À l’instar des gouvernements et des grandes entreprises, les organismes à but non lucratif et les organismes de bienfaisance peuvent être la cible de cyberattaques. La différence? Souvent, elles ne sont pas parées à composer avec les conséquences techniques et financières que peuvent entraîner ces attaques. Si votre organisme recueille des renseignements personnels ou tient des dossiers numériques où figurent des renseignements personnels (par exemple, une base de données sur les bénévoles ou des dossiers d’employés), il vous importe alors de protéger cette information des cyberattaques. Mais, qu’importe-t-il de savoir?

Virus, maliciels, rançongiciels, hameçonnage. Les cyberattaques visent désormais des organismes de toutes tailles et gagnent en complexité et en fréquence. Selon Beazley plc (Beazley), chef de file en matière d’assurance contre les violations de données, les cybercriminels s’attaquent à des organismes de tous les secteurs. Outre ces problèmes, il existe toujours les risques classiques que sont les atteintes à la vie privée résultant notamment d’une divulgation accidentelle ou d’une erreur humaine.

Voici trois scénarios d’atteintes à la vie privée. Auriez-vous pensé qu’il s’agissait d’atteintes?

  1. Un courriel publicitaire frauduleux est envoyé aux employés. Il contient un virus. Un employé l’ouvre par inadvertance, ce qui permet au cybercriminel d’avoir accès aux fichiers de l’ordinateur, dont certains contiennent des renseignements confidentiels.
  2. Un employé marche vers sa voiture pour y déposer des dossiers contenant des renseignements confidentiels sur les donneurs. Un coup de vent s’amène et de nombreux papiers s’envolent, sans que l’employé ne puisse les rattraper.
  3. Un employé consulte les dossiers de certains employés et bénévoles, sans toutefois avoir l’autorisation pour le faire.

Lorsqu’on entend parler d’une atteinte à la vie privée, on imagine souvent une attaque complexe par des pirates informatiques rusés, mais le simple fait d’égarer ou de perdre des documents constitue également une atteinte.

Depuis le 1er novembre 2018, il est d’ailleurs obligatoire partout au Canada de signaler certaines atteintes à la vie privée. Les organismes visés par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) doivent faire une déclaration le plus tôt possible après avoir conclu qu’il y a eu atteinte, sans quoi ils s’exposent à des amendes pouvant aller jusqu’à 100 000 $.

Toute société constituée en vertu d’une loi fédérale, notamment les organismes de bienfaisance et les organismes à but non lucratif, qui recueille, utilise ou divulgue des renseignements personnels dans le cadre de ses « activités commerciales » doit souscrire à la LPRPDE (en anglais seulement), sauf si une loi provinciale « essentiellement similaire » est en vigueur. De nombreux organismes à but non lucratif pourraient penser que leurs activités courantes ne constituent pas des activités commerciales. Toutefois, s’ils vendent des marchandises ou des services ou s’ils perçoivent des droits d’entrée à l’occasion d’événements ou de prestations, ils réalisent en fait des activités commerciales. Sont également des activités commerciales la vente, le troc ou la location de listes de donneur, d’adhésion ou de collecte de fonds. Néanmoins, les activités de financement, l’encaissement d’honoraires d’adhésion, la compilation d’une liste des noms et des adresses des membres et l’envoi de bulletins ne sont pas réputés être des activités commerciales.

Causes des incidents – 2018

Beazley Breach Response Insights, octobre 2018 (en anglais seulement)

Le piratage informatique et les logiciels malveillants, dont les rançongiciels, demeurent l’une des plus grandes menaces pour les petits et moyens organismes. Le rançongiciel est une forme de cyberextorsion où un maliciel (logiciel malveillant) est téléchargé sur l’ordinateur ou le réseau, et prend alors en otage l’accès à toutes les données et à tous les fichiers jusqu’à ce qu’une rançon soit versée en échange d’une clé de déchiffrement.

Prolifération des rançongiciels en 2018

Quelques conseils pour protéger votre organisme des rançongiciels (en anglais seulement) :

  • S’assurer que le logiciel antivirus est tenu à jour.
  • Rappeler régulièrement aux employés comment échapper aux tentatives d’hameçonnage (voir ci-après) ainsi que de ne pas ouvrir les pièces jointes et de ne pas cliquer sur les liens de courriels-poubelle.
  • Tenir régulièrement des campagnes d’envoi aux employés de courriels reproduisant des tentatives d’hameçonnage et analyser l’effet sur les taux de réponse.
  • Bloquer les courriels avec des extensions .js, .wsf., et .zip ou des macros, si possible.

Hameçonnage par courriel (aussi appelé appâtage ou filoutage)

L’hameçonnage par courriel est une tactique d’attaque informatique très répandue. Il s’agit d’envoyer un courriel incitant le destinataire à fournir certains renseignements ou à cliquer sur un lien qui permettra le téléchargement d’un virus. Le courriel est contrefait de façon à sembler provenir de l’employeur ou d’un collègue au sein de l’organisme. Il peut donc être difficile de déterminer qu’il s’agit d’un courriel frauduleux.

Quelques conseils pour protéger votre organisme de l’hameçonnage par courriel:

  • Définir une procédure claire expliquant la façon dont sont traitées les demandes légitimes de renseignements financiers ou de transfert de fonds, et former les employés concernés à son sujet. Dans la mesure du possible, prôner une politique indiquant qu’aucune demande de transfert de fonds ne sera envoyée par courriel et qu’on ne donnera jamais suite par courriel à une telle demande.
  • Rappeler aux employés, surtout à ceux ayant accès à des renseignements sur la rémunération des employés ou sur leurs avantages sociaux, de rester à l’affût pour déceler les tentatives d’hameçonnage.
  • Configurer le système de courrier électronique de façon à ce qu’il mette en surbrillance les courriels envoyés de l’extérieur du réseau. Souvent, les pirates informatiques rédigeront le courriel d’hameçonnage afin qu’il ressemble à ceux envoyés à l’interne.

Les cyberattaques et les atteintes à la vie privée peuvent avoir des conséquences coûteuses, surtout pour les petites entreprises et les organismes à but non lucratif. Elles peuvent survenir en un rien de temps, surtout lorsque vous relâchez votre vigilance.

Dans le cadre de son programme Pensez cybersécurité, le gouvernement canadien offre une myriade de conseils généraux pour nous aider à atténuer le risque de cyberattaque. Il conseille notamment ce qui suit :

  • Enseigner aux employés et aux bénévoles à ne pas cliquer sur les fenêtres contextuelles (pop-ups en anglais) lorsqu’ils naviguent sur Internet et encourager la prudence lorsqu’ils ouvrent des courriels avec des liens ou dont la stratégie de marque semble incohérente.
  • Tenir les logiciels et systèmes d’exploitation à jour.
  • Faire régulièrement des copies de sauvegarde des données importantes.
  • Chiffrer les ordinateurs, les portables et les clés USB.
  • Nommer un administrateur et voir à ce que le mot de passe soit changé régulièrement et que seul l’administrateur le connaisse.

Le régime d’assurance Sous notre aile de Bénévoles Canada offre une assurance responsabilité civile des administrateurs et des dirigeants qui prévoit automatiquement une protection de 100 000 $ contre les cyberattaques et les atteintes à la vie privée.

La police couvrira les dépenses afférentes à votre défense en droit et versera les dommages-intérêt aux personnes dont les renseignements privés et personnels ont été compromis selon ce qu’ordonne le tribunal. Elle couvre même les coûts engagés pour aviser les victimes et pour retenir les services d’une entreprise de relations publiques afin de rebâtir la réputation de l’organisme.

Pour obtenir de plus amples renseignements ou réponse à vos questions sur l’assurance responsabilité civile des administrateurs et des dirigeants, veuillez communiquer avec un courtier de BMS au 1-844-294-2715 ou à underourwing@bmsgroup.com

Pour plus, veuillez regarder l’enregistrement du court webinaire en anglais offert par BMS en novembre 2018.