Table des matières
Pourquoi la cybersécurité est un enjeu critique pour les OBNL québécois
Les organismes à but non lucratif sont devenus des cibles privilégiées pour les cybercriminels. La raison est simple : les OBNL gèrent des données sensibles — renseignements personnels de participants vulnérables, informations financières de donateurs, données bancaires pour la paie et les fournisseurs — avec des ressources de sécurité informatique souvent minimales ou inexistantes. Cette combinaison de données précieuses et de défenses faibles fait des OBNL des proies idéales pour les attaques par hameçonnage, les rançongiciels, et le vol de données.
Les conséquences d’une cyberattaque pour un OBNL peuvent être dévastatrices. Au-delà du coût financier direct (rançon, restauration des systèmes, notification des personnes affectées), une attaque peut entraîner la perte de confiance des participants et des donateurs, des sanctions légales en vertu de la Loi 25 sur la protection des renseignements personnels, l’interruption des services aux populations vulnérables, et des dommages réputationnels qui affectent le financement futur. Selon le Centre canadien pour la cybersécurité, les petites organisations — dont les OBNL — représentent une proportion croissante des victimes de cyberattaques au Canada.
Ce guide propose une approche complète de la cybersécurité adaptée aux réalités des OBNL communautaires : identification des menaces, mesures de protection essentielles, conformité à la Loi 25, gestion des incidents, formation des équipes, et intégration dans la stratégie de transformation numérique. L’objectif n’est pas de transformer votre OBNL en forteresse numérique, mais de mettre en place les mesures de base qui éliminent la grande majorité des risques — souvent gratuitement ou à très faible coût.
Les menaces de cybersécurité les plus courantes pour les OBNL
Comprendre les menaces auxquelles votre organisme est exposé est la première étape d’une stratégie de cybersécurité efficace. Les attaques les plus courantes contre les OBNL exploitent des vulnérabilités humaines plutôt que technologiques — ce qui signifie que la formation est souvent plus efficace que la technologie pour prévenir les incidents.
L’hameçonnage (phishing) est la menace numéro un pour les OBNL. Les courriels d’hameçonnage imitent des communications légitimes (banque, fournisseur, bailleur de fonds, plateforme de dons) pour inciter les employés à cliquer sur un lien malveillant, télécharger une pièce jointe infectée, ou fournir des identifiants de connexion. Les variantes incluent l’hameçonnage ciblé (spear phishing) qui personnalise le message en utilisant des informations spécifiques sur l’organisme ou l’employé, et la fraude au président (BEC — Business Email Compromise) où l’attaquant se fait passer pour le directeur général ou le président du CA pour demander un virement bancaire urgent. Cette dernière forme est particulièrement dangereuse pour les OBNL car la hiérarchie et la culture de confiance facilitent la manipulation.
Les rançongiciels (ransomware) chiffrent les fichiers de l’organisme et exigent le paiement d’une rançon pour les déchiffrer. Pour un OBNL qui n’a pas de sauvegardes à jour, un rançongiciel peut signifier la perte permanente de toutes ses données — bases de données de participants, documents financiers, historique des programmes. Les rançongiciels se propagent généralement par des courriels d’hameçonnage ou par l’exploitation de logiciels non mis à jour.
Le vol de données cible les renseignements personnels des participants, des donateurs, et des employés. Les données volées sont vendues sur le marché noir numérique ou utilisées pour le vol d’identité. Les OBNL qui servent des populations vulnérables (jeunes, aînés, personnes en situation de précarité) gèrent des données particulièrement sensibles dont la divulgation pourrait avoir des conséquences graves pour les personnes concernées.
Les accès non autorisés résultent de mots de passe faibles, partagés, ou réutilisés. Quand un employé utilise le même mot de passe pour son compte de courriel professionnel et pour un site web compromis, les attaquants peuvent accéder aux systèmes de l’organisme. Le partage de mots de passe entre collègues — une pratique courante dans les petits organismes — multiplie ce risque.
Les menaces internes incluent les erreurs involontaires (envoi d’un fichier confidentiel au mauvais destinataire, perte d’un ordinateur portable non chiffré) et les actions malveillantes d’anciens employés dont les accès n’ont pas été révoqués. La gestion des accès — s’assurer que chaque personne n’a accès qu’aux données nécessaires à son travail et que les accès sont révoqués au départ — est une mesure de sécurité fondamentale souvent négligée.
Les mesures de protection essentielles : le socle de cybersécurité
La bonne nouvelle est que la grande majorité des cyberattaques contre les OBNL peuvent être prévenues par des mesures de base qui sont gratuites ou très peu coûteuses. Ces mesures forment le socle minimal de cybersécurité que chaque organisme devrait mettre en place.
L’authentification multifacteur (MFA) est la mesure de sécurité la plus efficace et la plus simple à implanter. Elle ajoute une deuxième étape de vérification (généralement un code envoyé par SMS ou généré par une application) après le mot de passe. Même si un attaquant obtient le mot de passe d’un employé, il ne peut pas accéder au compte sans le deuxième facteur. Activez la MFA sur tous les comptes critiques : courriel, suite bureautique (Microsoft 365, Google Workspace), comptabilité, CRM, banque en ligne, réseaux sociaux, et plateforme de dons. La MFA est gratuite sur la quasi-totalité des services en ligne — il n’y a aucune raison de ne pas l’activer.
Les mots de passe robustes sont la deuxième ligne de défense. Un mot de passe robuste est long (minimum 12 caractères), unique (jamais réutilisé sur un autre site), et complexe (mélange de lettres, chiffres, et caractères spéciaux). La méthode la plus pratique est d’utiliser un gestionnaire de mots de passe qui génère et stocke des mots de passe uniques pour chaque compte. Bitwarden offre un plan gratuit adapté aux petites équipes, et 1Password offre des licences gratuites aux OBNL via son programme Teams for Good. Interdisez formellement le partage de mots de passe entre collègues — chaque personne doit avoir son propre compte avec ses propres identifiants.
Les sauvegardes régulières sont votre filet de sécurité ultime. En cas de rançongiciel, de défaillance matérielle, ou de suppression accidentelle, seules les sauvegardes peuvent restaurer vos données. La règle 3-2-1 est la référence : conservez 3 copies de vos données, sur 2 types de supports différents, dont 1 copie hors site (dans le cloud ou dans un lieu physique séparé). Automatisez les sauvegardes pour qu’elles se fassent quotidiennement sans intervention humaine. Testez régulièrement la restauration des sauvegardes — une sauvegarde qui ne peut pas être restaurée est inutile. Les solutions cloud comme Microsoft 365 ou Google Workspace incluent des fonctionnalités de sauvegarde automatique.
Les mises à jour automatiques des systèmes d’exploitation, des navigateurs web, et des logiciels corrigent les vulnérabilités de sécurité connues. Les cybercriminels exploitent activement les failles de sécurité des logiciels non mis à jour — chaque jour de retard dans l’application d’une mise à jour est un jour de vulnérabilité. Configurez les mises à jour automatiques sur tous les ordinateurs et appareils de l’organisme, et remplacez les logiciels qui ne reçoivent plus de mises à jour de sécurité (comme Windows 10 après octobre 2025).
Le chiffrement des appareils protège les données en cas de perte ou de vol d’un ordinateur portable, d’une tablette, ou d’un téléphone. BitLocker (Windows) et FileVault (Mac) sont des outils de chiffrement gratuits intégrés aux systèmes d’exploitation. Un ordinateur portable chiffré qui est volé ne représente pas nécessairement un incident de confidentialité au sens de la Loi 25 — un ordinateur non chiffré en représente un systématiquement.
La conformité à la Loi 25 : obligations de cybersécurité
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) impose des obligations spécifiques de cybersécurité aux organismes qui collectent et traitent des renseignements personnels. Ces obligations s’appliquent à pratiquement tous les OBNL.
Le responsable de la protection des renseignements personnels doit être désigné. Par défaut, cette responsabilité incombe à la personne ayant la plus haute autorité dans l’organisme (le directeur général). Cette personne est chargée de veiller à la conformité de l’organisme, de recevoir et traiter les demandes d’accès et de rectification, et de gérer les incidents de confidentialité. Le nom et les coordonnées du responsable doivent être publiés sur le site web de l’organisme.
L’obligation de signalement des incidents de confidentialité exige que tout incident présentant un risque sérieux de préjudice soit signalé à la Commission d’accès à l’information (CAI) et aux personnes concernées. Un incident de confidentialité est tout accès non autorisé, toute utilisation non autorisée, ou toute perte de renseignements personnels. L’organisme doit tenir un registre de tous les incidents de confidentialité, même ceux qui ne présentent pas de risque sérieux. Ce registre doit être conservé pendant au moins cinq ans.
L’évaluation des facteurs relatifs à la vie privée (EFVP) doit être réalisée avant tout nouveau projet impliquant la collecte, l’utilisation, ou la communication de renseignements personnels. Pour un OBNL, cela inclut l’implantation d’un nouveau CRM, le lancement d’un formulaire d’inscription en ligne, la migration vers un nouveau service cloud, ou le partage de données avec un partenaire. L’EFVP identifie les risques pour la vie privée et les mesures d’atténuation nécessaires. La CAI offre des guides et des modèles gratuits pour réaliser une EFVP.
La politique de confidentialité doit être publiée sur le site web de l’organisme et accessible facilement. Elle doit décrire quels renseignements personnels sont collectés, pour quelles fins, comment ils sont protégés, combien de temps ils sont conservés, et comment les personnes peuvent exercer leurs droits (accès, rectification, suppression). La politique doit être rédigée dans un langage clair et simple — pas en jargon juridique. La gouvernance de la protection des données relève de la responsabilité du conseil d’administration.
La formation des équipes : la meilleure défense contre les cyberattaques
La majorité des incidents de cybersécurité dans les OBNL résultent d’erreurs humaines — un employé qui clique sur un lien d’hameçonnage, qui utilise un mot de passe faible, ou qui envoie un fichier confidentiel au mauvais destinataire. La formation continue des équipes est donc la mesure de cybersécurité la plus rentable.
La formation de sensibilisation devrait couvrir la reconnaissance des courriels d’hameçonnage (vérifier l’adresse de l’expéditeur, survoler les liens avant de cliquer, se méfier des demandes urgentes), l’utilisation sécuritaire des mots de passe et du gestionnaire de mots de passe, les bonnes pratiques de partage de fichiers (éviter les clés USB, utiliser le stockage cloud sécurisé), la protection des appareils mobiles (verrouillage automatique, mise à jour, Wi-Fi public), et les procédures de signalement d’un incident suspecté. Cette formation devrait être dispensée à tous les nouveaux employés et rafraîchie annuellement pour l’ensemble de l’équipe.
Les simulations d’hameçonnage sont un outil d’apprentissage puissant. Des services comme KnowBe4 (qui offre des plans gratuits pour les petits organismes) envoient des courriels d’hameçonnage simulés aux employés pour tester leur vigilance. Les employés qui cliquent sur le lien reçoivent une formation immédiate. Ces simulations régulières maintiennent la vigilance de l’équipe et identifient les besoins de formation supplémentaire.
Les procédures de vérification pour les demandes sensibles sont essentielles. Établissez une règle formelle : toute demande de virement bancaire, de changement de coordonnées bancaires d’un fournisseur, ou de partage de données confidentielles reçue par courriel doit être vérifiée par un appel téléphonique au demandeur — en utilisant un numéro connu, pas celui fourni dans le courriel. Cette simple procédure prévient la grande majorité des fraudes au président.
Le Réseau MAIN offre des ateliers de sensibilisation à la cybersécurité spécifiquement conçus pour les OBNL québécois. Ces formations couvrent les menaces actuelles, les bonnes pratiques, et les obligations légales dans un langage accessible aux non-spécialistes. Le Centre canadien pour la cybersécurité publie également des guides gratuits adaptés aux petites organisations.
La gestion des incidents de cybersécurité
Malgré toutes les précautions, un incident de cybersécurité peut survenir. La rapidité et la qualité de la réponse déterminent l’ampleur des dommages. Un plan de réponse aux incidents préparé à l’avance est indispensable.
Le plan de réponse aux incidents devrait définir les rôles et responsabilités (qui fait quoi en cas d’incident), les étapes de confinement (isoler les systèmes affectés pour empêcher la propagation), les procédures de communication interne et externe, les contacts d’urgence (fournisseur informatique, assureur, avocat, CAI), et les étapes de restauration des systèmes et des données. Ce plan devrait être documenté, accessible hors ligne (en cas de compromission des systèmes informatiques), et testé au moins une fois par année.
Les premières étapes en cas d’incident sont cruciales. Isolez immédiatement le ou les systèmes affectés du réseau (débranchez le câble réseau ou désactivez le Wi-Fi — mais ne l’éteignez pas, car les preuves en mémoire pourraient être perdues). Documentez tout ce que vous observez (messages d’erreur, fichiers affectés, chronologie). Informez le responsable désigné et l’équipe de direction. Ne payez pas de rançon en cas de rançongiciel — le paiement ne garantit pas la récupération des données et finance les activités criminelles. Contactez votre fournisseur informatique et, si l’incident est grave, les forces de l’ordre (le Centre antifraude du Canada au 1-888-495-8501).
L’obligation de notification en vertu de la Loi 25 exige que les incidents présentant un risque sérieux de préjudice soient signalés à la Commission d’accès à l’information du Québec et aux personnes dont les renseignements personnels sont concernés. Le signalement à la CAI doit être fait avec diligence — idéalement dans les 72 heures suivant la découverte de l’incident. Le signalement aux personnes concernées doit inclure la nature des renseignements touchés, les circonstances de l’incident, et les mesures prises pour réduire les risques de préjudice.
La cybersécurité à budget limité : solutions gratuites et à faible coût
Les OBNL n’ont pas besoin de budgets importants pour mettre en place une cybersécurité efficace. De nombreuses solutions gratuites ou à très faible coût offrent un niveau de protection adapté aux besoins des organismes communautaires.
Les outils de sécurité gratuits essentiels incluent Bitwarden (gestionnaire de mots de passe gratuit), Microsoft Defender (antivirus intégré à Windows, suffisant pour la majorité des OBNL), les fonctionnalités de sécurité intégrées à Microsoft 365 et Google Workspace (filtrage des courriels, détection de malware, MFA), Let’s Encrypt (certificats SSL gratuits pour les sites web), et Cloudflare (protection DDoS et CDN gratuits pour les sites web).
Les programmes de dons technologiques via TechSoup Canada offrent des licences de sécurité à prix réduit pour les OBNL. Les solutions disponibles incluent des logiciels de sécurité avancés, des services de sauvegarde cloud, et des outils de gestion des appareils. L’inscription sur TechSoup est gratuite et ouvre l’accès à l’ensemble du catalogue de dons technologiques — un investissement de quelques heures qui peut représenter des économies de plusieurs milliers de dollars. La transformation numérique de votre organisme devrait intégrer la cybersécurité dès le départ.
L’assurance cybersécurité est une protection financière à considérer sérieusement. Les polices d’assurance cybersécurité couvrent les coûts de réponse aux incidents (investigation, notification, restauration), les pertes financières directes, et la responsabilité civile en cas de divulgation de données. Les primes pour les petits OBNL sont généralement modestes (quelques centaines à quelques milliers de dollars par année) et peuvent être incluses dans les frais généraux financés par les subventions. Consultez votre courtier d’assurances pour obtenir des soumissions adaptées à votre organisme.
Conseils pratiques pour renforcer la cybersécurité de votre OBNL
Pour conclure ce guide, voici des recommandations concrètes et immédiatement applicables pour améliorer la posture de cybersécurité de votre organisme.
Premièrement, activez l’authentification multifacteur partout. C’est la mesure la plus efficace, la plus rapide à implanter, et entièrement gratuite. Commencez par les comptes de courriel et la suite bureautique — si vous ne faites qu’une seule chose, faites celle-là.
Deuxièmement, implantez un gestionnaire de mots de passe. Bitwarden est gratuit et permettra à votre équipe d’utiliser des mots de passe uniques et robustes pour chaque compte sans avoir à les mémoriser. Éliminez immédiatement le partage de mots de passe entre collègues.
Troisièmement, vérifiez vos sauvegardes. Assurez-vous que vos données critiques sont sauvegardées automatiquement, qu’au moins une copie est stockée hors site, et que vous avez testé la restauration récemment. Si vous utilisez Microsoft 365 ou Google Workspace, vos fichiers cloud sont déjà sauvegardés — mais vérifiez que les fichiers locaux le sont aussi.
Quatrièmement, formez votre équipe. Organisez une séance de sensibilisation à l’hameçonnage de 30 minutes. Montrez des exemples de courriels frauduleux, expliquez les signaux d’alarme, et établissez une procédure de signalement claire. Le Réseau MAIN peut vous accompagner dans cette démarche.
Cinquièmement, conformez-vous à la Loi 25. Désignez officiellement un responsable de la protection des renseignements personnels, publiez une politique de confidentialité sur votre site web, et mettez en place un registre des incidents de confidentialité. La reddition de comptes en matière de protection des données est désormais une obligation légale.
Sixièmement, préparez un plan de réponse aux incidents. Même un document simple d’une page avec les contacts d’urgence, les premières étapes à suivre, et les responsabilités est infiniment mieux que rien. Discutez de ce plan avec votre équipe pour que chacun sache quoi faire en cas d’incident.
La cybersécurité n’est pas un projet ponctuel — c’est une pratique continue qui doit être intégrée dans la culture organisationnelle. Les mesures de base décrites dans ce guide ne demandent pas d’expertise technique avancée ni de budget significatif — elles demandent de la discipline, de la vigilance, et un engagement de la direction à protéger les données des personnes que votre organisme sert. La pérennité financière de votre organisme dépend aussi de sa capacité à protéger ses actifs numériques.