Les organisations à but non lucratif ne sont pas des éléments accessoires. Elles constituent une infrastructure critique, fournissant des services essentiels tels que les secours en cas de catastrophe, la sécurité alimentaire et le mentorat des jeunes aux Community, aux régions et aux pays.
Mais ce travail essentiel a fait de ces Organisations une cible de choix pour les cybercriminels. Les plateformes sur lesquelles les organisations à but non lucratif s'appuient pour faire avancer leurs missions regorgent des données que les hackers recherchent : les informations personnelles des personnes que les organisations servent, les dossiers financiers de leurs donateurs, et plus encore.
Les hackers veulent entrer, et cela se voit.
Le rapport Businesses at Work 2025 d’Okta révèle que les organisations à but non lucratif sont le deuxième secteur le plus attaqué après celui de l'énergie, de l'exploitation minière, du pétrole et du gaz.
Des données récentes de NetHope, un consortium qui aide les organisations à but non lucratif à utiliser les technologies pour faire avancer leurs missions respectives, indiquent que les organisations à but non lucratif signalent une augmentation des types et de la fréquence des cyberattaques.
Selon le 2025 State of Humanitarian and Development Cybersecurity Report de l'Organizations, le phishing et la compromission de comptes ont fortement augmenté, affectant 94 % des Organizations en 2025, contre 74 % l'année précédente. La fraude financière numérique a également augmenté, touchant 45 % des Organizations, contre 35 % en 2024. Alors que les menaces internes restaient une préoccupation à 26 %, de nouvelles menaces telles que les logiciels espions mercenaires ont émergé, signalées par 16 % des répondants.
Et ce ne sont pas seulement leurs données qui font des organisations à but non lucratif des cibles tentantes. Cela se résume également à ce qu'ils n'ont pas.
Comme l'explique Dianna Langley, directrice générale par intérim et directrice de l'exploitation de NetHope, « Les organisations à but non lucratif sont prises dans un étau impossible, leurs budgets de cybersécurité étant stables alors qu'elles sont confrontées à une explosion de menaces sophistiquées qui ciblent les organisations qui servent nos populations les plus vulnérables. »
Bret Pudenz, directeur principal de l'ingénierie de l'organisation à but non lucratif CarePortal, une plateforme de partage de soins qui met en relation les travailleurs sociaux et la Community avec les familles en crise, partage cette évaluation.
« Il est presque certain que c'est le manque de personnel et de ressources pour se protéger », dit-il. « Si vous êtes un hacker, la première chose que vous allez rechercher, ce sont les points faibles de n'importe quel système. » Les organisations à but non lucratif sont probablement l'un de ces secteurs. »
Repenser le modèle de responsabilité sociale des entreprises
Comprenant le rôle vital que jouent les organisations à but non lucratif, les entreprises de technologies cherchent depuis longtemps à soutenir les organisations manquant de ressources grâce à des dons généreux de logiciels. Cependant, ces dons bien intentionnés créent un paradoxe : les lacunes mêmes en matière de ressources qui rendent les organisations à but non lucratif vulnérables peuvent également les empêcher de déployer et de gérer avec succès de nouvelles technologies. Et en matière de sécurité, même la solution la plus puissante n'est efficace que dans la mesure où elle est correctement implémentée.
Pour combler cette lacune, un nouveau modèle de responsabilité sociale des entreprises est nécessaire, un modèle qui reconnaît l'importance d'associer les nouvelles technologies à l'expertise. Cette approche réimaginée est le moteur de programmes tels que les services techniques d'Okta for Good pour les organisations à but non lucratif.
« Les organisations à but non lucratif sont des éléments essentiels de notre infrastructure sociale, ce qui signifie que leur sécurité numérique est la sécurité publique », déclare Remy Champion, directeur de l'équipe Okta for Nonprofits « Notre approche consiste à fournir un support technique pratique en parallèle de notre produit afin de garantir que ces Organizations peuvent atteindre leurs missions en toute sécurité et continuer à protéger et à soutenir les Community qu'elles servent. »
CarePortal est une plateforme de partage de soins qui connecte les travailleurs sociaux et Community aux familles en crise. (Photo courtoisie de CarePortal)
Forger des partenariats sur le parcours du Zero Trust
L'expérience de CarePortal reflète à la fois les demandes d'authentification auxquelles sont confrontées les organisations à but non lucratif et les avantages que l'approche d'Okta en matière de support à la sécurité apporte. Bret Pudenz affirme que la petite mais puissante équipe technique de l'organisation était engagée dans une course pour renforcer sa posture de sécurité. Comme toute entreprise en croissance, CarePortal s'est débattue avec un ensemble disparate de politiques de mots de passe et d'outils de sécurité, ainsi qu'avec l'onboarding et l'offboarding.
Pudenz déclare que pendant des années, les membres de l'équipe avaient « battu le tambour » pour une solution de sécurité plus unifiée ; cependant, sans une personne dédiée à la sécurité, cet effort avait du mal à prendre de l'ampleur. Tout a changé lorsque l'architecte cloud Ehsan Deihim a rejoint CarePortal à l'été 2024. Les deux ont commencé à jeter les bases d'une nouvelle stratégie de sécurité, en commençant par une question cruciale : qui était responsable de la sécurité chez CarePortal ?
« Nous avons eu cette idée que chacun d'entre nous devait devenir un expert en sécurité, et nous avons établi cette philosophie Zero Trust », explique Deihim Ce nouvel état d'esprit a révélé une lacune critique dans leur infrastructure. « Afin de construire ce Zero Trust concret, nous avions absolument besoin d'une gestion des identités ainsi que d'une couche d'authentification et de vérification. »
L'équipe a commencé à évaluer ses options, en choisissant le programme Okta for Good pour les organisations à but non lucratif, qui offre non seulement une solution, mais aussi le support nécessaire pour la mettre en place.
Un an plus tard : mission activée
Aujourd'hui, CarePortal a remplacé un ensemble d'outils cloisonnés par ce que Pudenz décrit comme une approche de « point de contrôle unique » en matière d'identité et de sécurité. Cette vue unifiée a modifié la manière dont la petite équipe technique de CarePortal fonctionne. Ils peuvent désormais surveiller les menaces, effectuer l'onboarding de nouveaux utilisateurs et appliquer des politiques de sécurité, le tout au même endroit, ce qui leur permet de se concentrer sur ce qui compte le plus : faire progresser la mission de l'organisation.
« En simplifiant le processus, nous sommes en mesure de transférer ces ressources vers d'autres produits et de continuer à renforcer notre posture de sécurité dans AWS, dans GitLab et dans d'autres produits », explique Pudenz « Et c'est tout simplement précieux. »
La nouvelle efficacité permet à l'équipe de continuer à développer et à faire évoluer sa plateforme, permettant ainsi au personnel de remplir la mission de CarePortal sans compromission de la sécurité ni des ressources.
Ce type de résultat démontre la puissance de la collaboration, que ce soit entre les secteurs, comme le partenariat entre Okta et CarePortal, ou entre les missions.
« Les organisations à but non lucratif qui survivront et prospéreront rejoignent des écosystèmes de défense collaborative qui transforment la rareté en force », déclare Dianna Langley de NetHope, citant le programme Global Humanitarian ISAC de l'organisation comme exemple « Ils trouvent de la résilience en partageant ce qu'ils savent des menaces, en apprenant des erreurs des uns et des autres, et en mettant en commun leurs ressources limitées. » « En travaillant ensemble, ils ne se contentent pas seulement de mieux se défendre, mais ils se rétablissent aussi plus rapidement lorsque les choses tournent mal. »
