Une ONG europ\u00e9enne de taille moyenne employant 80 personnes g\u00e8re g\u00e9n\u00e9ralement 15 \u00e0 25 outils SaaS, int\u00e8gre 30 \u00e0 100 volontaires par an et g\u00e8re une fonction informatique compos\u00e9e d’une seule personne. Ce responsable informatique prot\u00e8ge les dossiers financiers des donateurs, les donn\u00e9es des b\u00e9n\u00e9ficiaires class\u00e9es en vertu de l’article 9 du GDPR et les plans op\u00e9rationnels ayant des implications en mati\u00e8re de s\u00e9curit\u00e9 physique. Les licences VPN, les param\u00e8tres de s\u00e9curit\u00e9 par d\u00e9faut de Microsoft for Nonprofits et une feuille de calcul des droits d’acc\u00e8s des b\u00e9n\u00e9voles ne suffisent plus. Une plateforme SASE consolide l’acc\u00e8s bas\u00e9 sur l’identit\u00e9, le filtrage web, le contr\u00f4le des appareils sans agent et la journalisation d’audit dans une console unique, donnant \u00e0 cette \u00e9quipe d’une seule personne une posture de s\u00e9curit\u00e9 d\u00e9fendable sans assembler cinq outils distincts avec un budget qui d\u00e9passe rarement 50 000 euros par an. <\/p>\n
En 2026, les organisations \u00e0 but non lucratif ont besoin de contr\u00f4les d’acc\u00e8s sensibles \u00e0 l’identit\u00e9 qui s’adaptent \u00e0 la vitesse d’int\u00e9gration des b\u00e9n\u00e9voles, d’une protection web centralis\u00e9e pour l’ensemble de leurs SaaS, d’une isolation des p\u00e9riph\u00e9riques sans agent pour les ordinateurs portables non g\u00e9r\u00e9s et d’une console unique qui produit des preuves d’audit pour la conformit\u00e9 avec les donateurs et les rapports NIS2. Une plateforme SASE fournit ces quatre \u00e9l\u00e9ments \u00e0 partir d’un seul service g\u00e9r\u00e9 dans le nuage, rempla\u00e7ant la pile assembl\u00e9e de VPN, de filtre DNS, de gestionnaire d’appareils et d’outil de journalisation. Pour les organisations o\u00f9 un identifiant de volontaire compromis peut exposer les dossiers des b\u00e9n\u00e9ficiaires en vertu de l’article 9 du GDPR, la consolidation est la seule voie viable d’un point de vue op\u00e9rationnel. <\/p>\n
Les donn\u00e9es des organisations \u00e0 but non lucratif ne sont pas de faible valeur. Dans de nombreux cas, elles pr\u00e9sentent un risque plus \u00e9lev\u00e9 que les donn\u00e9es commerciales, car les cons\u00e9quences de l’exposition vont au-del\u00e0 de la perte financi\u00e8re et touchent \u00e0 la s\u00e9curit\u00e9 physique. <\/p>\n
Les donn\u00e9es relatives aux donateurs<\/strong> comprennent les d\u00e9tails de paiement, les affiliations politiques et les pr\u00e9f\u00e9rences religieuses. DonorPerfect, Raiser’s Edge et Salesforce NPSP d\u00e9tiennent ces donn\u00e9es pour des milliers d’ONG europ\u00e9ennes, souvent avec un acc\u00e8s partag\u00e9 entre le personnel financier permanent et les administrateurs de subventions temporaires. <\/p>\n Les donn\u00e9es relatives aux b\u00e9n\u00e9ficiaires<\/strong> constituent la cat\u00e9gorie la plus sensible. Statut de r\u00e9fugi\u00e9, conditions m\u00e9dicales, besoins de protection, localisation g\u00e9ographique. En vertu de l’article 9 du GDPR, ces donn\u00e9es sont consid\u00e9r\u00e9es comme des cat\u00e9gories sp\u00e9ciales de donn\u00e9es \u00e0 caract\u00e8re personnel. Pour des organisations comme le CICR, MSF ou leurs \u00e9quivalents nationaux plus petits, une violation des donn\u00e9es sur les b\u00e9n\u00e9ficiaires peut conduire \u00e0 une pers\u00e9cution physique. Le rapport de l’ENISA sur le paysage des menaces en 2025 a document\u00e9 les groupes parrain\u00e9s par l’\u00c9tat qui ciblent les organisations de la soci\u00e9t\u00e9 civile sp\u00e9cifiquement pour ces donn\u00e9es. <\/p>\n Les dossiers financiers<\/strong> couvrent les d\u00e9penses li\u00e9es aux subventions et les instructions de paiement. Les attaques BEC ciblant les flux de paiement des subventions ont augment\u00e9, les attaquants interceptant les demandes de changement de paiement entre les ONG et les donateurs institutionnels tels que la Commission europ\u00e9enne et l’USAID. <\/p>\n Les donn\u00e9es op\u00e9rationnelles<\/strong> comprennent l’emplacement des travailleurs sur le terrain et les itin\u00e9raires de la cha\u00eene d’approvisionnement. Dans les r\u00e9gions touch\u00e9es par un conflit, ces informations ont des cons\u00e9quences directes sur la s\u00e9curit\u00e9 du personnel sur le terrain. <\/p>\n Les mod\u00e8les d’attaques visant les organisations \u00e0 but non lucratif ne sont pas th\u00e9oriques. Des incidents r\u00e9cents en Europe illustrent les vecteurs sp\u00e9cifiques contre lesquels les petites \u00e9quipes informatiques doivent se d\u00e9fendre. <\/p>\n En mars 2026, le groupe de ransomware Qilin a pris pour cible Die Linke, une organisation politique allemande, mettant les syst\u00e8mes informatiques hors service et d\u00e9montrant comment les organisations civiles sont utilis\u00e9es comme terrains d’essai pour des campagnes de perturbation. Les attaquants ont combin\u00e9 le vol d’informations d’identification et le d\u00e9ploiement d’un ransomware dans un sch\u00e9ma qui aurait r\u00e9ussi contre n’importe quelle ONG utilisant un acc\u00e8s \u00e0 distance bas\u00e9 sur un r\u00e9seau priv\u00e9 virtuel (VPN). <\/p>\n Les attaques contre la cha\u00eene d’approvisionnement par le biais de plateformes SaaS partag\u00e9es constituent le deuxi\u00e8me grand vecteur. Au d\u00e9but de l’ann\u00e9e 2026, la vuln\u00e9rabilit\u00e9 d’un fournisseur de services de production de documents a compromis les donn\u00e9es financi\u00e8res de plusieurs organisations europ\u00e9ennes. Les ONG qui utilisent des plateformes partag\u00e9es de gestion des subventions sont expos\u00e9es de la m\u00eame mani\u00e8re. <\/p>\n Selon l’ENISA, l’hame\u00e7onnage reste le principal vecteur initial pour environ 60 % des incidents. Les courriels d’hame\u00e7onnage g\u00e9n\u00e9r\u00e9s par l’IA arrivent d\u00e9sormais dans les langues locales avec un cadre humanitaire adapt\u00e9 au contexte, ce qui les rend beaucoup plus difficiles \u00e0 distinguer d’une communication l\u00e9gitime pour les b\u00e9n\u00e9voles. <\/p>\n L’incident survenu chez Stryker en mars 2026, au cours duquel des pirates ont acc\u00e9d\u00e9 \u00e0 Microsoft Intune et effac\u00e9 200 000 appareils dans 79 pays, illustre le risque li\u00e9 \u00e0 la compromission des outils administratifs. Une ONG d\u00e9pendant d’appareils de terrain g\u00e9r\u00e9s perdrait instantan\u00e9ment toute capacit\u00e9 op\u00e9rationnelle. <\/p>\n Les b\u00e9n\u00e9voles et les entrepreneurs ind\u00e9pendants constituent l’\u00e9pine dorsale du travail \u00e0 but non lucratif. CBS Pays-Bas a constat\u00e9 que 41 % des N\u00e9erlandais \u00e2g\u00e9s de 15 \u00e0 24 ans et 48 % des N\u00e9erlandais \u00e2g\u00e9s de 65 \u00e0 75 ans participaient \u00e0 des activit\u00e9s de b\u00e9n\u00e9volat (2022). Pour une ONG typique comptant 80 employ\u00e9s permanents, cela signifie que 30 \u00e0 100 personnes suppl\u00e9mentaires acc\u00e8dent aux syst\u00e8mes \u00e0 tout moment, chacune avec son propre ordinateur portable non g\u00e9r\u00e9. <\/p>\n Le d\u00e9fi en mati\u00e8re de s\u00e9curit\u00e9 ne consiste pas \u00e0 contr\u00f4ler ces personnes. Il s’agit de permettre une int\u00e9gration et une d\u00e9sinsertion rapides et s\u00e9curis\u00e9es sans exiger un provisionnement informatique manuel pour chaque b\u00e9n\u00e9vole qui rejoint un projet de trois mois. Les mod\u00e8les informatiques traditionnels supposent une main-d’\u0153uvre stable disposant d’appareils fournis par l’entreprise. L’\u00e9conomie du volontariat renverse chacune de ces hypoth\u00e8ses. <\/p>\n Trois modes de d\u00e9faillance sp\u00e9cifiques sont r\u00e9currents dans les incidents de s\u00e9curit\u00e9 des ONG impliquant des volontaires :<\/p>\n Le foss\u00e9 de la d\u00e9sinsertion.<\/strong> Lorsqu’un volontaire termine son engagement, l’acc\u00e8s \u00e0 Microsoft 365, Salesforce NPSP, Slack et aux dossiers SharePoint sp\u00e9cifiques au projet devrait \u00eatre r\u00e9voqu\u00e9 imm\u00e9diatement. Dans la pratique, avec un seul responsable informatique jonglant avec 20 plateformes, le d\u00e9provisionnement prend des jours ou des semaines. Pendant cette p\u00e9riode, les comptes dormants deviennent des cibles pour les voleurs d’informations comme Lumma, qui, en 2025 et 2026, est devenu la m\u00e9thode la plus courante de collecte d’informations d’identification. Un compte d’ancien b\u00e9n\u00e9vole compromis permet d’acc\u00e9der directement aux bases de donn\u00e9es des donateurs sans d\u00e9clencher d’alerte au niveau du p\u00e9rim\u00e8tre. <\/p>\n La r\u00e9alit\u00e9 du BYOD.<\/strong> Les b\u00e9n\u00e9voles utilisent leurs propres appareils, qui fonctionnent souvent avec des syst\u00e8mes d’exploitation obsol\u00e8tes sans protection des points finaux. L’installation d’un agent ou d’un MDM sur l’ordinateur portable personnel d’un volontaire est \u00e0 la fois peu pratique et probl\u00e9matique d’un point de vue \u00e9thique. L’organisation doit s\u00e9curiser l’acc\u00e8s \u00e0 ses applications sans contr\u00f4ler l’appareil. <\/p>\n Le probl\u00e8me des r\u00e9f\u00e9rences partag\u00e9es.<\/strong> Les \u00e9quipes informatiques qui manquent de ressources partagent souvent les identifiants de la plateforme au lieu de provisionner des comptes individuels. Lorsque six personnes utilisent le m\u00eame identifiant Raiser’s Edge, il n’y a pas de piste d’audit ni de moyen de r\u00e9voquer l’acc\u00e8s d’une personne. <\/p>\n La r\u00e9ponse \u00e0 ces trois modes d’\u00e9chec est un acc\u00e8s bas\u00e9 sur l’identit\u00e9 avec une gestion automatis\u00e9e du cycle de vie, et non pas des agents suppl\u00e9mentaires ou des processus manuels.<\/p>\n Les organisations \u00e0 but non lucratif ne peuvent plus consid\u00e9rer qu’elles se situent en dehors du p\u00e9rim\u00e8tre r\u00e9glementaire. Trois forces de conformit\u00e9 convergent en 2026. <\/p>\n Le NIS2 atteint les ONG par le biais d’un champ d’application direct et indirect.<\/strong> Dans le cadre des annexes I et II de la NIS2, les ONG actives dans le domaine des soins de sant\u00e9 (organisations d’aide m\u00e9dicale), de la gestion de l’eau ou des projets d’infrastructures critiques peuvent \u00eatre qualifi\u00e9es directement d’entit\u00e9s importantes ou essentielles. Le Centre belge de cybers\u00e9curit\u00e9 (CCB) exige que les entit\u00e9s essentielles obtiennent une v\u00e9rification des principes fondamentaux du cyberespace d’ici avril 2026, et une certification compl\u00e8te d’ici avril 2027. <\/p>\n Le plus souvent, le NIS2 atteint les organisations \u00e0 but non lucratif par le biais de la pression exerc\u00e9e sur la cha\u00eene d’approvisionnement. En vertu de l’article 21, paragraphe 2, point d), les entit\u00e9s essentielles doivent \u00e9valuer la s\u00e9curit\u00e9 de l’ensemble de leur cha\u00eene d’approvisionnement. Une ONG qui fournit des services sociaux \u00e0 une municipalit\u00e9 ou une logistique humanitaire \u00e0 un programme financ\u00e9 par le gouvernement est confront\u00e9e \u00e0 des exigences contractuelles en mati\u00e8re de s\u00e9curit\u00e9 qui refl\u00e8tent les obligations du NIS2. La liste de contr\u00f4le de la conformit\u00e9 au NIS2 destin\u00e9e aux responsables informatiques<\/a> d\u00e9taille ce que les auditeurs s’attendent \u00e0 voir. <\/p>\n L’application de l’article 9 du GDPR s’intensifie.<\/strong> Les autorit\u00e9s belges et n\u00e9erlandaises charg\u00e9es de la protection des donn\u00e9es ont mis l’accent sur le traitement des cat\u00e9gories sp\u00e9ciales de donn\u00e9es. Les donn\u00e9es des b\u00e9n\u00e9ficiaires concernant la religion, l’\u00e9tat de sant\u00e9, l’opinion politique ou l’origine ethnique n\u00e9cessitent un cryptage, une authentification multifactorielle et un contr\u00f4le d’acc\u00e8s strict. Une ONG qui traite ces donn\u00e9es sur la base d’informations d’identification partag\u00e9es sans aucune piste d’audit est en infraction manifeste. <\/p>\n Les exigences de conformit\u00e9 des donateurs incluent d\u00e9sormais la cybers\u00e9curit\u00e9.<\/strong> La Commission europ\u00e9enne, l’USAID et l’Open Society Foundations incluent des clauses de cybers\u00e9curit\u00e9 dans les accords de subvention 2026, exigeant des preuves de surveillance, de r\u00e9ponse aux incidents et de contr\u00f4le d’acc\u00e8s. La norme de l’IITA encourage le partage ouvert des donn\u00e9es, ce qui, paradoxalement, exige une protection plus forte de l’infrastructure sous-jacente. <\/p>\n Une ONG de taille moyenne employant 80 personnes utilise g\u00e9n\u00e9ralement des outils d’entreprise subventionn\u00e9s et des plateformes sectorielles.<\/p>\n Productivit\u00e9 et communication.<\/strong> Microsoft for Nonprofits ou Google for Nonprofits fournissent la suite de base. Ces programmes offrent des r\u00e9ductions importantes, mais les versions gratuites ou bon march\u00e9 incluent rarement des fonctions de s\u00e9curit\u00e9 avanc\u00e9es telles que l’acc\u00e8s conditionnel int\u00e9gral ou la protection avanc\u00e9e contre les menaces. De nombreux responsables informatiques s’appuient sur les param\u00e8tres de s\u00e9curit\u00e9 par d\u00e9faut, qui permettent un acc\u00e8s conditionnel de base mais laissent des lacunes dans la surveillance des sessions et la d\u00e9tection des menaces. <\/p>\n Gestion des donateurs.<\/strong> Salesforce NPSP, Raiser’s Edge (NRE), DonorPerfect ou Bloomerang g\u00e8rent les relations avec les donateurs et le traitement des dons. Chaque plateforme g\u00e8re sa propre base de donn\u00e9es d’identit\u00e9. Lorsqu’un b\u00e9n\u00e9vole a besoin d’acc\u00e9der au dossier d’un donateur pour une campagne de collecte de fonds, cet acc\u00e8s est fourni manuellement et rarement r\u00e9voqu\u00e9 automatiquement. <\/p>\n Op\u00e9rations financi\u00e8res et sur le terrain.<\/strong> Xero ou QuickBooks g\u00e8re les d\u00e9penses li\u00e9es aux subventions. KoboToolbox s’occupe de la collecte des donn\u00e9es sur le terrain. WhatsApp coordonne les \u00e9quipes. Chacun ajoute des points d’acc\u00e8s en dehors de toute supervision informatique formelle. <\/p>\n Il en r\u00e9sulte une pile de 15 \u00e0 25 applications sans couche d’identit\u00e9 unifi\u00e9e, sans politique d’acc\u00e8s centralis\u00e9e et sans source unique de v\u00e9rit\u00e9 pour savoir qui a acc\u00e8s \u00e0 quoi. Chaque application est une t\u00e2che de d\u00e9provisionnement distincte lorsqu’un volontaire part. Chaque application est une surface d’attaque distincte. <\/p>\n Les VPN cr\u00e9ent le mauvais mod\u00e8le d’acc\u00e8s.<\/strong> Un volontaire qui se connecte via un VPN b\u00e9n\u00e9ficie d’un large acc\u00e8s au r\u00e9seau. Si ses informations d’identification sont compromises, l’attaquant h\u00e9rite de ce m\u00eame acc\u00e8s \u00e9tendu. Les VPN sont \u00e9galement peu performants en cas de connexions instables sur le terrain, ce qui pousse le personnel \u00e0 les contourner. Le guide de l ‘architecture SASE<\/a> explique en d\u00e9tail pourquoi l’acc\u00e8s bas\u00e9 sur l’identit\u00e9 a remplac\u00e9 le tunnelage au niveau du r\u00e9seau. <\/p>\n Les param\u00e8tres par d\u00e9faut de la s\u00e9curit\u00e9 libre laissent des lacunes.<\/strong> Microsoft pour les organisations \u00e0 but non lucratif inclut l’AMF de base par le biais des param\u00e8tres de s\u00e9curit\u00e9 par d\u00e9faut. Il n’inclut pas de v\u00e9rification de la conformit\u00e9 des appareils, de politiques d’acc\u00e8s conditionnel bas\u00e9es sur des signaux de risque ou de r\u00e9vocation automatis\u00e9e des sessions. La version gratuite est mieux que rien. Il n’est pas con\u00e7u pour prot\u00e9ger les cat\u00e9gories sp\u00e9ciales de donn\u00e9es conform\u00e9ment \u00e0 l’article 9 du GDPR. <\/p>\n Le d\u00e9provisionnement manuel n’est pas \u00e9volutif.<\/strong> Lorsque la rotation des b\u00e9n\u00e9voles se traduit par 30 \u00e0 100 \u00e9v\u00e9nements du cycle de vie de l’identit\u00e9 par an sur 15 \u00e0 25 plateformes, le seul responsable informatique ne peut pas suivre. Les comptes dormants avec des identifiants actifs s’accumulent sur les plateformes des donateurs, les syst\u00e8mes financiers et les outils op\u00e9rationnels. <\/p>\n SASE remplace la pile assembl\u00e9e par une plate-forme unique qui traite chaque mode de d\u00e9faillance.<\/p>\n ZTNA fournit un acc\u00e8s par programme avec un d\u00e9barquement automatique.<\/strong> Zero Trust Network Access<\/a> permet \u00e0 chaque volontaire d’acc\u00e9der aux applications sp\u00e9cifiques dont il a besoin pour son projet. Un b\u00e9n\u00e9vole charg\u00e9 de la collecte de fonds acc\u00e8de \u00e0 Raiser’s Edge et aux dossiers SharePoint pertinents. Un collecteur de donn\u00e9es sur le terrain acc\u00e8de \u00e0 KoboToolbox et au tableau de bord du projet. Aucun des deux ne peut voir les ressources de l’autre. La r\u00e9vocation de l’identit\u00e9 dans le r\u00e9pertoire central met automatiquement fin \u00e0 l’acc\u00e8s \u00e0 toutes les applications connect\u00e9es. <\/p>\n SWG centralise le filtrage sur l’ensemble de la pile SaaS.<\/strong> Une passerelle Web s\u00e9curis\u00e9e inspecte tout le trafic Web en fonction des renseignements sur les menaces et des politiques, quelle que soit l’application \u00e0 laquelle l’utilisateur acc\u00e8de. La m\u00eame protection contre le phishing qui couvre Microsoft 365 couvre \u00e9galement Bloomerang, KoboToolbox et tout autre outil bas\u00e9 sur le web. Pour une seule \u00e9quipe informatique, il n’est donc plus n\u00e9cessaire de configurer des param\u00e8tres de s\u00e9curit\u00e9 distincts pour chaque plateforme. <\/p>\n Le contr\u00f4le des appareils sans agent via NIAC s\u00e9curise les ordinateurs portables des volontaires.<\/strong> Le NIAC<\/a> de Jimber fournit une isolation de session pour les appareils qui ne peuvent pas ex\u00e9cuter un agent de point final. Lorsqu’un volontaire se connecte \u00e0 partir de son ordinateur portable personnel, la session s’ex\u00e9cute dans un environnement contr\u00f4l\u00e9. Aucune donn\u00e9e n’est stock\u00e9e sur l’appareil. Les logiciels malveillants ne peuvent pas communiquer en amont avec les applications des ONG. Cette solution offre une s\u00e9curit\u00e9 de niveau entreprise sans installer de logiciel sur les biens personnels. <\/p>\n L’enregistrement centralis\u00e9 r\u00e9pond aux exigences en mati\u00e8re d’audit.<\/strong> Chaque \u00e9v\u00e9nement d’acc\u00e8s et chaque d\u00e9cision politique sont consign\u00e9s dans un seul journal. Lorsque la Commission europ\u00e9enne demande des preuves de contr\u00f4le d’acc\u00e8s pour l’examen d’une subvention, ou lorsqu’un organisme d’\u00e9valuation CCB v\u00e9rifie la conformit\u00e9 NIS2, le responsable informatique produit un enregistrement complet \u00e0 partir d’une seule console. L’aper\u00e7u de la conformit\u00e9 NIS2 2026<\/a> explique ce que les autorit\u00e9s attendent. <\/p>\n L’int\u00e9gration de l’identit\u00e9 en quelques minutes.<\/strong> La connexion de la plateforme SASE \u00e0 Microsoft Entra ID ou \u00e0 Google Workspace implique la cr\u00e9ation d’un compte b\u00e9n\u00e9vole qui pr\u00e9voit automatiquement les bonnes r\u00e8gles d’acc\u00e8s. La d\u00e9sactivation de ce compte r\u00e9voque l’acc\u00e8s partout. Le cycle de vie du volontaire passe de plusieurs jours de travail manuel \u00e0 quelques minutes de provisionnement automatis\u00e9. <\/p>\n Console unique pour une viabilit\u00e9 informatique \u00e0 un ETP.<\/strong> Un responsable informatique ne peut pas maintenir des consoles s\u00e9par\u00e9es pour un VPN, un filtre DNS, un proxy web, la gestion des p\u00e9riph\u00e9riques et un outil de journalisation. Des plateformes comme Jimber regroupent ZTNA, SWG, FWaaS et la journalisation des audits dans une seule interface<\/a>, ce qui rend la charge de travail g\u00e9rable pour une petite \u00e9quipe avec le soutien d’un partenaire de service. <\/p>\n Gestion multi-locataires des partenaires de service.<\/strong> La plupart des ONG confient une partie de leur informatique \u00e0 un partenaire de services. L’architecture multi-tenant de Jimber permet \u00e0 ce partenaire de g\u00e9rer plusieurs ONG \u00e0 partir d’une seule console avec des mod\u00e8les de politiques partag\u00e9s, r\u00e9duisant ainsi les co\u00fbts par organisation tout en maintenant la s\u00e9paration des donn\u00e9es. <\/p>\n La mise en \u0153uvre de SASE ne n\u00e9cessite pas un projet d’un an ni un budget d’investissement. Une ONG de 80 personnes travaillant avec un partenaire de service externe peut effectuer la transition en 60 jours. <\/p>\n Jours 1 \u00e0 15 : fondement de l’identit\u00e9.<\/strong> Le responsable informatique et le partenaire de service v\u00e9rifient la pile SaaS actuelle et mettent en correspondance les groupes d’utilisateurs avec les exigences d’acc\u00e8s aux applications. Microsoft Entra ID ou Google Workspace devient la source d’identit\u00e9 faisant autorit\u00e9. Le MFA est appliqu\u00e9 \u00e0 tous les comptes. Les comptes volontaires dormants sont d\u00e9sactiv\u00e9s. Cette phase ne n\u00e9cessite pas de nouveaux outils, seulement des mesures d’hygi\u00e8ne. <\/p>\n Jours 16 \u00e0 45 : mod\u00e9lisation pilote et politique.<\/strong> Un groupe pilote de 15 \u00e0 20 utilisateurs, comprenant du personnel mobile et des volontaires actifs, migre vers la plateforme SASE. Les politiques ZTNA remplacent l’acc\u00e8s VPN. Le partenaire de service configure les politiques SWG pour la gestion des donateurs et les plateformes financi\u00e8res. Les ordinateurs portables des volontaires se connectent gr\u00e2ce \u00e0 une isolation sans agent. <\/p>\n Jours 46 \u00e0 60 : d\u00e9ploiement complet et d\u00e9mant\u00e8lement de l’h\u00e9ritage.<\/strong> Le personnel et les b\u00e9n\u00e9voles restants migrent. Les licences VPN sont annul\u00e9es. Les pare-feu des bureaux locaux sont mis hors service ou transform\u00e9s en simples routeurs. Les \u00e9conomies r\u00e9alis\u00e9es sur les licences annul\u00e9es et la r\u00e9duction des frais de gestion compensent g\u00e9n\u00e9ralement le co\u00fbt de l’abonnement SASE au cours de la premi\u00e8re ann\u00e9e. <\/p>\n Le secteur des agences de marketing et de cr\u00e9ation est confront\u00e9 \u00e0 un mod\u00e8le de transition parall\u00e8le<\/a>, l’int\u00e9gration des freelances rempla\u00e7ant l’int\u00e9gration des b\u00e9n\u00e9voles en tant que moteur op\u00e9rationnel. L’architecture sous-jacente est la m\u00eame. <\/p>\n Le NIS2 s’applique directement aux ONG dans les secteurs de l’annexe I ou II, y compris les soins de sant\u00e9 et les infrastructures critiques. Plus couramment, elle s’applique indirectement : les entit\u00e9s essentielles doivent \u00e9valuer la s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement conform\u00e9ment \u00e0 l’article 21.2.d. Une ONG au service d’une municipalit\u00e9 ou d’un programme gouvernemental est soumise \u00e0 des obligations contractuelles NIS2 de la part de ces clients, quelle que soit sa propre classification. <\/p>\n L’isolation de session sans agent permet aux volontaires d’acc\u00e9der \u00e0 des applications \u00e0 partir d’appareils personnels sans installer de logiciel. La session s’ex\u00e9cute dans un environnement en nuage contr\u00f4l\u00e9, sans stockage local de donn\u00e9es. Les logiciels malveillants pr\u00e9sents sur l’appareil ne peuvent pas atteindre les syst\u00e8mes de l’organisation. Le mat\u00e9riel NIAC de plateformes telles que Jimber offre cette possibilit\u00e9 dans le cadre de la pile SASE. <\/p>\n La Commission europ\u00e9enne, l’USAID et l’Open Society Foundations incluent des preuves de cybers\u00e9curit\u00e9 dans les accords de subvention, couvrant les contr\u00f4les d’acc\u00e8s, la surveillance et la r\u00e9ponse aux incidents. La norme IITA exige un partage transparent des donn\u00e9es avec des garanties correspondantes. Tous les grands donateurs institutionnels attendent d\u00e9sormais des contr\u00f4les de s\u00e9curit\u00e9 document\u00e9s et v\u00e9rifiables. <\/p>\n Une plateforme SASE \u00e0 fournisseur unique co\u00fbte g\u00e9n\u00e9ralement moins cher que la pile assembl\u00e9e qu’elle remplace. Les licences VPN, le filtrage DNS, la journalisation de base et les heures de travail des partenaires de service pour g\u00e9rer quatre consoles d\u00e9passent souvent le co\u00fbt par utilisateur d’une plate-forme consolid\u00e9e. Pour les budgets inf\u00e9rieurs \u00e0 50 000 euros, le SASE est une strat\u00e9gie de consolidation qui r\u00e9duit le co\u00fbt total. <\/p>\n ZTNA applique l’acc\u00e8s par application afin que seuls les utilisateurs autoris\u00e9s acc\u00e8dent aux bases de donn\u00e9es des b\u00e9n\u00e9ficiaires. Les contr\u00f4les de posture des appareils v\u00e9rifient les normes de s\u00e9curit\u00e9 avant l’acc\u00e8s. Tous les \u00e9v\u00e9nements sont enregistr\u00e9s avec l’identit\u00e9, le contexte de l’appareil et l’horodatage, fournissant ainsi la piste d’audit de l’article 9 du GDPR. Les plateformes europ\u00e9ennes telles que Jimber traitent les donn\u00e9es \u00e0 l’int\u00e9rieur des fronti\u00e8res de l’UE, \u00e9vitant ainsi les complications li\u00e9es \u00e0 la loi CLOUD. <\/p>\n Microsoft for Nonprofits offre une subvention pour Microsoft 365 avec un MFA de base. Il ne couvre pas les applications non Microsoft, la conformit\u00e9 des appareils ou la journalisation centralis\u00e9e de l’ensemble des outils. SASE ajoute une couche de s\u00e9curit\u00e9 unifi\u00e9e pour toutes les applications avec une politique et des rapports centralis\u00e9s. Les deux sont compl\u00e9mentaires : Microsoft fournit la productivit\u00e9, SASE fournit la s\u00e9curit\u00e9. <\/p>\n Les organisations \u00e0 but non lucratif existent pour servir une mission, et non pour g\u00e9rer une infrastructure de s\u00e9curit\u00e9. Mais en 2026, la protection de la confiance des donateurs, de la s\u00e9curit\u00e9 des b\u00e9n\u00e9ficiaires et de la continuit\u00e9 des op\u00e9rations exige plus que des param\u00e8tres de s\u00e9curit\u00e9 par d\u00e9faut et un tableur d’acc\u00e8s pour les b\u00e9n\u00e9voles. Une plateforme SASE consolid\u00e9e offre \u00e0 l’\u00e9quipe informatique compos\u00e9e d’une seule personne la m\u00eame architecture de s\u00e9curit\u00e9 que celle utilis\u00e9e par les grandes entreprises, \u00e0 un co\u00fbt qui s’inscrit dans les contraintes des budgets financ\u00e9s par des subventions. Vous \u00eates pr\u00eat \u00e0 voir comment cela fonctionne pour votre organisation ? R\u00e9servez une d\u00e9monstration<\/a> et d\u00e9couvrez un plan de d\u00e9ploiement con\u00e7u pour les organisations \u00e0 but non lucratif. <\/p>\n","protected":false},"excerpt":{"rendered":" Comment les ONG de taille moyenne s\u00e9curisent l’acc\u00e8s des volontaires, les donn\u00e9es des donateurs et les dossiers des b\u00e9n\u00e9ficiaires avec SASE. D\u00e9ploiement en 60 jours, conformit\u00e9 NIS2 et protection GDPR avec un budget serr\u00e9. <\/p>\n","protected":false},"author":3,"featured_media":13203,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[9],"tags":[],"class_list":["post-13206","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-categorise"],"acf":[],"_links":{"self":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts\/13206","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/comments?post=13206"}],"version-history":[{"count":0,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts\/13206\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/media\/13203"}],"wp:attachment":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/media?parent=13206"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/categories?post=13206"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/tags?post=13206"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Combien de cyberattaques d’ONG se produiront en 2026 ?<\/h2>\n
Le mod\u00e8le de s\u00e9curit\u00e9 de l’\u00e9conomie du volontariat<\/h2>\n
Pression de conformit\u00e9 sur les ONG en 2026<\/h2>\n
La r\u00e9alit\u00e9 de la pile d’outils SaaS<\/h2>\n
Pourquoi les approches traditionnelles des ONG en mati\u00e8re de s\u00e9curit\u00e9 ne fonctionnent plus<\/h2>\n
Comment SASE r\u00e9sout le probl\u00e8me de la s\u00e9curit\u00e9 des ONG<\/h2>\n
Un d\u00e9ploiement r\u00e9aliste en 60 jours pour une ONG de 80 personnes<\/h2>\n
Questions fr\u00e9quemment pos\u00e9es<\/h2>\n
Le NIS2 s’applique-t-il aux organisations \u00e0 but non lucratif et aux ONG ?<\/h3>\n
Comment les ONG peuvent-elles s\u00e9curiser l’acc\u00e8s des volontaires sans g\u00e9rer leurs ordinateurs portables ?<\/h3>\n
Quels sont les audits de cybers\u00e9curit\u00e9 g\u00e9n\u00e9ralement effectu\u00e9s par les grands donateurs ?<\/h3>\n
Une ONG de taille moyenne peut-elle s’offrir une plateforme SASE ?<\/h3>\n
Comment SASE traite-t-elle les donn\u00e9es des b\u00e9n\u00e9ficiaires dans le cadre du GDPR ?<\/h3>\n
Quelle est la diff\u00e9rence entre Microsoft for Nonprofits security et SASE ?<\/h3>\n