“Une indisponibilité ou un piratage peuvent avoir des conséquences catastrophiques pour nos clients”, déclare Antoine Martel. Sa société, iRaiser (éditrice de logiciels dédiés aux organisations qui collectent des fonds auprès des particuliers), est très attentive aux questions de sécurité. Et pour cause : iRaiser gère les données bancaires des donateurs en ligne de “350 organisations en Europe, dont 40 des 50 plus grosses associations françaises”. De plus, 74,3 % des Français craignent une utilisation frauduleuse de leurs données, ce qui amène les ONG à faire confiance à des entreprises spécialisées pour les protéger. Audits externes et tests de pénétration sont les principaux instruments utilisés par iRaiser pour renforcer leur sécurité.
Le cofondateur d’iRaiser assure que, même s’il est “délicat de dévoiler l’exhaustivité des mesures mises en place”, la sécurité des données est “un sujet permanent et quotidien” pour son entreprise.
Les données personnelles autres que celles qui concernent des transactions bancaires paraissent plus vulnérables. C’est ce que nous rapporte Fabrice Epelboin, enseignant à Sciences po-Paris en géopolitique du cyberespace et cofondateur de la société Yogosha, spécialisée dans la recherche en sécurité.
Fabrice Epelboin, cofondateur de Yogosha
“La cyberattaque de grande ampleur qui s’est déroulée à la mi-mai [2017] a clairement montré la réalité du terrain : au vu d’une menace sans cesse grandissante, personne ou presque n’est suffisamment sécurisé. C’est particulièrement vrai pour les ONG, qui ont rarement investi des sommes importantes en matière de cybersécurité. On estime qu’un budget cybersécurité raisonnable représente entre 5 % et 10 % du budget IT [technologies de l’information] d’une organisation, et rares sont les organisations à réserver un tel budget à la sécurité informatique. Résultat : elles se retrouvent avec un passif très lourd, qui s’est accumulé durant des années de négligence, à une époque où les conséquences étaient bien moindres.”
Le cofondateur de Yogosha relativise l’importance des données que les ONG souhaitent protéger pour se mettre en conformité avec leurs obligations légales. Selon lui, pour la plupart des ONG, “les données personnelles les plus critiques [sont celles des] personnels en poste, notamment ceux qui interviennent sur des théâtres d’opération potentiellement dangereux, et plus encore les données des individus auxquels elles portent secours, qui peuvent se révéler autrement plus critiques ; une fuite de telles données, qui sont la cible de nombreux services de renseignements, peut avoir des conséquences catastrophiques”.
Fabrice Epelboin soulève un autre problème concernant les services cloud utilisés pour stocker les données, malgré une sécurité plutôt élevée des fournisseurs de ce type de service. Toutes les données stockées dans le cloud, sur des serveurs accessibles à partir d’Internet, sont généralement hébergées à l’étranger. Or “le cloud étant le plus souvent américain, il convient de prendre en compte la législation de ce pays, et en particulier le Patriot Act, qui contraint toute entreprise américaine à fournir les données qu’elle traite — où qu’elle soit localisée — au gouvernement américain”. Pour les ONG qui “interviennent sur des territoires où les États-Unis sont présents et qui ne souhaitent pas partager leurs données avec le gouvernement américain, c’est un problème à examiner de près, et qui peut conduire à adopter des solutions comme le chiffrement de certaines données”.
Comme nous le rappelle Antoine Martel, directeur d’iRaiser, “le risque zéro n’existe pas” en matière de sécurité informatique. Les ONG tentent néanmoins d’élever leurs standards dans ce domaine malgré un budget et des compétences limités.
Une tendance à la transparence et au respect des droits des personnes se développe. Le donateur n’est pas un client. Comme le souligne Antoine Martel, “les organisations doivent impérativement s’impliquer sur ces sujets et anticiper [les évolutions de la réglementation], à la fois d’un point de vue juridique, marketing et technique.” C’est notamment le cas de la sécurisation des données personnelles que les ONG ont accumulées depuis des dizaines d’années. L’enjeu principal : la crédibilité des organisations et la confiance que les donateurs leur accordent.
Cette confiance est essentielle à la relation avec les donateurs. Les associations n’ont d’autre choix que de la conserver pour assurer leur pérennité. Pour y parvenir, elles doivent associer les bons usages des technologies ou du marketing digital à une sécurisation accrue du système d’information, dans un cadre réglementaire contraignant.