la cybersécurité, la fonction de gestion des ressources humaines devient de plus en plus importante pour s’assurer que les OBNL continuent de s’adapter par la voie de l’éducation, de formations et d’investissements. Restez en sécurité!