8.1 La sécurité des systèmes d'information
TABLE DES MATIÈRES
- 8.1.1 De quoi parle-t-on ?
- 8.1.2 Quels sont les enjeux ?
- 8.1.3 Comment les ONG peuvent-elles appréhender le sujet ?
- 8.1.4 Ressources clés
À retenir
La sécurisation des systèmes d’information est avant tout un sujet organisationnel, avec des technologies, outils, infrastructures et un accompagnement associé digne de ce nom.
Il est néanmoins essentiel quand on parle de données programmes de regarder les outils souvent encore aujourd’hui à la périphérie de l’infrastructure informatique usuelle mais necessaires au travail quotidien des équipes programmes sur le terrain (des outils de collecte, de traitement, d’analyse, de partage etc)
En effet, ils sont souvent centraux au traitement des bases de données des populations vulnérables mais leur niveau de sécurisation n’est pas toujours évalué.
La sécurité liée aux systèmes d’informations est une dimension importante de la gestion des données. Dans cette sous-section, nous allons revenir sur sa définition pour comprendre son périmètre, présenter les enjeux et les risques associés au niveau du secteur, ainsi que les bonnes pratiques humaines et les ressources clés.
8.1.1 De quoi parle-t-on ?
La sécurisation des systèmes d’information est ce qui est mis en place pour protéger l’ensemble de ressources qui permet de collecter, stocker, traiter et distribuer de l’information au sein de l’ONG. Cela concerne principalement la sécurisation informatique mise en place par l’organisation (en termes de technologies, d’outils, d’infrastructures…), mais également l’ensemble de pratiques humaines des membres de l’ONG pour éviter toute violation de données.
La majorité des ONG a un panel d’outils et d’infrastructure dont la sécurisation s’est considérablement améliorée depuis quelques années. Néanmoins, il reste de nombreuses pratiques et outils utilisés par les équipes programmes qui peuvent dans certaines ONG être un peu en dehors du giron des équipes informatiques et donc passer à la trappe de certaines vérifications de leur niveau de sécurité.
8.1.2 Quels sont les enjeux ?
La sécurité des systèmes d’informations est primordiale car elle permet de se prémunir d’attaques, qui peuvent avoir de graves conséquences, notamment sur la sécurité des populations affectées, la qualité des interventions d’une organisation, sa crédibilité, sa stabilité financière, et par conséquent la confiance que lui accorde la population ; pouvant suspendre ou arrêter ses activités ; pouvant aller jusqu’à la prise de contrôle du système par les attaquants.
Sécuriser ses systèmes d’informations permet non seulement de garder le contrôle sur ses prises de décisions, mais également de s’assurer de respecter les populations affectées en protégeant correctement leurs données pour éviter qu’elles soient accessibles par des personnes non concernées- ou pire, malveillantes.
Néanmoins, et surtout quand on parle de données programmes, il reste toujours un certain nombre d’applicatifs utilisés qui ne sont pas toujours dans le giron des départements informatiques (choix local d’outil imposé par un partenaire ou bailleur, périmètre des outils programmes parfois hors de la gamme d’outils suivi par le siège, pas de référent·e en gestion de données programmes au niveau siège etc). Pour éviter que les données collectées et stockées dans ces outils ne soient à risque d’intrusion, il est important de respecter un certain nombre de bonnes pratiques, que ce soit au niveau des membres en charge du choix et de son implémentation, ou des utilisateur·rices eux·elles-mêmes. C’est particulièrement le cas pour la sélection des outils traitant de la donnée programme sur des fonctionnalités relatives à la sécurité (authentification, granularité des rôles et utilisateur·rices, chiffrement, localisation des serveurs, etc), étant donné que le choix de ces outils n’est pas toujours fait proactivement à l’échelle de l’organisation (avec des personnes ayant normalement le temps de regarder tous les tenants et aboutissants des outils), mais souvent laissé au bon vouloir des équipes terrain qui doivent prendre ces décisions dans la précipitation et sans avoir la capacité de regarder les outils qui s’offrent à elles.
Nota Bene : Il est important de préciser qu’une sécurisation à outrance n’encourage parfois les utilisateurs.rices - notamment terrain - des outils qu’à mettre en place des stratégies d’évitement. Il est donc essentiel de s’assurer de la praticité également de ce qui est mis en place pour en favoriser l’appropriation à tous les niveaux de l’organisation.
8.1.3 Comment les ONG peuvent-elles appréhender le sujet ?
Une très grande majorité des mesures mises en place pour la sécurisation des systèmes d’information est faite par les départements informatiques de vos organisations, que cela soit en termes de systèmes informatiques, ou de politiques en termes de pratiques humaines.
Cependant, étant donné l’importance du sujet, et également pour aborder la dimension des pratiques humaines qui sont essentielles pour éviter que des aspects de la sécurisation passent à la trappe, nous vous avons préparé deux capsules à ce sujet, une du point de vue de l’organisation (départements informatiques) et une du point de vue de l’individu membre de l’ONG pour vous résumer les bonnes pratiques qui peuvent être mises en place (les deux étant complémentaires).
Sécurisation des SI- du point de vue organisationnel
Sécurisation des SI- du point de vue individuel
Ne pouvant être exhaustif sur des sujets aussi complexes qui dépassent le sujet de la gestion de données programmes et qui dépendent grandement des choix réalisés par chaque ONG, nous vous invitons pour aller plus loin à vous rapprocher au besoin de vos services informatiques / des référent·es en gestion de données programmes de vos ONG pour voir comment le sujet s’applique à vous, ainsi que les politiques et procédures en place.
8.1.4 Ressources clés
- Nous vous encourageons au besoin à explorer les ressources très conséquentes de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), avec de nombreuses recommandations et visualisations associées.
- N’hésitez pas sur le volet cybersécurité à regarder la section suivante de cette boite à outils, qui explique les enjeux associés dans le secteur et livre des bonnes pratiques et ressources sur le sujet.
- Vous pouvez également explorer la checklist de CartONG, qui apporte des éclairages pour faciliter votre prise de décision lors du choix d’un outil de collecte de données, vis-à-vis de la protection des données.
- Vous pouvez également vous référez au benchmark 2021 des outils pour vous aiguiller dans votre choix ou voir les critères d’importance en termes de sécurisation des données (issu de CartONG en collaboration avec Welthungerhilfe).