Boîte à outils Cybersécurité dans le communautaire

Boîte à outils

Cybersécurité dans le communautaire

Cette boîte à outils contient des ressources utiles aux organismes communautaires souhaitant renforcer leurs pratiques ou s’informer sur les enjeux de sécurité et de confidentialité des données.

Les outils proposés ci-dessous proposent des conseils utiles pour sécuriser 6 points d’entrée courants des attaques visant les organismes communautaires : le système d’exploitation des appareils connectés, le réseau informatique, le site internet, le vol d’identité ou le vol de données et les réseaux sociaux.

Le contenu de sensibilisation est présenté sous différents formats. Vous pouvez télécharger les fiches thématiques ou les cartes de définitions, consulter de courtes capsules d’animation vidéo, ou encore visiter les sites conseillés pour aller plus loin.

Introduction

« Mon ordinateur portable personnel est plus rapide que l’ordinateur de bureau à mon travail, alors je m’en sers au travail tous les jours. J’accède par là au réseau informatique de mon organisme, ainsi qu’aux outils infonuagiques partagés. »
- Intervenant communautaire

À l’aube de l’an 2020, les ordinateurs portables et de bureau, les tablettes et les téléphones intelligents branchés à Internet constituent des outils incontournables dans l’action quotidienne des organismes communautaires. Mais aussi, dans le monde d’aujourd’hui, on entend régulièrement parler des cyberattaques, qu’elles prennent pour cible les personnes, les entreprises ou les organismes. Dans ce sens, la sécurité et la confidentialité des données numériques dans les organismes communautaires représentent des enjeux de première importance. Car oui, même un organisme à caractère social dont les actions apportent du positif à la communauté peut être la cible d’une cyberattaque, et une bonne cible, puisqu’on ne s’y attend pas.

Les organismes qui offrent des services directs à la population recueillent des informations personnelles auprès des personnes membres et usagères, qu’il s’agisse de données telles les coordonnées, ou des notes de dossier relatant des défis vécus dans la vie des personnes. Les organismes de défense des droits, quant à eux, recueillent des données semblables. Mais aussi, ils ramassent des informations permettant d’identifier à la fois des personnes qui font de la défense des droits et des personnes membres ou usagères de services. La question de la confidentialité et de la sécurité de ces informations est donc de première importance.

Faisons le parallèle avec la sécurité dans la vie physique, hors ligne. À la fin de la journée, les membres d’une équipe de travail ferment soigneusement à clé les filières et les bureaux pour éviter que quiconque entre dans le bureau et vole des biens. La protection de l’infrastructure numérique des organismes communautaires est tout aussi importante que la protection des dossiers physiques et des bureaux des organismes.

« Chez nous, notre disque dur est virtuel. Tous les dossiers de l’organisme sont sauvegardés dans le cyberespace, ce qui permet à l’équipe d’accéder aux mêmes fichiers de partout. L’équipe est souvent à l’extérieur du bureau, alors c’est commode! »
- Agente administrative

Il est également essentiel pour les groupes de faire une analyse critique de leurs usages des outils Web et des logiciels numériques. Il existe un manque de connaissances et un besoin de sensibilisation en ce qui concerne les bonnes pratiques, les ressources et les informations disponibles en matière de confidentialité et de sécurité numériques en milieu communautaire.

Dans le rapport State of Nonprofit Cybersecurity [traduction libre : L’état de la situation de la cybersécurité au sein des organismes sans but lucratif], publié en novembre 2018, l’organisme américain NTEN a révélé que moins de la moitié des organismes répondants ont affirmé avoir une politique en matière de cyberattaques. Seulement 40 % des organismes répondants offrent de la formation continue en matière de cybersécurité à leurs équipes de travail. La situation est sans doute semblable au Québec, voire pire, dû aux ressources plus limitées qui sont à notre disposition en langue française.

La première action à poser est de faire l’état de la situation de l’organisme en matière de cybersécurité et de dresser la typologie des risques : identifier et compiler les possibles attaques numériques qu’un organisme peut rencontrer, leur probabilité de se concrétiser et la manière dont les risques identifiés pourraient affecter l’organisme.

« J’utilise mon cellulaire personnel pour mes contacts avec les médias et avec les membres de notre conseil d’administration. Quand je suis au bureau, je me branche à notre connexion sans fil (wifi). J’évite de faire les mises à jour sur mon cellulaire trop souvent, car cela le ralentit. »
- Coordonnatrice d’organisme

La question n’est plus tant de savoir si un organisme communautaire subira une cyberattaque, mais plutôt : quand est-ce qu’il la vivra et est-il préparé à y faire face? Des efforts pour outiller les organismes communautaires leur permettront d’utiliser de la façon la plus sécuritaire possible les merveilleux outils du numérique, et ce, de façon à protéger la confidentialité et la sécurité des données de leurs membres et personnes usagères, de leurs équipes de travail, et des organismes collaborateurs, à travers une prise de décision informée.

Fiches de conseils pratiques

Cartes de définitions

Ci-dessous, vous pouvez accéder à des cartes thématiques très synthétisées. Leur objectif : une carte présente un mot-clé ou une notion complexe qui a été utilisée dans une des fiches de la section précédente. En cliquant sur le nom des cartes, vous accéderez à une page où vous pourrez les télécharger au format PDF.

Courtes capsules d'information

Dans cette rubrique, vous retrouverez 6 courtes capsules d’animation. Leur objectif : expliquer de manière simplifiée les thématiques abordées dans cette boîte à outils. Vous pouvez activer les sous-titres des vidéos directement dans les visionneuses.

Liens pour aller plus loin

Retrouvez dans cette rubrique plusieurs ressources disponibles en ligne pour vous permettre d’aller plus loin dans la compréhension des enjeux relatifs à la sécurité et la confidentialité des données et appareils numériques des organismes communautaires.

Liens

Article (ANG) – Charity fraud and cyber-crime are rising: here are some ways to protect your donations

Les organismes de charité constituent une cible de choix pour la fraude sur Internet, d’une part à cause de la présence de nombreuses personnes bénévoles, et d’autre part à cause de la perception du public comme quoi ces organismes sont de confiance.

Cet article présente sept enjeux fréquents au sein des organismes, et comment y faire face :

  1. Les pages Web de dons : surveillez-les pour du trafic inhabituel (exemple, plusieurs dons d’un seul coup, ou des dons en pleine nuit dans votre région).
  2. Les fraudeurs qui font semblant de représenter votre organisme et recueillent des dons en votre nom : doter l’organisme d’un processus formel d’identification des personnes affectées à la levée de fonds. Sur Internet, créez des alertes afin de suivre les références à votre organisme et agir en cas de fraude.
  3. Parfois des escrocs s’inscrivent comme bénévoles : mettez en place un système fiable de vérification des antécédents des personnes qui souhaitent faire du bénévolat au sein de l’organisme, en particulier si ces personnes auront accès à des données personnelles ou sensibles.
  4. Mises à jour antivirus et anti-logiciel espion : assurez-vous que tous les ordinateurs et appareils connectés de l’organisme sont à jour en ce qui concerne leurs logiciels de protection de la sécurité.
  5. L’envoi sécuritaire de dossiers : utilisez un protocole de transfert de fichiers (FTP) plutôt que d’envoyer des fichiers sensibles par courriel.
  6. L’accès au réseau informatique : voyez à ce que chaque personne ait son accès personnel au réseau, y compris les personnes qui travaillent sur un même dossier ou projet. Assurez-vous d’avoir une liste des systèmes auxquels a accès chaque personne. Lors du départ d’une personne de l’organisme, fermez leurs comptes et changez les mots de passe.
  7. En cas de recours à des partenaires autres, surtout en lien avec la gestion des dons, vérifiez leur réputation et les indicateurs de leur fiabilité.

L’article se termine avec une liste de gestes à faire et à ne pas faire en cas de fraude avérée au sein d’un organisme.

Article (ANG) – Cybersecurity for Nonprofits

Les fuites de données personnelles ou confidentielles peuvent survenir en tout temps, avec des conséquences possiblement très sérieuses pour les organismes sans but lucratif qui recueillent et administrent de nombreuses données personnelles et confidentielles. Les conséquences sont réelles à la fois pour les personnes dont les données ont été dévoilées, et pour les organismes eux-mêmes. Ces derniers peuvent faire l’objet de recours judiciaires, et leur réputation peut être entachée.

Cet article présente trois étapes à suivre pour se protéger des cyberattaques :

  1. Évaluer les risques : l’article offre des conseils concrets et des outils.
  2. Identifier la nature des données recueillies par votre organisme : s’agit-il d’informations nominatives qui font en sorte d’identifier une personne, ou alors s’agit-il de données plus générales tels les intérêts d’une personne? La formation de l’équipe de travail est essentielle, afin de savoir comment recevoir, traiter, sauvegarder et protéger ces données.
  3. Prendre les décisions adaptées à la réalité et aux besoins de votre organisme.

L’article, en anglais, offre également une liste importante de ressources additionnelles pour plus d’informations et d’outils.

Article – Comment limiter les risques de fraude financière envers les aînés

Cet article identifie différentes manifestations de la fraude financière et offre des outils pour diminuer les risques de fraude, et pour s’en sortir.

  1. Vérifiez si la personne et l’entreprise qui offrent un produit financier sont autorisées à le vendre.
  2. Obtenez de l’information écrite et complète sur le produit financier, que ce soit pour un investissement ou une assurance, par exemple.
  3. Demandez-vous si le placement qu’on vous offre est trop beau pour être vrai. Si on vous fait miroiter un rendement supérieur à tout ce qui a cours ailleurs sur le marché – sans le moindre risque –, méfiez-vous.

Article – Comment sécuriser votre réseau informatique d'entreprise?

« L’informatique est devenu est outil indispensable pour la gestion, la production et la communication d’une entreprise. Il faut donc savoir se prémunir des menaces : actes de malveillance, méthodes d’intrusion performantes, virus, chevaux de Troie, pourriels, logiciels espions, mais aussi celles provenant des utilisateurs eux-mêmes (clés USB, mises à jour des logiciels…). Par où commencer et quelles sont les solutions? »

Article – Cybersécurité et vie privée dans les OSBL : la sécurité de votre organisme est-elle à toute épreuve?

Le piratage informatique et les logiciels malveillants, dont les rançongiciels, demeurent l’une des plus grandes menaces pour les petits et moyens organismes. Quelques conseils pour protéger votre organisme :

  • S’assurer que le logiciel antivirus est tenu à jour;
  • Rappeler régulièrement aux personnes employées comment éviter de se faire hameçonner, ne pas ouvrir certaines pièces jointes et ne pas cliquer sur les liens contenus dans des pourriels;
  • Organiser des tests d’hameçonnage avec les personnes employées afin d’évaluer leurs réponses;
  • Bloquer les courriels avec certaines extensions.


Le billet de blogue offre des conseils pour protéger votre organisme de l’hameçonnage par courriel. Il présente également le programme d’assurance « Sous notre aile », s’adressant aux organismes de bienfaisance au Canada ainsi qu’aux OSBL membres de Bénévoles Canada.

Article – Les 15 types de mots de passe les plus répandus sur le Web

Cet article fournit d'abord un aperçu des mots de passe utilisés le plus souvent sur Internet. Mais il fait également plusieurs suggestions en lien avec la création d’un mot de passe sécuritaire, dans le but de sécuriser les comptes sur Internet :

  • Utilisez un mot de passe solide : un mot de passe composé de mots faciles à mémoriser, mais qui ne sont pas liés entre eux;
  • N’utilisez pas le même mot de passe partout et veillez à ce que le mot de passe de votre adresse courriel soit particulièrement sécuritaire;
  • Utilisez un gestionnaire de mot de passe;
  • Vérifiez si vos comptes ont été compromis : plusieurs outils Web permettent de vérifier si votre adresse courriel est associée à un ou des sites Web piratés ou compromis;
  • Activez l’authentification à deux facteurs : vous aurez à fournir deux informations lorsque vous souhaiterez vous connecter à une plateforme donnée : le mot de passe et un code temporaire qui est envoyé au moment de la connexion à la plateforme en question.

Article – Sécurité informatique : 5 actions pour sécuriser le périmètre réseau

Ce billet identifie 3 objectifs à atteindre dans la sécurisation d’un réseau informatique :

  • Protéger le réseau;
  • Réduire la vulnérabilité des systèmes informatiques et des applications aux menaces provenant de l'extérieur;
  • Protéger les données pendant la transmission sur le réseau externe.

Pour ce faire, l'auteur présente 5 actions à entreprendre pour minimiser les risques reliés à la sécurité d’un réseau informatique :

  1. Utiliser un pare-feu de nouvelle génération.
  2. Mettre en place une charte de sécurité informatique clarifiant qui peut poser telle action, et faire signer les personnes employées.
  3. Porter une attention particulière aux réseaux virtuels privés, utilisés par les personnes employées à l'extérieur du bureau.
  4. Isoler les applications Web sur leur propre réseau informatique.
  5. Comprendre la globalité du contexte de sécurité : les systèmes d'information et les réseaux (dont les réseaux sans-fil), la protection des données, et d’autres aspects de la sécurité.

Formation en ligne – Introduction à la cybersécurité

La formation en ligne « Introduction à la cybersécurité » a été développée par le Réseau intégré sur la cybersécurité (SERENE-RISC). Ce réseau vise à permettre à la population canadienne "de se protéger contre les risques en ligne et d’en minimiser les conséquences par la diffusion des connaissances".

La formation offre 11 modules de formation, qui évaluent les connaissances et favorisent l’apprentissage des thèmes suivants :

  1. Aborder le discours haineux en ligne
  2. Authentification
  3. Comportement d'autrui
  4. Concepts de sécurité               
  5. Concepts Internet
  6. Naviguer sur le Web
  7. Sauvegarde
  8. Sécurité et confidentialité
  9. Un ordinateur en bon état
  10. Utiliser le courriel
  11. Votre comportement

Manuel (ANG) – Cybersecurity Readiness For Nonprofits

Ce manuel propose un tour d’horizon de la cybersécurité pour les organismes sans but lucratif et offre des conseils en matière de bonnes pratiques, dans quatre champs :

  1. La planification stratégique en matière des technologies de l’information
  2. Les projets technologiques
  3. Le soutien au réseau informatique
  4. La cybersécurité

Trois volets de la cybersécurité sont présentés tout au long de ce manuel :

  • Le rôle des personnes : la sensibilisation de tous les acteurs, non pas seulement le personnel du champ des communications, ainsi que la formation continue;
  • Les processus : l’existence ou non d’une politique en matière de cybersécurité et d’un inventaire des accès réels et possibles au réseau de l’organisme;
  • Les technologies : les mises à jour de logiciels, dont un antivirus, la sauvegarde et stockage des données, la connaissance des indicateurs de cyberattaques.

Rubrique Techno – Magazine Bel Âge

Cette rubrique contient des articles, des vidéos, des trucs et astuces et des informations générales adaptées aux besoins des personnes aînées, sur la technologie, notamment :

  • Les arnaques en ligne et comment les éviter;
  • Les médias sociaux;
  • Les cellulaires intelligents;
  • Les tablettes électroniques;
  • Les sites Web pour économiser;
  • Les usages sécuritaires des appareils et des ordinateurs;
  • Le WiFi versus les données cellulaires.

Site Web – Pensez cybersécurité

"Pensez cybersécurité est une campagne nationale de sensibilisation publique conçue pour sensibiliser les Canadiens [et les Canadiennes] à la sécurité en ligne et les informer des étapes à suivre pour se protéger en ligne."

Ce site Web met également à disposition le Guide Pensez cybersécurité pour les petites entreprises. Il a été développé par le gouvernement du Canada, à l’intention des petites ou des moyennes entreprises. Les recommandations formulées en lien avec les risques en matière de cybersécurité s’appliquent également aux organismes sans but lucratif. Le guide fournit des conseils pratiques sur la façon de mieux protéger les organisations et les personnes qui y travaillent, contre la cybercriminalité.

Dans le guide, la cybersécurité s'appuie sur les trois objectifs suivants :

  • La confidentialité des renseignements détenus par une organisation et l’accessibilité de ces renseignements aux seules personnes ayant obtenu la permission d’y accéder;
  • L’intégrité des renseignements, intacts et non corrompus;
  • L'accessibilité des services et des renseignements nécessaires à l’organisation et ses membres ou personnes usagères.

Le guide offre beaucoup d’informations et de conseils quant à la planification de la cybersécurité, la sécurité sur le Web, dont les médias sociaux et le courriel, la sécurité des données numériques, la cybersécurité en cas du travail à domicile, les appareils mobiles, la sécurité des membres de l’équipe de travail et bien plus.

Remerciements

Cette boîte à outils a été réalisée dans le cadre du projet : Sensibiliser le milieu communautaire aux enjeux de sécurité et de confidentialité des données numériques.

Ce projet a été financé par le Programme d’action communautaire sur le terrain de l’éducation (PACTE) du Ministère de l’éducation et de l’enseignement supérieur du Québec.

Le CDÉACF adresse des remerciements particuliers à Katherine Macnaughton-Osler, qui a été une partenaire précieuse pendant toute la durée du projet par son expertise et sa contribution à la création de contenu.

Le CDÉACF adresse également ses remerciements aux organismes en condition des femmes et en alphabétisation qui ont contribué à la réussite de ce projet, en participant au comité de travail ou en répondant au sondage d’étude des besoins distribué en ligne, soit :

  • Action cancer du sein du Québec
  • Aide Pédagogique aux Adultes et aux Jeunes, APAJ
  • Alpha-Témis
  • Apprendre Autrement
  • Apprentissage Pour Adultes
  • Association franco-yukonnaise
  • Atout-Lire
  • Carrefour d'éducation populaire de Pointe St Charles
  • Centre alpha de Laterrière
  • Centre Alpha des Basques
  • Centre d'alphabétisation de Villeray La Jarnigoine
  • Centre de femmes du Haut-Richelieu
  • Centre de formation des adultes
  • Centre de formation des adultes
  • Centre de formation pour adultes de Greenstone
  • Centre des femmes interculturel Claire
  • Centre Élizabeth Fry
  • Centr'Elles, comité d'action des femmes d'Avignon
  • Collège de l'Île
  • Declic Saint-Laurent
  • ÉDUC À TOUT (enregistré à C.A.L.M.)
  • Éducatout
  • Fédération des associations de de familles monoparentales et recomposées du Québec
  • Fédération du Québec pour le planning des naissances
  • L’Écrit-tôt de St-Hubert
  • La Boîte à lettres de Longueuil
  • La Clé en éducation populaire de Maskinongé
  • La CLÉ, centre de lecture et d'écriture
  • La Magie des mots
  • L'Ardoise, groupe populaire en alphabétisation
  • Le plaisir des Mots
  • Ludolettre
  • Pavillon Marguerite de Champlain
  • POPCO inc.
  • RCA Mot à Mot
  • Regroupement des maisons pour femmes victimes de violence conjugale
  • Réseau d'action pour l'égalité des femmes immigrées et racisées du Québec
  • Réseau des tables régionales de groupes de femmes du Québec
  • Table de concertation des groupes de femmes du BSL
  • Table des groupes de femmes de Montréal