Comment les organisations internationales et les ONG peuvent-elles protéger leurs données ?

21.03.2022

Selon l'Institut CyberPeace, les ONG sont souvent victimes de cyberattaques, plus de 50% des ONG déclarent être ciblées et 86% n'ont pas de plan de cybersécurité.

expert
Mei Yang
Head of International Organizations

Les organisations internationales et non gouvernementales sont actives dans le développement international, les questions humanitaires, le travail sur les droits de l'homme, etc. et sont souvent confrontées à des questions de vie ou de mort. Elles disposent d'une grande quantité d'informations sensibles, dont des données sur les bénéficiaires (coordonnées, localisation, religion, sexe, ethnie, données bancaires, aspects politiques ou santé), mais aussi des données sur les donateurs (entreprises privées ou publiques, individus et États disposant de données bancaires) et enfin des données financières, des données de tiers et des informations sur les employés. Ces données précieuses en font des victimes idéales pour les cybercriminels ; des cibles faciles qui ont beaucoup à perdre.

Comment les ONG peuvent-elles protéger leurs données les plus sensibles ?
 

I - Identification et classification des données

Avant de mettre en œuvre toute mesure, il est essentiel d'identifier et de classer les données, notamment les types de données sensibles. Les niveaux de sensibilité seront déterminés par des grades tels que : public (les informations peuvent être partagées avec le public), interne (les informations sont mises à la disposition de l'ensemble de l'entreprise mais sont toujours considérées comme internes nécessitant une protection), confidentiel et restreint (sensibles, comme les données des bénéficiaires et des donateurs).

En plus de mettre en place diverses mesures de sécurité, les organisations internationales et les ONG doivent se conformer aux normes/réglementations en matière de protection des données. Les plus grandes ONG sont plus susceptibles de créer leurs propres politiques de protection des données. Par exemple, le HCR (Haut Commissariat des Nations unies pour les réfugiés) a sa "Politique de protection des données personnelles des personnes relevant de la compétence du HCR", qui est conforme aux lignes directrices de l'Assemblée générale des Nations unies et à d'autres instruments internationaux concernant la protection des données personnelles et de la vie privée des personnes. La plupart des politiques sont souvent en conformité avec le GDPR.

 

II - Mesures mises en œuvre pour protéger les données sensibles

Une fois les données sensibles identifiées, localisées et évaluées, l'étape suivante consiste à renforcer les mesures fondamentales pour les protéger. En plus des composants de sécurité d'infrastrucrure connus (Serveurs, Firewall, WAF, Proxy, etc.), un large éventail de mesures couvre plusieurs aspects de la protection des données :

  • L'authentification multifactorielle (MFA), qui utilise deux authentifiants ou plus (par exemple, biométrie, OTP, mot de passe), est désormais la norme pour sécuriser les applications web.
  • Renouvellement régulier des mots de passe et politique de mot de passe fort (longueur minimale, taille de l'historique, intervalle de changement de mot de passe, complexité du mot de passe, nombre de tentatives d'authentification erronées avant le verrouillage automatique du compte).
  • Reconsiderer périodiquement les accès des utilisateurs pour s'assurer que seules les personnes autorisées ont accès aux bonnes ressources.
  • Pour des données et des scénarios spécifiques, l'anonymisation, une transformation irréversible, pour faire en sorte que les données ne puissent plus être attribuées à des informations initiales spécifiques, ou la pseudonymisation peuvent aider à atteindre le niveau de protection attendu.
  • Pour maintenir la viabilité des ONG, les données sensibles (par exemple, les données des bénéficiaires) doivent rester confidentielles. Les données, tant au repos qu'en transit, doivent être protégées par des techniques et des protocoles de cryptage éprouvés et sûrs qui sécurisent la communication (par exemple, TLS). Des primitives comme les modes de fonctionnement AES-GCM, AES-CCM ou le chiffrement par flux Chacha20 Poly1305 garantissent que les données sont protégées contre les parties non autorisées et les modifications non autorisées.
  • Pour aller plus loin, il est possible d'utiliser une solution de protection contre la perte de données (DLP) pour diminuer la perte d'informations sensibles qui se produit dans une entreprise en se concentrant sur la localisation, la classification et la surveillance des informations au repos, en cours d'utilisation et en mouvement.

Il est important de garder à l'esprit que ces mesures de sécurité visant à protéger les données doivent être proportionnelles à leur sensibilité et que même avec ces mesures en place, le risque zéro n'existe pas.

Comment ELCA peut-elle aider ?

La protection des données est un impératif pour les organisations internationales et les ONG. Pour les aider à relever les différents défis en matière de sécurité, ELCASecurity et Senthorus, les deux nouvelles entités créées par ELCA, couvrent l'ensemble du cyber voyage et offrent tous les services, mécanismes et processus requis pour garantir la confidentialité, l'intégrité et la disponibilité des données. De plus, en tant que MSSP (Managed Security Service Provider), ELCASecurity et Senthorus peuvent soutenir les organisations internationales et les ONG depuis la définition de leur stratégie de sécurité jusqu'à la gestion des réponses aux incidents.

Contact: Mei Yang

En continuant votre navigation sur ce site, vous acceptez l'utilisation de cookies ou technologies similaires ayant pour finalité la réalisation de statistiques de visites sur notre site (tests et mesures d'audience, de fréquentation, de navigation, de performance), mais également de vous proposer des contenus et annonces ciblés et adaptés à vos centres d'intérêt.

Nos cookies ont été mis à jour. N'hésitez pas à mettre à jour vos préférences.

fermer
save

Gérer vos préférences cookies

Mettre à jour vos préférences cookies

Vous pouvez vous informer sur la nature des cookies déposés, les accepter ou les refuser soit globalement pour l'ensemble du site et l'ensemble des services, soit service par service.

OK, tout accepter

Tout désactiver

Flux de visiteur

Ces cookies nous offrent un aperçu des sources de trafic et nous permettent de mieux comprendre nos visiteurs, tout en garantissant leur anonymat.

(Google Analytics et CrazyEgg)

Nouveau

Outils de partage

Les cookies de médias sociaux permettent de partager des contenus sur vos réseaux préférés.

(ShareThis)

Nouveau

Connaissance du visiteur

Ces cookies sont utilisés pour suivre les visiteurs sur les sites Internet.

Ils doivent nous permettre d’offrir à nos visiteurs identifiés davantage de contenus pertinents et ciblés (ClickDimensions) et d’afficher des publicités susceptibles d’intéresser les utilisateurs (Facebook Pixels).

 

Nouveau
Pour plus d'informations relatives à la protection de données, cliquez ici.