Exfiltration de données dans le secteur social : protégez votre association

Pirate qui aspire les données d'un ordinateur avec un aspirateur

Le secteur social face à la menace croissante des cyberattaques

Dans un monde de plus en plus numérisé, les associations du secteur social se retrouvent en première ligne face aux cybermenaces.
Le récent rapport du CERT-FR met en lumière une réalité préoccupante : en 2023 et début 2024, pas moins de 183 incidents d’exfiltration de données ont été traités, dont une part significative concernait le secteur social.
Imaginez un instant que votre association soit victime d’une telle attaque : les données personnelles de vos bénéficiaires, collaborateurs et donateurs pourraient se retrouver exposées sur Internet.

Pourquoi le secteur social est-il particulièrement ciblé ?

La raison est simple : les associations œuvrant dans le secteur social détiennent un véritable trésor aux yeux des cybercriminels – des données personnelles sensibles. Ces données, une fois volées, peuvent être revendues sur le darkweb ou utilisées pour des campagnes de fraudes élaborées comme du phishing.

L’expérience du CERT-FR démontre que les attaques n’ont même pas besoin d’être particulièrement sophistiquées. Comme un cambrioleur qui entrerait par une porte laissée entrouverte, ils profitent souvent de failles basiques dans la sécurité : des mots de passe simples, partagés entre collègues, des accès aux fichiers qui restent actifs après le départ d’un employé, ou encore des données sensibles stockées sans protection particulière.

Les trois vulnérabilités majeures identifiées par le CERT-FR

  • La sous-estimation des risques liés aux données personnelles : Contrairement aux données techniques, les informations personnelles ne sont souvent pas perçues comme particulièrement sensibles dans les pratiques quotidiennes. Elles sont stockées sur l’ordinateur, sur des supports amovibles tels que des clés USB ou envoyées par mail sans traitement particulier.  C’est une erreur qui peut coûter cher.
    Gardez à l’esprit que les cybercriminels ont tout intérêt à ne pas se faire remarquer afin de continuer à exfiltrer vos données dans le but de les revendre. Il est donc tout à fait possible d’être ou d’avoir été victime d’exfiltration de données sans même s’en apercevoir !
  • La gestion défaillante des accès utilisateurs : Le CERT-FR a observé que de nombreuses compromissions proviennent d’une mauvaise gestion des droits attribués aux utilisateurs. Les identifiants sont souvent partagés entre collègues, des droits en lecture et écriture sont souvent attribués à l’ensemble des salariés par facilité, ou bien des droits d’accès aux fichiers sont attribués, mais jamais retirés, les comptes utilisateurs d’anciens salariés ne sont pas supprimés, etc.
    Il suffit qu’un mot de passe fuite, pour que l’attaquant ait accès à l’ensemble des données de l’organisation.
  • Les risques liés aux prestataires techniques : Les intervenants techniques, qu’ils soient internes ou externes, disposent souvent d’accès privilégiés aux systèmes (accès administrateur). Sans supervision adéquate, ces accès peuvent devenir des portes grandes ouvertes pour les attaquants. Le CERT-FR rapporte plusieurs cas où des prestataires ont pu exfiltrer des bases de données entières sans être détectés pendant des mois.
    Un exemple courant est le prestataire en charge des photocopieurs qui demande les identifiants administrateur pour installer les pilotes sur les ordinateurs. On s’empresse de lui communiquer pour lui faciliter la tâche.
    Mais en lui confiant cet accès, vous lui ouvrez les portes de votre système d’information, y compris aux données de vos bénéficiaires.

Comment protéger efficacement les données de votre association ?

bouclier

La bonne nouvelle est qu’il existe des mesures concrètes pour renforcer significativement la sécurité de vos données.
Voici les recommandations essentielles du CERT-FR, adaptées au contexte associatif :

1. Repensez la gestion des accès

Mettez en place un service de gestion centralisée des comptes utilisateurs et des droits d’accès aux ressources numériques de votre association.
Il existe de nombreuses solutions telles que Microsoft Entra ID ou Okta pour ne citer qu’eux.
Chaque salarié doit posséder son propre compte, et ne posséder des droits d’accès que sur les fichiers utiles à ses missions.
Les droits d’accès aux données de votre organisation doivent régulièrement être revus.
Activez l’authentification multiples facteurs (MFA) pour tous vos utilisateurs. Cela accroit grandement la sécurité des comptes et la plupart des services Internet le proposent.

2. Tracez et surveillez les activités

Mettez en place un système de journalisation des actions effectuées sur vos données sensibles. C’est l’équivalent numérique d’un registre des visiteurs : vous devez savoir qui accède à quoi et quand.
Mettez en place des alertes : un utilisateur consulte des centaines de fichiers sur une courte période de temps ? Il envoie de nombreux mails avec des fichiers en pièce-jointe ?
Cette traçabilité et de telles alertes permettent de détecter rapidement toute activité suspecte.

3. Sécurisez les données et les ordinateurs

Les données sensibles doivent être protégées à chaque étape de leur cycle de vie : lors de leur collecte, leur stockage et leur transmission. Le chiffrement des données, comparable à un coffre-fort numérique, doit devenir systématique.
Activez BitLocker sur vos ordinateurs Windows.
Chaque ordinateur doit posséder un antivirus à jour et avec une licence en cours de validité.

4. Formez vos collaborateurs

La formation est primordiale.
Concevez un plan de formation à la cybersécurité pour vos collaborateurs.
Organisez des sessions régulières de sensibilisation aux risques numériques ainsi que des simulations.
De nombreuses ressources sont disponibles en ligne.
Vous pouvez utiliser le MOOC de l’Agence National de la Sécurité des Systèmes d’Information (ANSSI), la SecNumAcadémie, destiné aux personnes non-techniques.

5. Sauvegardez vos données

Utilisez un logiciel de sauvegarde tel que Veeam, Acronis ou Microsoft 365 Backup.
Les sauvegardes sont fondamentales. Elles permettent de récupérer les données en cas de panne matérielle, d’effacement accidentel ou malveillant. Elles vous permettront également de reprendre vos activités suite à une attaque par ransomware.

Conclusion : la sécurité, un investissement nécessaire

La protection des données n’est plus une option pour les associations, c’est une nécessité absolue. Les conséquences d’une fuite de données peuvent être désastreuses, tant pour les personnes concernées que pour la réputation et la pérennité de votre structure.

Vous pouvez dès à présent mettre en place les mesures citées précédemment pour améliorer le niveau de sécurité de votre système d’information.

La tâche peut sembler intimidante. La bonne nouvelle est que vous n’êtes pas seuls face à ces défis. Des spécialistes en infogérance informatique peuvent vous accompagner dans la mise en place de ces mesures de protection.

N’attendez pas d’être victime d’une cyberattaque pour agir.
Contactez-moi dès aujourd’hui pour évaluer la sécurité de votre système d’information et mettre en place les protections nécessaires.

Source : Exfiltration de données du secteur social : retour d’expérience du CERT-FR (18 septembre 2024)

Inscrivez-vous pour recevoir les prochains articles par mail
Veuillez activer JavaScript dans votre navigateur pour remplir ce formulaire.

Échangeons sur vos enjeux informatiques

Vous souhaitez optimiser la gestion de votre système d’information ?

Prenons 30 minutes pour échanger sur vos besoins et explorer ensemble les solutions adaptées à votre entreprise.
Ce rendez-vous est gratuit, sans engagement et se déroule en visioconférence.

Prendre rendez-vous