Pour de nombreuses entreprises, les cyberattaques font désormais partie de la vie et malheureusement, les organismes à but non lucratif n’y échappent pas. Dans les derniers mois, les médias ont rapporté diverses cibles, dont des fondations communautaires, des organismes prestataires de services communautaires, des bibliothèques, des districts scolaires, des établissements postsecondaires et des hôpitaux. Que font les OBNL pour se munir contre les cyberattaques ou pour atténuer leurs effets? Imagine Canada a récemment obtenu les données relatives aux OBNL de l’Enquête canadienne sur la cybersécurité et le cybercrime 2021, qui offrent un aperçu de l’état de cybersécurité dans le secteur caritatif canadien1. Dans cet article, nous présentons des faits saillants de l’Enquête.
L’Enquête canadienne sur la cybersécurité et le cybercrime est un sondage réalisée deux fois par an par Statistique Canada depuis 2017. Les OBNL en font partie depuis le début; or, les données les concernant ne sont pas publiques. Imagine Canada a récemment obtenu les données à leur sujet de l’Enquête de 2021 (les résultats de l’Enquête de 2023 n’ont pas encore été publiés). Il faut noter que cette enquête inclut seulement les organisations et les entreprises qui comptent plus de dix employé.e.s. Selon la définition de Statistique Canada, les organisations/entreprises de petite taille comptent entre 10 et 49 employé.e.s, les organisations/entreprises de moyenne taille, entre 50 et 249 employé.e.s, et les organisations/entreprises de grande taille, 250 employé.e.s ou plus.
Les OBNL devancent le secteur privé dans l’adoption des technologies et des mesures de cybersécurité
Bien que les OBNL pensent être à la traîne des entreprises privées dans l’adoption des technologies, cette impression n’est pas confirmée par les résultats de l’Enquête. En effet, ces derniers montrent que les OBNL devancent les entreprises dans l’adoption des technologies, et ce dans presque toutes les catégories, y compris les sites Web, les médias sociaux, le commerce électronique et l’infonuagique (que l’on appelle ‘cloud computing’ en anglais). Ce constat s’applique aux organisations de toute taille, l’écart étant le plus important chez les petites organisations. Ainsi, 81 % des petits OBNL utilisent les médias sociaux, contre 66 % des petites entreprises, et 70 % des petits OBNL utilisent l’infonuagique et le stockage en nuage, contre 52 % des petites entreprises.
Les OBNL devancent aussi les entreprises privées dans l’adoption de la majorité des mesures de cybersécurité. Au total, 80 % des OBNL disent sécuriser leurs courriels, contre 72 % des entreprises privées; 79 % utilisent des logiciels de détection de maliciels, contre 74 % des entreprises privées; 72 % disent avoir sécurisé leur réseau, contre 67 % des entreprises privées; et 60 % disent sécuriser leur site Web, contre 50 % des entreprises privées. Parmi les mesures de cybersécurité moins utilisées, on compte la sécurisation des appareils mobiles (48 % des OBNL), la protection et le contrôle des données (42 %), et la sécurisation des logiciels et applications (33 %). L’utilisation généralisée de courriels sécurisés et de logiciels contre les maliciels peut s’expliquer par la disponibilité de ressources gratuites ou à prix réduit offertes aux OBNL par les grands fournisseurs comme Microsoft et Google, dont les plateformes intègrent ces fonctionnalités.
Les incidents de sécurité informatique affectent les organisations de toute taille
Malgré les précautions prises, les OBNL sont aussi susceptibles que les entreprises de subir un cyberincident. Tant chez les OBNL que chez les entreprises privées, 18 % rapportent avoir vécu un cyberincident en 2021. En moyenne, le coût total lié à ces incidents s’élevait à 19 000 $. La probabilité de subir un cyberincident augmente avec la taille de l’organisation, mais personne n’est à l’abri : 16 % des petits organismes, 25 % des organismes de taille moyenne et 35 % des grands organismes rapportent des cyberincidents. Bien que les petits organismes puissent se considérer comme des cibles improbables des cybercriminel.le.s, pour ces derniers.ières, la seule présence de données importantes pour l’organisme constitue un motif suffisant. De plus, l’automatisation croissante des cyberattaques favorise la détection et l’exploitation à grande échelle des vulnérabilités, sans égard pour la taille d’une organisation.
Au-delà des dollars : les OBNL victimes de cyberincidents vivent d’importantes perturbations
En plus des coûts directs, les cyberincidents causent également des coûts indirects. Parmi les OBNL ayant déclaré un cyberincident, 27 % disent que celui-ci les a empêchés d’utiliser certains services ou ressources. Pour plusieurs, des fonctions clés comme la prestation de services, la collecte de fonds et les communications peuvent alors devenir inaccessibles. De plus, 21 % des OBNL victimes d’un cyberincident affirment que leur personnel avait besoin de plus de temps pour accomplir son travail et 16 % disent que l’incident empêchait le personnel de pouvoir travailler.
Les OBNL dépensent la moitié de ce que dépensent les entreprises privées en prévention et en détection de cyberattaques
Bien que les OBNL soient aussi susceptibles que les entreprises privées de subir des cyberincidents, ils dépensent beaucoup moins qu’elles pour la prévention et la détection de cyberattaques (21 000 $ par an, en moyenne, contre 55 000 $). Cet écart peut s’expliquer par le manque de fonds sans restriction/de fonds dédiés à la cybersécurité dans les OBNL. Au total, 36 % des OBNL n’ont aucun.e employé.e exécutant des tâches régulières liées à la cybersécurité. De ce groupe, plus de la moitié (53 %) affirment faire appel à des consultant.e.s ou à des entreprises plutôt qu’à leur personnel. En même temps, 39 % disent ne pas avoir de personnel en raison du manque de ressources pour embaucher.
Le manque de formation en cybersécurité met les petits OBNL à risque
On constate de grands écarts entre les taux de formation en cybersécurité parmi les OBNL de différentes tailles. Seulement 14 % des petits OBNL offrent de telles formations à leur personnel informatique, contre 31 % des organismes de moyenne taille et 65 % des grands organismes. Des différences similaires s’observent quant à la formation du personnel non informatique. Seulement 17 % des petits OBNL lui offrent de la formation en cybersécurité, contre 27 % des OBNL de taille moyenne et 60 % des grands organismes. Certes, la formation représente un coût supplémentaire pour les OBNL déjà à court d’argent. Toutefois, elle permet d’atténuer des risques, et c’est sans parler des assureurs qui requièrent de plus en plus souvent un minimum de formation en cybersécurité et en hameçonnage.
Le manque de connaissances des normes de cybersécurité accroît la vulnérabilité de nombreux OBNL
Respecter les normes de cybersécurité permet de réduire les risques. Pourtant, la majorité des OBNL de petite ou de moyenne taille ne les connaissent pas. Seulement 7 % des petits OBNL et 15 % des OBNL de taille moyenne disent connaître l’existence des normes de cybersécurité, contre 54 % des grands OBNL. Cet écart peut s’expliquer par la présence, dans les grands organismes, d’employé.e.s dédié.e.s à la cybersécurité et plus enclin.e.s à connaître ces normes. Cependant, il existe plusieurs normes que les OBNL de petite ou de moyenne taille peuvent utiliser (voir Ressources ci-dessous).
Ressources
Les organismes ont accès à diverses ressources offertes gratuitement afin de bonifier leur cybersécurité.
Mesures de cybersécurité de base à l’intention des petites organisations : un excellent point de départ pour les organismes à la recherche de mesures faciles à mettre en place.
Contrôles de base de la cybersécurité pour les petites et moyennes organisations : une autre ressource très utile qui présente une norme nationale pour des mesures de base de contrôle de la cybersécurité afin d’orienter les efforts de mise en œuvre. L’annexe B comprend une liste standard pour évaluer le niveau de cybersécurité.
Tenir compte du contexte
Il ne faut pas oublier que la cybersécurité s’inscrit dans le contexte plus large de la transformation numérique. Des pratiques et politiques technologiques solides doivent intégrer des efforts en matière de cybersécurité. Heureusement, plusieurs outils peuvent aider les organismes dans leur transformation numérique, dont Tech Accelerate de NTEN et l’Académie de croissance caritative. Les deux offrent des outils gratuits pour évaluer l’adoption, les pratiques et les politiques technologiques, en plus de fournir des ressources et des recommandations pour renforcer la sécurité numérique.
Les bailleurs de fonds, décideurs politiques et chefs de file du milieu caritatif doivent appuyer les efforts des OBNL qui accomplissent leur mission avec l’appui des technologies pour assurer des mesures de cybersécurité et une transformation numérique efficaces. Ils doivent également contribuer à offrir de la formation, fournir les ressources nécessaires ainsi que sensibiliser les organismes à ce sujet.
Le Centre canadien de la résilience numérique des organismes sans but lucratif a été fondé pour mettre les OBNL au diapason de l’ère numérique. Si vous souhaitez recevoir des nouvelles en matière de transformation numérique, de technologies, de données et de cybersécurité, inscrivez-vous à la liste de diffusion du Centre à CCNDR.ca et suivez les activités du CCNDR sur LinkedIn.
1 Statistique Canada (18 octobre 2022), L’incidence du cybercrime sur les entreprises canadiennes, 2021.
