Une ONG européenne de taille moyenne employant 80 personnes gère généralement 15 à 25 outils SaaS, intègre 30 à 100 volontaires par an et gère une fonction informatique composée d’une seule personne. Ce responsable informatique protège les dossiers financiers des donateurs, les données des bénéficiaires classées en vertu de l’article 9 du GDPR et les plans opérationnels ayant des implications en matière de sécurité physique. Les licences VPN, les paramètres de sécurité par défaut de Microsoft for Nonprofits et une feuille de calcul des droits d’accès des bénévoles ne suffisent plus. Une plateforme SASE consolide l’accès basé sur l’identité, le filtrage web, le contrôle des appareils sans agent et la journalisation d’audit dans une console unique, donnant à cette équipe d’une seule personne une posture de sécurité défendable sans assembler cinq outils distincts avec un budget qui dépasse rarement 50 000 euros par an.
De quelle cybersécurité les organisations à but non lucratif auront-elles besoin en 2026 ?
En 2026, les organisations à but non lucratif ont besoin de contrôles d’accès sensibles à l’identité qui s’adaptent à la vitesse d’intégration des bénévoles, d’une protection web centralisée pour l’ensemble de leurs SaaS, d’une isolation des périphériques sans agent pour les ordinateurs portables non gérés et d’une console unique qui produit des preuves d’audit pour la conformité avec les donateurs et les rapports NIS2. Une plateforme SASE fournit ces quatre éléments à partir d’un seul service géré dans le nuage, remplaçant la pile assemblée de VPN, de filtre DNS, de gestionnaire d’appareils et d’outil de journalisation. Pour les organisations où un identifiant de volontaire compromis peut exposer les dossiers des bénéficiaires en vertu de l’article 9 du GDPR, la consolidation est la seule voie viable d’un point de vue opérationnel.
Les ONG de données gèrent en fait
Les données des organisations à but non lucratif ne sont pas de faible valeur. Dans de nombreux cas, elles présentent un risque plus élevé que les données commerciales, car les conséquences de l’exposition vont au-delà de la perte financière et touchent à la sécurité physique.
Les données relatives aux donateurs comprennent les détails de paiement, les affiliations politiques et les préférences religieuses. DonorPerfect, Raiser’s Edge et Salesforce NPSP détiennent ces données pour des milliers d’ONG européennes, souvent avec un accès partagé entre le personnel financier permanent et les administrateurs de subventions temporaires.
Les données relatives aux bénéficiaires constituent la catégorie la plus sensible. Statut de réfugié, conditions médicales, besoins de protection, localisation géographique. En vertu de l’article 9 du GDPR, ces données sont considérées comme des catégories spéciales de données à caractère personnel. Pour des organisations comme le CICR, MSF ou leurs équivalents nationaux plus petits, une violation des données sur les bénéficiaires peut conduire à une persécution physique. Le rapport de l’ENISA sur le paysage des menaces en 2025 a documenté les groupes parrainés par l’État qui ciblent les organisations de la société civile spécifiquement pour ces données.
Les dossiers financiers couvrent les dépenses liées aux subventions et les instructions de paiement. Les attaques BEC ciblant les flux de paiement des subventions ont augmenté, les attaquants interceptant les demandes de changement de paiement entre les ONG et les donateurs institutionnels tels que la Commission européenne et l’USAID.
Les données opérationnelles comprennent l’emplacement des travailleurs sur le terrain et les itinéraires de la chaîne d’approvisionnement. Dans les régions touchées par un conflit, ces informations ont des conséquences directes sur la sécurité du personnel sur le terrain.
Combien de cyberattaques d’ONG se produiront en 2026 ?
Les modèles d’attaques visant les organisations à but non lucratif ne sont pas théoriques. Des incidents récents en Europe illustrent les vecteurs spécifiques contre lesquels les petites équipes informatiques doivent se défendre.
En mars 2026, le groupe de ransomware Qilin a pris pour cible Die Linke, une organisation politique allemande, mettant les systèmes informatiques hors service et démontrant comment les organisations civiles sont utilisées comme terrains d’essai pour des campagnes de perturbation. Les attaquants ont combiné le vol d’informations d’identification et le déploiement d’un ransomware dans un schéma qui aurait réussi contre n’importe quelle ONG utilisant un accès à distance basé sur un réseau privé virtuel (VPN).
Les attaques contre la chaîne d’approvisionnement par le biais de plateformes SaaS partagées constituent le deuxième grand vecteur. Au début de l’année 2026, la vulnérabilité d’un fournisseur de services de production de documents a compromis les données financières de plusieurs organisations européennes. Les ONG qui utilisent des plateformes partagées de gestion des subventions sont exposées de la même manière.
Selon l’ENISA, l’hameçonnage reste le principal vecteur initial pour environ 60 % des incidents. Les courriels d’hameçonnage générés par l’IA arrivent désormais dans les langues locales avec un cadre humanitaire adapté au contexte, ce qui les rend beaucoup plus difficiles à distinguer d’une communication légitime pour les bénévoles.
L’incident survenu chez Stryker en mars 2026, au cours duquel des pirates ont accédé à Microsoft Intune et effacé 200 000 appareils dans 79 pays, illustre le risque lié à la compromission des outils administratifs. Une ONG dépendant d’appareils de terrain gérés perdrait instantanément toute capacité opérationnelle.
Le modèle de sécurité de l’économie du volontariat
Les bénévoles et les entrepreneurs indépendants constituent l’épine dorsale du travail à but non lucratif. CBS Pays-Bas a constaté que 41 % des Néerlandais âgés de 15 à 24 ans et 48 % des Néerlandais âgés de 65 à 75 ans participaient à des activités de bénévolat (2022). Pour une ONG typique comptant 80 employés permanents, cela signifie que 30 à 100 personnes supplémentaires accèdent aux systèmes à tout moment, chacune avec son propre ordinateur portable non géré.
Le défi en matière de sécurité ne consiste pas à contrôler ces personnes. Il s’agit de permettre une intégration et une désinsertion rapides et sécurisées sans exiger un provisionnement informatique manuel pour chaque bénévole qui rejoint un projet de trois mois. Les modèles informatiques traditionnels supposent une main-d’œuvre stable disposant d’appareils fournis par l’entreprise. L’économie du volontariat renverse chacune de ces hypothèses.
Trois modes de défaillance spécifiques sont récurrents dans les incidents de sécurité des ONG impliquant des volontaires :
Le fossé de la désinsertion. Lorsqu’un volontaire termine son engagement, l’accès à Microsoft 365, Salesforce NPSP, Slack et aux dossiers SharePoint spécifiques au projet devrait être révoqué immédiatement. Dans la pratique, avec un seul responsable informatique jonglant avec 20 plateformes, le déprovisionnement prend des jours ou des semaines. Pendant cette période, les comptes dormants deviennent des cibles pour les voleurs d’informations comme Lumma, qui, en 2025 et 2026, est devenu la méthode la plus courante de collecte d’informations d’identification. Un compte d’ancien bénévole compromis permet d’accéder directement aux bases de données des donateurs sans déclencher d’alerte au niveau du périmètre.
La réalité du BYOD. Les bénévoles utilisent leurs propres appareils, qui fonctionnent souvent avec des systèmes d’exploitation obsolètes sans protection des points finaux. L’installation d’un agent ou d’un MDM sur l’ordinateur portable personnel d’un volontaire est à la fois peu pratique et problématique d’un point de vue éthique. L’organisation doit sécuriser l’accès à ses applications sans contrôler l’appareil.
Le problème des références partagées. Les équipes informatiques qui manquent de ressources partagent souvent les identifiants de la plateforme au lieu de provisionner des comptes individuels. Lorsque six personnes utilisent le même identifiant Raiser’s Edge, il n’y a pas de piste d’audit ni de moyen de révoquer l’accès d’une personne.
La réponse à ces trois modes d’échec est un accès basé sur l’identité avec une gestion automatisée du cycle de vie, et non pas des agents supplémentaires ou des processus manuels.
Pression de conformité sur les ONG en 2026
Les organisations à but non lucratif ne peuvent plus considérer qu’elles se situent en dehors du périmètre réglementaire. Trois forces de conformité convergent en 2026.
Le NIS2 atteint les ONG par le biais d’un champ d’application direct et indirect. Dans le cadre des annexes I et II de la NIS2, les ONG actives dans le domaine des soins de santé (organisations d’aide médicale), de la gestion de l’eau ou des projets d’infrastructures critiques peuvent être qualifiées directement d’entités importantes ou essentielles. Le Centre belge de cybersécurité (CCB) exige que les entités essentielles obtiennent une vérification des principes fondamentaux du cyberespace d’ici avril 2026, et une certification complète d’ici avril 2027.
Le plus souvent, le NIS2 atteint les organisations à but non lucratif par le biais de la pression exercée sur la chaîne d’approvisionnement. En vertu de l’article 21, paragraphe 2, point d), les entités essentielles doivent évaluer la sécurité de l’ensemble de leur chaîne d’approvisionnement. Une ONG qui fournit des services sociaux à une municipalité ou une logistique humanitaire à un programme financé par le gouvernement est confrontée à des exigences contractuelles en matière de sécurité qui reflètent les obligations du NIS2. La liste de contrôle de la conformité au NIS2 destinée aux responsables informatiques détaille ce que les auditeurs s’attendent à voir.
L’application de l’article 9 du GDPR s’intensifie. Les autorités belges et néerlandaises chargées de la protection des données ont mis l’accent sur le traitement des catégories spéciales de données. Les données des bénéficiaires concernant la religion, l’état de santé, l’opinion politique ou l’origine ethnique nécessitent un cryptage, une authentification multifactorielle et un contrôle d’accès strict. Une ONG qui traite ces données sur la base d’informations d’identification partagées sans aucune piste d’audit est en infraction manifeste.
Les exigences de conformité des donateurs incluent désormais la cybersécurité. La Commission européenne, l’USAID et l’Open Society Foundations incluent des clauses de cybersécurité dans les accords de subvention 2026, exigeant des preuves de surveillance, de réponse aux incidents et de contrôle d’accès. La norme de l’IITA encourage le partage ouvert des données, ce qui, paradoxalement, exige une protection plus forte de l’infrastructure sous-jacente.
La réalité de la pile d’outils SaaS
Une ONG de taille moyenne employant 80 personnes utilise généralement des outils d’entreprise subventionnés et des plateformes sectorielles.
Productivité et communication. Microsoft for Nonprofits ou Google for Nonprofits fournissent la suite de base. Ces programmes offrent des réductions importantes, mais les versions gratuites ou bon marché incluent rarement des fonctions de sécurité avancées telles que l’accès conditionnel intégral ou la protection avancée contre les menaces. De nombreux responsables informatiques s’appuient sur les paramètres de sécurité par défaut, qui permettent un accès conditionnel de base mais laissent des lacunes dans la surveillance des sessions et la détection des menaces.
Gestion des donateurs. Salesforce NPSP, Raiser’s Edge (NRE), DonorPerfect ou Bloomerang gèrent les relations avec les donateurs et le traitement des dons. Chaque plateforme gère sa propre base de données d’identité. Lorsqu’un bénévole a besoin d’accéder au dossier d’un donateur pour une campagne de collecte de fonds, cet accès est fourni manuellement et rarement révoqué automatiquement.
Opérations financières et sur le terrain. Xero ou QuickBooks gère les dépenses liées aux subventions. KoboToolbox s’occupe de la collecte des données sur le terrain. WhatsApp coordonne les équipes. Chacun ajoute des points d’accès en dehors de toute supervision informatique formelle.
Il en résulte une pile de 15 à 25 applications sans couche d’identité unifiée, sans politique d’accès centralisée et sans source unique de vérité pour savoir qui a accès à quoi. Chaque application est une tâche de déprovisionnement distincte lorsqu’un volontaire part. Chaque application est une surface d’attaque distincte.
Pourquoi les approches traditionnelles des ONG en matière de sécurité ne fonctionnent plus
Les VPN créent le mauvais modèle d’accès. Un volontaire qui se connecte via un VPN bénéficie d’un large accès au réseau. Si ses informations d’identification sont compromises, l’attaquant hérite de ce même accès étendu. Les VPN sont également peu performants en cas de connexions instables sur le terrain, ce qui pousse le personnel à les contourner. Le guide de l ‘architecture SASE explique en détail pourquoi l’accès basé sur l’identité a remplacé le tunnelage au niveau du réseau.
Les paramètres par défaut de la sécurité libre laissent des lacunes. Microsoft pour les organisations à but non lucratif inclut l’AMF de base par le biais des paramètres de sécurité par défaut. Il n’inclut pas de vérification de la conformité des appareils, de politiques d’accès conditionnel basées sur des signaux de risque ou de révocation automatisée des sessions. La version gratuite est mieux que rien. Il n’est pas conçu pour protéger les catégories spéciales de données conformément à l’article 9 du GDPR.
Le déprovisionnement manuel n’est pas évolutif. Lorsque la rotation des bénévoles se traduit par 30 à 100 événements du cycle de vie de l’identité par an sur 15 à 25 plateformes, le seul responsable informatique ne peut pas suivre. Les comptes dormants avec des identifiants actifs s’accumulent sur les plateformes des donateurs, les systèmes financiers et les outils opérationnels.
Comment SASE résout le problème de la sécurité des ONG
SASE remplace la pile assemblée par une plate-forme unique qui traite chaque mode de défaillance.
ZTNA fournit un accès par programme avec un débarquement automatique. Zero Trust Network Access permet à chaque volontaire d’accéder aux applications spécifiques dont il a besoin pour son projet. Un bénévole chargé de la collecte de fonds accède à Raiser’s Edge et aux dossiers SharePoint pertinents. Un collecteur de données sur le terrain accède à KoboToolbox et au tableau de bord du projet. Aucun des deux ne peut voir les ressources de l’autre. La révocation de l’identité dans le répertoire central met automatiquement fin à l’accès à toutes les applications connectées.
SWG centralise le filtrage sur l’ensemble de la pile SaaS. Une passerelle Web sécurisée inspecte tout le trafic Web en fonction des renseignements sur les menaces et des politiques, quelle que soit l’application à laquelle l’utilisateur accède. La même protection contre le phishing qui couvre Microsoft 365 couvre également Bloomerang, KoboToolbox et tout autre outil basé sur le web. Pour une seule équipe informatique, il n’est donc plus nécessaire de configurer des paramètres de sécurité distincts pour chaque plateforme.
Le contrôle des appareils sans agent via NIAC sécurise les ordinateurs portables des volontaires. Le NIAC de Jimber fournit une isolation de session pour les appareils qui ne peuvent pas exécuter un agent de point final. Lorsqu’un volontaire se connecte à partir de son ordinateur portable personnel, la session s’exécute dans un environnement contrôlé. Aucune donnée n’est stockée sur l’appareil. Les logiciels malveillants ne peuvent pas communiquer en amont avec les applications des ONG. Cette solution offre une sécurité de niveau entreprise sans installer de logiciel sur les biens personnels.
L’enregistrement centralisé répond aux exigences en matière d’audit. Chaque événement d’accès et chaque décision politique sont consignés dans un seul journal. Lorsque la Commission européenne demande des preuves de contrôle d’accès pour l’examen d’une subvention, ou lorsqu’un organisme d’évaluation CCB vérifie la conformité NIS2, le responsable informatique produit un enregistrement complet à partir d’une seule console. L’aperçu de la conformité NIS2 2026 explique ce que les autorités attendent.
L’intégration de l’identité en quelques minutes. La connexion de la plateforme SASE à Microsoft Entra ID ou à Google Workspace implique la création d’un compte bénévole qui prévoit automatiquement les bonnes règles d’accès. La désactivation de ce compte révoque l’accès partout. Le cycle de vie du volontaire passe de plusieurs jours de travail manuel à quelques minutes de provisionnement automatisé.
Console unique pour une viabilité informatique à un ETP. Un responsable informatique ne peut pas maintenir des consoles séparées pour un VPN, un filtre DNS, un proxy web, la gestion des périphériques et un outil de journalisation. Des plateformes comme Jimber regroupent ZTNA, SWG, FWaaS et la journalisation des audits dans une seule interface, ce qui rend la charge de travail gérable pour une petite équipe avec le soutien d’un partenaire de service.
Gestion multi-locataires des partenaires de service. La plupart des ONG confient une partie de leur informatique à un partenaire de services. L’architecture multi-tenant de Jimber permet à ce partenaire de gérer plusieurs ONG à partir d’une seule console avec des modèles de politiques partagés, réduisant ainsi les coûts par organisation tout en maintenant la séparation des données.
Un déploiement réaliste en 60 jours pour une ONG de 80 personnes
La mise en œuvre de SASE ne nécessite pas un projet d’un an ni un budget d’investissement. Une ONG de 80 personnes travaillant avec un partenaire de service externe peut effectuer la transition en 60 jours.
Jours 1 à 15 : fondement de l’identité. Le responsable informatique et le partenaire de service vérifient la pile SaaS actuelle et mettent en correspondance les groupes d’utilisateurs avec les exigences d’accès aux applications. Microsoft Entra ID ou Google Workspace devient la source d’identité faisant autorité. Le MFA est appliqué à tous les comptes. Les comptes volontaires dormants sont désactivés. Cette phase ne nécessite pas de nouveaux outils, seulement des mesures d’hygiène.
Jours 16 à 45 : modélisation pilote et politique. Un groupe pilote de 15 à 20 utilisateurs, comprenant du personnel mobile et des volontaires actifs, migre vers la plateforme SASE. Les politiques ZTNA remplacent l’accès VPN. Le partenaire de service configure les politiques SWG pour la gestion des donateurs et les plateformes financières. Les ordinateurs portables des volontaires se connectent grâce à une isolation sans agent.
Jours 46 à 60 : déploiement complet et démantèlement de l’héritage. Le personnel et les bénévoles restants migrent. Les licences VPN sont annulées. Les pare-feu des bureaux locaux sont mis hors service ou transformés en simples routeurs. Les économies réalisées sur les licences annulées et la réduction des frais de gestion compensent généralement le coût de l’abonnement SASE au cours de la première année.
Le secteur des agences de marketing et de création est confronté à un modèle de transition parallèle, l’intégration des freelances remplaçant l’intégration des bénévoles en tant que moteur opérationnel. L’architecture sous-jacente est la même.
Questions fréquemment posées
Le NIS2 s’applique-t-il aux organisations à but non lucratif et aux ONG ?
Le NIS2 s’applique directement aux ONG dans les secteurs de l’annexe I ou II, y compris les soins de santé et les infrastructures critiques. Plus couramment, elle s’applique indirectement : les entités essentielles doivent évaluer la sécurité de la chaîne d’approvisionnement conformément à l’article 21.2.d. Une ONG au service d’une municipalité ou d’un programme gouvernemental est soumise à des obligations contractuelles NIS2 de la part de ces clients, quelle que soit sa propre classification.
Comment les ONG peuvent-elles sécuriser l’accès des volontaires sans gérer leurs ordinateurs portables ?
L’isolation de session sans agent permet aux volontaires d’accéder à des applications à partir d’appareils personnels sans installer de logiciel. La session s’exécute dans un environnement en nuage contrôlé, sans stockage local de données. Les logiciels malveillants présents sur l’appareil ne peuvent pas atteindre les systèmes de l’organisation. Le matériel NIAC de plateformes telles que Jimber offre cette possibilité dans le cadre de la pile SASE.
Quels sont les audits de cybersécurité généralement effectués par les grands donateurs ?
La Commission européenne, l’USAID et l’Open Society Foundations incluent des preuves de cybersécurité dans les accords de subvention, couvrant les contrôles d’accès, la surveillance et la réponse aux incidents. La norme IITA exige un partage transparent des données avec des garanties correspondantes. Tous les grands donateurs institutionnels attendent désormais des contrôles de sécurité documentés et vérifiables.
Une ONG de taille moyenne peut-elle s’offrir une plateforme SASE ?
Une plateforme SASE à fournisseur unique coûte généralement moins cher que la pile assemblée qu’elle remplace. Les licences VPN, le filtrage DNS, la journalisation de base et les heures de travail des partenaires de service pour gérer quatre consoles dépassent souvent le coût par utilisateur d’une plate-forme consolidée. Pour les budgets inférieurs à 50 000 euros, le SASE est une stratégie de consolidation qui réduit le coût total.
Comment SASE traite-t-elle les données des bénéficiaires dans le cadre du GDPR ?
ZTNA applique l’accès par application afin que seuls les utilisateurs autorisés accèdent aux bases de données des bénéficiaires. Les contrôles de posture des appareils vérifient les normes de sécurité avant l’accès. Tous les événements sont enregistrés avec l’identité, le contexte de l’appareil et l’horodatage, fournissant ainsi la piste d’audit de l’article 9 du GDPR. Les plateformes européennes telles que Jimber traitent les données à l’intérieur des frontières de l’UE, évitant ainsi les complications liées à la loi CLOUD.
Quelle est la différence entre Microsoft for Nonprofits security et SASE ?
Microsoft for Nonprofits offre une subvention pour Microsoft 365 avec un MFA de base. Il ne couvre pas les applications non Microsoft, la conformité des appareils ou la journalisation centralisée de l’ensemble des outils. SASE ajoute une couche de sécurité unifiée pour toutes les applications avec une politique et des rapports centralisés. Les deux sont complémentaires : Microsoft fournit la productivité, SASE fournit la sécurité.
Les organisations à but non lucratif existent pour servir une mission, et non pour gérer une infrastructure de sécurité. Mais en 2026, la protection de la confiance des donateurs, de la sécurité des bénéficiaires et de la continuité des opérations exige plus que des paramètres de sécurité par défaut et un tableur d’accès pour les bénévoles. Une plateforme SASE consolidée offre à l’équipe informatique composée d’une seule personne la même architecture de sécurité que celle utilisée par les grandes entreprises, à un coût qui s’inscrit dans les contraintes des budgets financés par des subventions. Vous êtes prêt à voir comment cela fonctionne pour votre organisation ? Réservez une démonstration et découvrez un plan de déploiement conçu pour les organisations à but non lucratif.
