La plupart des organismes sans but lucratif ne se considèrent probablement pas comme des cibles sérieuses de cyberattaques. Mais toute organisation qui recueille des informations permettant d’identifier des personnes ou qui traite des transactions (dons) doit protéger son infrastructure informatique.
Si vous ne parvenez pas à prévenir une cyberattaque, vous risquez d’exposer les informations personnelles de vos donateurs et de rendre votre association responsable des dommages financiers qui en découlent. L’identification de toutes vos vulnérabilités technologiques potentielles et la sécurisation adéquate de toutes les données sensibles peuvent considérablement réduire ce risque.
Faites l’inventaire des informations sensibles et de la façon dont elles sont utilisées
Avant d’élaborer un plan de cybersécurité pour votre organisme, passez en revue vos données afin de comprendre quelles sont les données sensibles relatives aux donateurs et aux finances qui figurent dans vos dossiers. Gardez également trace des fichiers et des informations liés aux opérations et aux projets de votre OSBL. Même si un dossier ne contient pas d’informations sensibles ou confidentielles, pensez aux conséquences de sa perte. Si la perte d’un fichier risque de nuire au déroulement des activités de l’organisme, il est prioritaire de mettre en place un système de stockage de secours pour ces fichiers.
Une fois que vous savez où sont stockées les données importantes, assurez-vous que tous les appareils électroniques – y compris les ordinateurs et les appareils mobiles – utilisent un logiciel anti-logiciel malveillant à jour et des connexions d’employés protégées par un mot de passe. Les appareils auxiliaires doivent également être correctement chiffrés. Les imprimantes et les télécopieurs conservent également des données et créent un point d’exposition pour une cyberattaque s’ils ne sont pas protégés.
Utilisez des réseaux sécurisés pour la transmission des données
Une fois que vous avez une idée des données que votre organisme à but non lucratif conserve n’envoyez les informations sensibles que sur des réseaux sécurisés. Si votre site Web utilise le protocole HTTP au lieu du protocole HTTPS, non seulement les données transmises sont à risque, mais votre site pourrait être signalé comme non sécurisé par certains navigateurs Web.
Examinez également le protocole de cybersécurité utilisé par vos fournisseurs, notamment les tiers chargés de la gestion des salaires, de la conservation des données dans l’info-nuagique, de la comptabilité et des transactions de dons.
En fonction de la configuration des bureaux, votre OSBL peut autoriser l’accès au WiFi aux visiteurs. Si c’est le cas, gardez toute l’activité des employés sur un réseau WiFi privé et correctement sécurisé. Utilisez le pare-feu intégré aux routeurs sans fil du bureau ou installez un dispositif matériel de pare-feu distinct. N’autorisez les invités que sur un réseau public distinct, afin que les utilisateurs non autorisés ne puissent pas accéder au réseau principal du cabinet.
Respecter les lois et les règlements
Une cybersécurité inadéquate peut entraîner des risques juridiques et financiers. Les lois fédérales, provinciales et internationales peuvent entraîner des amendes et d’autres sanctions si des données sensibles sont exposées lors d’une cyberattaque.
De nombreux pays ont adopté des lois exigeant que les organisations informent les utilisateurs si leurs informations personnelles ont été exposées lors d’une violation de données. Les règles fédérales et provinciales peuvent également imposer certaines procédures pour « éliminer » les informations sensibles d’une certaine manière.
La mise en œuvre du Règlement général sur la protection des données (RGPD) de l’Union européenne (UE) doit également être prise en compte dans les plans de cybersécurité de votre OSBL, si vous êtes susceptible de rencontrer des utilisateurs basés dans l’UE.
Former le personnel à une cybersécurité appropriée
Même les employés qui ne manipulent pas quotidiennement des informations sensibles doivent connaître les protocoles de cybersécurité de votre OSBL. Ils doivent savoir quelles données ils sont susceptibles de rencontrer et comment les protéger.
Les employés peuvent être la cible d’escroqueries par hameçonnage par courriel ou télécharger accidentellement un code malveillant sur un site Web. Tenez l’ensemble de votre personnel au courant de toute activité suspecte dans les courriels, rappelez-leur de toujours s’arrêter et de réfléchir
AVANT de fournir des données sensibles à l’extérieur ou même simplement de cliquer sur un lien, et soulignez l’importance de naviguer sur le Web de manière sûre et professionnelle.
La cybersécurité implique également un accès physique contrôlé aux ressources du bureau. Ne laissez pas les logiciels ouverts et sans surveillance et rangez soigneusement tous les fichiers papier qui pourraient permettre à une personne d’accéder à votre réseau sans autorisation.
En utilisant des logiciels malveillants mis à jour, en examinant soigneusement chacun de vos fournisseurs, en formant vos employés et en sécurisant tous les appareils électroniques, vous pouvez réduire le risque de cyberattaque de votre organismes sans but lucratif et protéger son image financière et sa réputation.
Nous sommes là pour vous aider
Si vous avez des questions sur la gestion de votre OSBL, n’hésitez pas à
contacter notre équipe OSBL, qui se fera un plaisir de vous aider ou de vous indiquer quelqu’un qui le pourra.