Selon l'Institut CyberPeace, les ONG sont souvent victimes de cyberattaques, plus de 50% des ONG déclarent être ciblées et 86% n'ont pas de plan de cybersécurité.
Les organisations internationales et les ONG sont impliquées dans le développement international, les questions humanitaires, la défense des droits de l'homme, etc. Elles détiennent une grande quantité d'informations sensibles, parmi lesquelles les données des bénéficiaires (coordonnées, localisation, religion, sexe, ethnicité, coordonnées bancaires, aspects politiques ou santé) mais aussi les données des donateurs (entreprises privées ou publiques, individus et Etats avec des informations bancaires) et enfin les informations financières, des tiers et des employés. Ces données précieuses en font des victimes idéales pour les cybercriminels ; des cibles faciles qui ont beaucoup à perdre.
Comment les ONG peuvent-elles protéger leurs données les plus sensibles ?
I - Identification et classification des données
Avant de mettre en œuvre toute mesure, il est essentiel d'identifier et de classer les données, notamment les types de données sensibles. Les niveaux de sensibilité seront déterminés par des grades tels que : public (les informations peuvent être partagées avec le public), interne (les informations sont mises à la disposition de l'ensemble de l'entreprise mais sont toujours considérées comme internes nécessitant une protection), confidentiel et restreint (sensibles, comme les données des bénéficiaires et des donateurs).
En plus de mettre en place diverses mesures de sécurité, les organisations internationales et les ONG doivent se conformer aux normes/réglementations en matière de protection des données. Les plus grandes ONG sont plus susceptibles de créer leurs propres politiques de protection des données. Par exemple, le HCR (Haut Commissariat des Nations unies pour les réfugiés) a sa "Politique de protection des données personnelles des personnes relevant de la compétence du HCR", qui est conforme aux lignes directrices de l'Assemblée générale des Nations unies et à d'autres instruments internationaux concernant la protection des données personnelles et de la vie privée des personnes. La plupart des politiques sont souvent en conformité avec le GDPR.
II - Mesures mises en œuvre pour protéger les données sensibles
Une fois les données sensibles identifiées, localisées et évaluées, l'étape suivante consiste à renforcer les mesures fondamentales pour les protéger. En plus des composants de sécurité d'infrastrucrure connus (Serveurs, Firewall, WAF, Proxy, etc.), un large éventail de mesures couvre plusieurs aspects de la protection des données :
- L'authentification multifactorielle (MFA), qui utilise deux authentifiants ou plus (par exemple, biométrie, OTP, mot de passe), est désormais la norme pour sécuriser les applications web.
- Renouvellement régulier des mots de passe et politique de mot de passe fort (longueur minimale, taille de l'historique, intervalle de changement de mot de passe, complexité du mot de passe, nombre de tentatives d'authentification erronées avant le verrouillage automatique du compte).
- Reconsiderer périodiquement les accès des utilisateurs pour s'assurer que seules les personnes autorisées ont accès aux bonnes ressources.
- Pour des données et des scénarios spécifiques, l'anonymisation, une transformation irréversible, pour faire en sorte que les données ne puissent plus être attribuées à des informations initiales spécifiques, ou la pseudonymisation peuvent aider à atteindre le niveau de protection attendu.
- Pour maintenir la viabilité des ONG, les données sensibles (par exemple, les données des bénéficiaires) doivent rester confidentielles. Les données, tant au repos qu'en transit, doivent être protégées par des techniques et des protocoles de cryptage éprouvés et sûrs qui sécurisent la communication (par exemple, TLS). Des primitives comme les modes de fonctionnement AES-GCM, AES-CCM ou le chiffrement par flux Chacha20 Poly1305 garantissent que les données sont protégées contre les parties non autorisées et les modifications non autorisées.
- Pour aller plus loin, il est possible d'utiliser une solution de protection contre la perte de données (DLP) pour diminuer la perte d'informations sensibles qui se produit dans une entreprise en se concentrant sur la localisation, la classification et la surveillance des informations au repos, en cours d'utilisation et en mouvement.
Il est important de garder à l'esprit que ces mesures de sécurité visant à protéger les données doivent être proportionnelles à leur sensibilité et que même avec ces mesures en place, le risque zéro n'existe pas.
Comment ELCA peut-elle aider ?
La protection des données est un impératif pour les organisations internationales et les ONG. Pour les aider à relever les différents défis en matière de sécurité, ELCASecurity et Senthorus, les deux nouvelles entités créées par ELCA, couvrent l'ensemble du cyber voyage et offrent tous les services, mécanismes et processus requis pour garantir la confidentialité, l'intégrité et la disponibilité des données. De plus, en tant que MSSP (Managed Security Service Provider), ELCASecurity et Senthorus peuvent soutenir les organisations internationales et les ONG depuis la définition de leur stratégie de sécurité jusqu'à la gestion des réponses aux incidents.
Contactez notre expert
Christophe GERBER
Directeur général d'ELCA Security
Rencontrez Christophe GERBER, notre directeur général chez ELCA Security. Contactez Christophe pour déterminer comment il peut vous aider à faire avancer vos initiatives en matière de cybersécurité.