Les organisations à but non lucratif n'ont jamais été conçues pour mener une cyberguerre. Leur mission est d'aider les familles à se nourrir, de financer la recherche et d'abriter les communautés. Pourtant, en coulisses, ces mêmes organisations sont discrètement devenues des cibles de choix pour les attaquants.
« Nous sommes ciblés parce que nous avons des actifs. Nous avons des données sensibles. Nous avons de l'argent, bien sûr », a déclaré Pam Knott, vice-présidente des données et de la technologie à l'ALS Association.
Les organisations à but non lucratif traitent généralement des millions de dons et stockent des données personnelles sensibles. Par conséquent, elles se classent désormais au deuxième rang des secteurs les plus ciblés par les cyberattaques, juste derrière le secteur de l'énergie. Mais contrairement aux géants de l'énergie, la plupart des organisations à but non lucratif n'ont pas l'infrastructure nécessaire pour se défendre. Quatre-vingt-douze pour cent fonctionnent avec des budgets inférieurs à 1 million de dollars, ce qui suffit à peine à financer les programmes, et encore moins les équipes de cybersécurité.
Alors, comment les organisations à but non lucratif se défendent-elles ?
En restant simple.
Ce sont les conseils de Conor Mulherin, vice-président des produits d'entreprise et des nouvelles activités chez TechSoup, une organisation à but non lucratif qui soutient plus de 1,5 million d'organisations dans le monde. Mulherin constate que la plupart des brèches commencent par quelque chose de petit : un identifiant faible ou volé. C'est pourquoi les outils de gestion des identités et des accès sont parmi les défenses les plus efficaces qu'une organisations à but non lucratif puisse déployer.
De plus en plus, les organisations à but non lucratif et les entreprises s'orientent vers un framework d'identité unifié — une couche de sécurité qui protège chaque utilisateur, application et appareil. C'est le fondement du Zero Trust, un principe selon lequel rien ni personne ne peut accéder sans vérification.
Mais il n’est pas facile de construire cette base.
« Lorsque les clients tentent d’assembler ces produits, ils doivent être experts dans chacun d’eux et dans la manière dont ils s’interconnectent », a déclaré Jack Hirsch, vice-président de la gestion des produits chez Okta. « Ils laissent des failles béantes. » Ils laissent des failles de sécurité. »
Peu d'organisations comprennent mieux les enjeux que l'ALS Association.
Pendant des années, l'organisation à but non lucratif a fonctionné selon un modèle fédéré : environ 40 sections à travers le pays, chacune exploitant ses propres systèmes, outils et protocoles de données. Mais cela a introduit de la complexité et des risques.
« Il y a trois ans, nous avons commencé à unifier », a déclaré Samantha Luke, directrice principale de la technologie et du support de l’ALS Association. « Une seule organisation. Un seul CRM. Un seul ensemble de solutions. »
Dans un monde où les attaques se multiplient plus vite que le personnel ne peut réagir, l'ALS Association avait besoin d'une base standardisée et sécurisée. La plateforme d’Okta fournit cette base — en connectant et en protégeant chaque identité dans un système cohérent.
Et grâce à Okta for Good, les organisations à but non lucratif ont accès aux ressources d'Okta, telles que des conseils d'experts et des outils conçu pour les entreprises, généralement réservés aux entreprises figurant dans le classement Fortune 500. Cela permet aux organisations à but non lucratif de consacrer davantage de ressources à leurs missions principales.
Parce que lorsque la mission est aussi importante que nourrir les communautés, guérir les maladies ou sortir les gens de la crise, la sécurité n'est pas seulement un problème informatique.
Cela fait partie de la mission elle-même.
