Choisir
l'intérêt
général
 |

Sécuriser l'utilisation de l'informatique

Internet et association
Internet et association
A retenir

L'utilisation de l'informatique dans une association nécessite l'application de certaines mesures de sécurité : en effet, leur absence entraîne souvent une perte ou une altération des outils de travail, voire des utilisations frauduleuses.

D'une part, ces situations sont préjudiciables au fonctionnement et à la réputation de l'association, d'autre part, le responsable de traitement de données s'engage à leur sécurité et le responsable d'un système d'information est responsable de la sécurité de celui-ci.

La fixation de règles de sécurité par le biais d'une politique de sécurité permet de mettre en place de bonnes pratiques pour les utilisateurs ; voici quelques préconisations de base.

La sécurité des locaux et la sécurisation des accès :

A côté des précautions élémentaires prises pour éviter l'accès des locaux à des personnes non autorisées, les locaux qui hébergent éventuellement un serveur devraient voir leur accès restreint aux seules personnes devant intervenir sur celui-ci; ce local doit le cas échéant être climatisé pour éviter les surchauffes en été.

  • Les mesures de protection telles que pare feu, antivirus doivent être activées.
  • Le matériel nomade doit être identifié, suivi et stocké dans du mobilier fermant à clé (ordinateurs portables, tablettes, clés USB...). Ce matériel doit être passé à l'antivirus lors de son utilisation.
  • L'accès au poste de travail doit se faire par un mot de passe spécifique à chaque utilisateur ; si les postes sont partagés, des comptes utilisateurs doivent être ouverts pour chaque utilisateur et non par poste ou par service.
  • Les postes doivent être verrouillés automatiquement en cas d'inutilisation pendant un certain temps ; les utilisateurs doivent eux même verrouiller leur poste pendant les temps de pause ou de réunion.
  • Les rôles de chacun doivent être connus dans l'organisation et les accès aux différentes applications et fichiers strictement limités à ce qui est nécessaire à l'exécution des missions de chacun, en anticipant les situations d'absence inopinées ou de départ de la structure.
  • Les mots de passe ne doivent pas être visibles et doivent être modifiés fréquemment.
  • Les sauvegardes des données doivent être organisées.

Le cloud computing :

  • Le stockage des données ou des fichiers sur des outils de type « Dropbox », « Google Drive » « One Drive » est souvent utilisé par les associations ; ces outils sont gratuits, facilement utilisables et permettent le partage. Leur utilisation n'est pas sans danger compte tenu de leurs conditions générales d'utilisation (auxquelles il faut donner son accord) : la confidentialité n'est pas assurée, pas plus que la pérennité ou la sécurité du système; il vaut mieux éviter le stockage de données confidentielles sur le cloud.
  • Par ailleurs les serveurs sur lesquels les données vont être stockées ne sont pas toujours implantés en Europe et par conséquent ne remplissent pas les conditions de la CNIL pour la conservation des données à caractère personnel.
  • Pour analyser la fiabilité de ces offres en ligne, la CNIL propose des recommandations auxquelles il convient de se référer.

Le recours à des prestataires :

  • Lorsque le système informatique est maintenu par des prestataires extérieurs, ceux-ci doivent signer un engagement de confidentialité (voir modèle sur le site CNIL) ; il est recommandé de noter leurs interventions dans un registre. Lorsque des données sensibles sont stockées, les fichiers doivent être protégés (au moins par un mot de passe).

L'ouverture de l'accès internet à des tiers :

  • Le titulaire de l'abonnement est responsable de l'utilisation d'internet quel que soit l'utilisateur; si vous ouvrez l'accès pour un usage en wifi, il est nécessaire à la fois de mettre en place un système de conservation des données de connexion et de respecter les règles en matière de collecte de données personnelles (voir à ce sujet les recommandations de la CNIL).


L'utilisation d'outils respectant les droits de propriété :

  • L'utilisation de logiciels piratés ou copiés illégalement est bien sûr interdite !

La sensibilisation des utilisateurs :

  • Salariés et bénévoles doivent être sensibilisés aux enjeux de la sécurité ; la rédaction et la diffusion d'une charte informatique, signée par chacun, est un des outils de sensibilisation

Quelques exemples de fraude :

Une association peut être confrontée à :

  • Des virus ou chevaux de Troie contenus dans les messages,
  • Au vol d'appareils mobiles permettant l'accès à des informations confidentielles ou aux données personnelles,
  • A une tentative d'hameçonnage (ou phishing): cette pratique consiste à envoyer un courriel qui reproduit le message d'un service connu (par exemple une banque, le fournisseur d'électricité ou d'internet) en vue d'obtenir la communication de coordonnées bancaires. Aucune suite ne doit être donnée à un mail qui vous demande vos coordonnées bancaires. Si vous recevez de tels messages (souvent avec des fautes d'orthographe ou de rédaction), un coup de fil auprès de l'organisme (en utilisant le numéro habituel et non celui mentionné dans le message douteux) permettra de lever un doute éventuel.