Les associations ne sont pas à l'abri des cyberattaques. Au contraire : leurs systèmes sont souvent moins protégés que ceux des entreprises, leurs équipes moins formées, et leurs budgets informatiques quasi inexistants.
En 2024, plusieurs ASBL belges ont été victimes de phishing, de ransomware ou de piratage de leurs comptes. Les conséquences : données perdues, communications compromises, réputation endommagée.
La bonne nouvelle, c'est que 90 % des incidents de sécurité numérique auraient pu être évités avec des mesures simples. Voici les 10 pratiques à mettre en place sans budget ni expertise technique.
1. Utiliser des mots de passe forts et uniques
Un mot de passe fort fait au moins 12 caractères, mélange lettres, chiffres et caractères spéciaux, et n'est utilisé que pour un seul service.
En pratique, personne ne peut mémoriser des dizaines de mots de passe forts. C'est pourquoi un gestionnaire de mots de passe est indispensable. Bitwarden est gratuit, open source, et permet de partager les accès en équipe de manière sécurisée.
Action immédiate : changez les mots de passe de votre boite mail principale, de votre site web et de votre page Facebook si ils font moins de 12 caractères ou s'ils sont utilisés sur plusieurs services.
2. Activer l'authentification à deux facteurs (2FA)
Le 2FA ajoute une couche de protection : même si quelqu'un vole votre mot de passe, il ne peut pas se connecter sans le second facteur (un code envoyé par SMS ou généré par une application).
Activez le 2FA sur : votre boite mail principale, votre site WordPress, vos comptes de réseaux sociaux, votre outil de comptabilité.
Application recommandée pour le 2FA : Authy ou Google Authenticator. Important : liez le 2FA à un appareil ou un numéro de téléphone organisationnel, pas personnel.
3. Former l'équipe à reconnaître le phishing
Le phishing (hameçonnage) est la première cause de compromission de comptes. Un mail qui semble venir de votre banque, de l'administration fiscale ou d'un partenaire vous demande de cliquer sur un lien et de saisir vos identifiants.
Réflexes à inculquer à toute l'équipe :
- Vérifier l'adresse mail de l'expéditeur (pas juste le nom affiché)
- Ne jamais cliquer sur un lien dans un mail pour se connecter à un service — toujours aller directement sur le site
- En cas de doute, appeler la personne ou l'organisation directement
Une formation de 30 minutes par an suffit à réduire considérablement ce risque.
4. Mettre à jour les logiciels régulièrement
Les mises à jour ne servent pas qu'à ajouter des fonctionnalités. Elles corrigent des failles de sécurité. Un WordPress non mis à jour est une cible facile pour les robots qui scannent en permanence les sites vulnérables.
À mettre à jour régulièrement : WordPress et ses plugins, les systèmes d'exploitation des ordinateurs de l'équipe, les navigateurs web.
Activez les mises à jour automatiques partout où c'est possible.
5. Sauvegarder les données régulièrement
En cas d'attaque ransomware (chiffrement de vos données contre rançon) ou de panne matérielle, une sauvegarde récente vous permet de récupérer sans catastrophe.
Règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site (cloud).
Pour un site WordPress, des plugins comme UpdraftPlus permettent d'automatiser les sauvegardes vers Google Drive ou Dropbox. Pour vos fichiers, Google Drive avec synchronisation automatique est une solution simple et gratuite.
6. Gérer les droits d'accès avec précision
Tout le monde n'a pas besoin d'accéder à tout. Limitez les droits d'accès au strict nécessaire pour chaque rôle.
Sur WordPress, un rédacteur n'a pas besoin des droits d'administrateur. Sur Google Drive, les bénévoles n'ont pas besoin d'accéder aux contrats salariés.
Plus les droits sont étendus, plus les dégâts sont importants en cas de compromission d'un compte.
7. Sécuriser les mails contre le spam et le phishing
Si vous avez un domaine propre (monasbl.be), configurez les enregistrements SPF, DKIM et DMARC. Ce sont des paramètres DNS qui empêchent quelqu'un d'envoyer des mails en se faisant passer pour votre organisation.
Votre prestataire d'hébergement ou votre fournisseur de mail peut vous aider à les configurer. C'est une manipulation technique unique qui protège durablement votre réputation d'expéditeur.
8. Utiliser un réseau Wi-Fi sécurisé
Évitez de travailler sur des réseaux Wi-Fi publics pour accéder aux outils sensibles de votre organisation (comptabilité, CRM, mails). Si c'est inévitable, utilisez un VPN.
Pour votre réseau Wi-Fi de bureau, utilisez un mot de passe fort et changez le mot de passe par défaut de votre routeur.
9. Avoir une procédure en cas d'incident
Que fait-on si un compte est piraté ? Si le site est compromis ? Si un mail de phishing a été cliqué ?
Sans procédure, la réaction sera lente et chaotique. Avec une procédure, même simple, l'équipe sait quoi faire.
Procédure minimale :
- Isoler : déconnecter l'appareil concerné du réseau
- Changer immédiatement les mots de passe des comptes compromis
- Prévenir le référent numérique
- Contacter le prestataire technique si nécessaire
- Documenter l'incident
10. Faire un audit de sécurité annuel
Une fois par an, consacrez deux heures à revoir votre sécurité numérique :
- Tous les mots de passe sont-ils toujours forts et à jour ?
- Le 2FA est-il actif sur tous les comptes critiques ?
- Les anciens membres ont-ils bien été supprimés des outils ?
- Les sauvegardes fonctionnent-elles correctement ?
- Les mises à jour sont-elles à jour ?
Cette revue annuelle prend peu de temps et peut éviter des incidents majeurs.
FAQ
On est une petite ASBL. Les hackers ne vont pas s'intéresser à nous, non ?
Les attaques automatisées ne font pas de discrimination. Les robots qui scannent les sites WordPress vulnérables ou qui envoient des mails de phishing ciblent tout le monde, sans exception. La taille ne protège pas.
Combien ça coûte de sécuriser notre ASBL ?
La plupart des mesures décrites ici sont gratuites. Bitwarden est gratuit. Le 2FA est gratuit. Les mises à jour sont gratuites. Le seul coût potentiel est une heure de prestataire technique pour configurer SPF/DKIM/DMARC.
Notre ASBL travaille avec des données sensibles (bénéficiaires, dossiers sociaux). On a des obligations spécifiques ?
Oui. Le RGPD impose des obligations de sécurité pour toute organisation traitant des données personnelles. En cas de violation de données, vous devez notifier l'Autorité de Protection des Données (APD) belge dans les 72 heures. Consultez le site de l'APD (autoriteprotectiondonnees.be) pour connaître vos obligations.
Conclusion
La sécurité numérique n'est pas réservée aux grandes entreprises avec des équipes IT dédiées. Elle est à la portée de toute ASBL, avec des mesures simples et souvent gratuites.
Commencez par les trois premières actions de cette liste aujourd'hui. Vous aurez déjà considérablement réduit votre exposition aux risques les plus courants.
Contactez Nomad Impact pour un audit de sécurité →


