Skip to content
Retour au blog
associations cybersécurité phishing RGPD formation

Associations loi 1901 : pourquoi vous êtes des cibles

Pourquoi les associations loi 1901 sont ciblées par le phishing : données membres, bénévoles sans formation, RGPD et mesures concrètes gratuites.

Thomas Ferreira 18 min de lecture

Ce scénario, reconstitué à partir de cas réels, le 3 mars 2024 : le trésorier d’une association sportive de 400 membres reçoit un email qui semble provenir de la Direction Régionale Académique de la Jeunesse, de l’Engagement et des Sports. Le message annonce une subvention de 8 500 euros accordée à l’association pour l’achat de matériel. Pour recevoir le versement, il faut se connecter à un « espace sécurisé » et confirmer le RIB de l’association. Le trésorier, bénévole depuis six ans, renseigne les informations demandées. Trois semaines plus tard, 4 200 euros disparaissent du compte association lors d’un virement frauduleux.

Ce n’est pas un cas isolé. C’est un schéma qui se répète dans des centaines d’associations françaises chaque année.

Les associations loi 1901 ne font pas partie des cibles « naturelles » que l’on imagine quand on pense aux cyberattaques. On pense aux grandes entreprises, aux hôpitaux, aux administrations. Pourtant, les associations constituent une cible de choix précisément parce qu’elles sont perçues comme peu protégées — et cette perception est souvent justifiée. Budgets informatiques inexistants, bénévoles sans formation, turnover élevé, transactions financières régulières : le profil des associations réunit les conditions idéales pour les attaquants qui cherchent le chemin de moindre résistance.

Cet article s’adresse aux dirigeants et bénévoles d’associations qui n’ont pas de bagage technique. Vous y trouverez pourquoi votre association est ciblée, quelles sont les attaques spécifiques au secteur associatif, quelles sont vos obligations légales, et comment vous protéger avec des moyens limités.

Pourquoi votre association est une cible rentable

Les données que vous détenez valent de l’argent

Une association loi 1901 de taille moyenne gère bien plus de données personnelles que ses responsables ne l’imaginent. Pour chaque adhérent ou donateur, l’association possède généralement :

  • Les coordonnées complètes : nom, prénom, adresse postale, téléphone, adresse email
  • Les données de paiement : numéro de carte bancaire si les inscriptions ou dons se font en ligne, IBAN pour les virements et prélèvements
  • Les données sensibles selon l’objet de l’association : informations de santé pour une association médicale ou sportive, données concernant des mineurs pour une association de jeunesse, informations sur des personnes en situation de vulnérabilité pour une association humanitaire

Ces données ont une valeur marchande sur les marchés clandestins. Un fichier de 2 000 donateurs actifs, avec adresses email et habitudes de dons, peut se revendre entre quelques centaines et plusieurs milliers d’euros. Pour un cybercriminel, compromettre le système d’information d’une association, même modeste, peut rapporter davantage que l’effort consenti.

Le profil des bénévoles : une vulnérabilité structurelle

Une entreprise forme ses employés. Elle dispose de procédures de sécurité, d’une politique de mot de passe, parfois d’un service informatique. Une association fonctionne avec des bénévoles qui changent souvent, qui ne sont pas recrutés pour leurs compétences numériques, et qui ne reçoivent aucune formation à la cybersécurité.

Ce turnover crée des failles récurrentes. Un nouveau trésorier reprend un poste avec les anciens identifiants. Un bénévole part en laissant son accès à la boîte email associative ouvert. Une ancienne administratrice du site web conserve ses droits pendant des mois après son départ. Chaque transition est une période de vulnérabilité accrue.

L’ANSSI (cyber.gouv.fr) identifie le turnover du personnel et l’absence de procédures de gestion des accès comme des facteurs de risque majeurs pour les petites structures. Les associations cochent systématiquement ces deux cases.

Des transactions financières régulières sans contrôle suffisant

Contrairement à l’image d’organisations purement bénévoles, les associations gèrent souvent des flux financiers significatifs : cotisations annuelles, ventes de billets pour des événements, collectes de dons, subventions publiques, achats de matériel et de services auprès de fournisseurs.

Une association culturelle qui organise un festival mobilise parfois plusieurs dizaines de milliers d’euros sur quelques semaines. Une fédération sportive locale gère des virements vers des clubs affiliés, des prestataires de terrain, des transporteurs. Ces flux réguliers sont exactement le type d’environnement que les fraudeurs cherchent à infiltrer.

Pour les cybercriminels, l’association présente un avantage supplémentaire : les contrôles internes y sont souvent moins rigoureux qu’en entreprise. Le trésorier est bénévole, débordé, et n’a pas été formé aux procédures anti-fraude.

Les attaques spécifiques au secteur associatif

Les faux emails de subvention

C’est l’attaque la plus ciblée sur le monde associatif. Les subventions publiques constituent une part importante du financement de nombreuses associations, et les périodes de campagnes de financement sont bien connues (fin d’année civile, après les élections locales, à la rentrée).

L’email frauduleux imite une communication officielle : préfecture, Direction Régionale Académique de la Jeunesse, de l’Engagement et des Sports (DRAJES), Direction Départementale de l’Emploi, du Travail et des Solidarités (DDETS), Direction Régionale des Affaires Culturelles (DRAC), fondations reconnues d’utilité publique.

Le scénario type : l’email annonce qu’une subvention a été accordée à l’association et demande de confirmer les coordonnées bancaires pour le versement. Il peut aussi inviter à « finaliser le dossier » via un lien menant à une page de connexion factice où l’escroc récupère des identifiants. Ou encore demander de fournir des documents complémentaires en pièce jointe — documents qui contiennent en réalité un logiciel malveillant.

Comment reconnaître un faux email de subvention :

  • L’adresse email de l’expéditeur ne finit pas en .gouv.fr pour un organisme d’État français
  • Le message crée une urgence inhabituelle (« répondez avant le 15 », « passé ce délai, la subvention sera attribuée à une autre association »)
  • Le lien dans l’email ne pointe pas vers le site officiel de l’organisme (vérifiez l’URL avant de cliquer)
  • La demande de RIB arrive par email sans que l’association ait déposé de dossier au préalable

La vérification se fait en une seule étape : rappeler directement le service instructeur sur un numéro trouvé sur service-public.fr ou sur le site officiel de la préfecture, jamais sur un numéro fourni dans l’email.

L’arnaque au changement de RIB fournisseur

Les associations paient régulièrement des prestataires : salles, traiteurs, imprimeurs, associations partenaires, formateurs. L’arnaque au changement de RIB cible précisément cette relation.

Un email prétendument envoyé par un fournisseur habituel annonce un changement de coordonnées bancaires. L’email est sobre, professionnel, utilise parfois le logo du fournisseur. Le trésorier, qui reçoit régulièrement ce type de mise à jour administrative, met à jour les coordonnées et procède aux paiements suivants sur le nouveau compte frauduleux.

Cette fraude est d’autant plus dangereuse dans le contexte associatif que le trésorier travaille souvent seul, sans procédure de double validation, sans personne à qui soumettre un second regard. Pour comprendre en détail les mécanismes de cette fraude et les protocoles de vérification : Arnaque au changement de RIB : anatomie d’une fraude.

Le phishing pendant les campagnes d’appel aux dons

Les associations qui lancent des campagnes de collecte de dons en ligne sont exposées à deux risques simultanés.

Le premier risque : usurpation de l’identité de l’association. Des escrocs créent de faux sites qui imitent le site de l’association et collectent les dons à la place. Les donateurs paient, l’argent ne parvient jamais à l’association. La détection est tardive : l’association remarque une baisse inexpliquée des dons, ou un donateur se plaint de ne pas avoir reçu son reçu fiscal.

Le second risque : phishing ciblant les responsables de la collecte. Pendant les campagnes, les responsables de l’association reçoivent des emails frauduleux de « prestataires de collecte en ligne » qui proposent leurs services, de « plateformes de don » signalant une anomalie sur un virement, ou de « donateurs importants » dont les demandes nécessitent une action urgente. La pression de la campagne et le volume de communications augmentent le risque de cliquer sans vérifier.

Les faux emails de l’administration

Les associations entretiennent des relations régulières avec de nombreux organismes : mairies, URSSAF (pour les associations employeurs), préfectures, CAF, agences de l’eau, Fédérations sportives. Chaque relation est un vecteur potentiel d’usurpation.

Les emails frauduleux imitant l’URSSAF sont particulièrement efficaces contre les associations employeurs : ils signalent une anomalie sur les cotisations, une déclaration en retard, un contrôle imminent. Le stress généré par la menace d’un redressement suffit à faire perdre la vigilance.

Cybermalveillance.gouv.fr a signalé plusieurs vagues d’emails frauduleux imitant l’administration fiscale, l’URSSAF et la CAF en 2024-2025, avec des pics notables autour des échéances de déclaration.

Vos obligations RGPD : ce que la loi impose aux associations

Une idée reçue répandue dans le monde associatif : « Nous sommes une association à but non lucratif, le RGPD ne nous concerne pas vraiment. » C’est inexact. Le RGPD s’applique à toute organisation qui collecte et traite des données personnelles, quelle que soit sa nature juridique.

Qui est concerné

Toute association qui dispose d’un fichier de membres ou de donateurs est responsable de traitement au sens du RGPD. Cela inclut les listes d’adhérents dans un tableur Excel, les bases de contacts pour la newsletter, les inscriptions en ligne à des événements, les formulaires de collecte de dons.

Les associations qui traitent des données sensibles (données de santé, données de mineurs, données relatives aux origines ethniques ou aux opinions religieuses/politiques) sont soumises à des obligations renforcées.

Les obligations concrètes

Le RGPD impose aux associations responsables de traitement :

  1. Tenir un registre des traitements (article 30) : documenter quelles données vous collectez, pourquoi, combien de temps vous les conservez, qui y a accès
  2. Informer les personnes (articles 13 et 14) : expliquer à vos membres et donateurs comment leurs données sont utilisées (politique de confidentialité sur votre site, mentions légales dans vos formulaires)
  3. Sécuriser les données (article 32) : prendre des mesures techniques et organisationnelles adaptées au risque — mot de passe fort, accès limité aux données, sauvegardes
  4. Notifier la CNIL en cas de violation (article 33) : si des données personnelles sont compromises suite à une cyberattaque ou une fuite, vous avez 72 heures pour en informer la CNIL et, selon la gravité, les personnes concernées

La CNIL sanctionne les associations

La CNIL ne se limite pas aux grandes entreprises. Sa procédure simplifiée, introduite en 2022, lui permet de traiter rapidement les dossiers de petites structures et d’infliger des amendes pouvant atteindre 20 000 euros. Une association qui subit une violation de données (suite à un phishing réussi, par exemple) et ne notifie pas la CNIL dans les 72 heures s’expose à une sanction. Pour comprendre les montants réels des sanctions CNIL et les motifs qui les déclenchent : Sanctions CNIL pour les PME : les vrais chiffres.

Une association humanitaire qui perd les données personnelles de ses bénéficiaires, une association sportive dont le fichier de licenciés est volé, une association d’aide à domicile dont les dossiers de clients vulnérables sont compromis : dans chaque cas, l’association doit notifier la CNIL et potentiellement les personnes concernées.

Des exemples réels d’associations cyberattaquées en France

Les cyberattaques contre les associations font rarement la une des journaux. Mais les signaux sont nombreux. Les cas suivants, reconstitués à partir de signalements remontés à Cybermalveillance.gouv.fr et de retours d’expérience de professionnels, illustrent les schémas d’attaque les plus courants.

La fédération sportive nationale (2023). Une fédération sportive française a subi une intrusion dans son système d’information. Les données de plusieurs dizaines de milliers de licenciés (nom, prénom, date de naissance, adresse email, numéro de licence) ont été exposées. La fédération a dû notifier la CNIL et envoyer un email d’information à l’ensemble de ses licenciés. Le vecteur d’entrée : un email de phishing cliqué par un salarié de la fédération.

L’association d’aide sociale en Île-de-France (2024). Une association qui gère un EHPAD et des services à domicile a été victime d’un ransomware. Les dossiers des bénéficiaires, contenant des données de santé, ont été chiffrés. L’association a dû interrompre ses activités pendant plusieurs jours et faire appel à des prestataires informatiques d’urgence. Coût estimé : plus de 50 000 euros.

L’association culturelle régionale (2024). Un email frauduleux imitant le Centre National de la Musique a dupé le directeur d’une association culturelle. Convaincu d’avoir obtenu une aide exceptionnelle, il a fourni les coordonnées bancaires de l’association. Un virement de 6 800 euros a été effectué depuis le compte association avant que la fraude soit détectée.

Ces cas illustrent deux réalités distinctes : les associations qui détiennent des données sensibles (santé, mineurs, personnes vulnérables) sont exposées aux ransomwares et aux fuites de données. Les associations qui gèrent des flux financiers sont exposées aux fraudes au virement. Beaucoup d’associations cumulent les deux expositions.

Cybermalveillance.gouv.fr a enregistré une hausse des demandes d’assistance provenant d’associations en 2023-2024. Les associations représentent une part croissante des victimes accompagnées par la plateforme, essentiellement via des ransomwares, des arnaques au faux RIB et des phishings ciblant les responsables de collecte.

Les mesures de protection adaptées aux budgets associatifs

La bonne nouvelle : les mesures les plus efficaces sont gratuites ou presque. Voici comment structurer une protection réaliste pour une association aux ressources limitées.

Mesures gratuites à mettre en place immédiatement

1. Activer l’authentification multi-facteurs (MFA) sur les boîtes email

C’est la mesure la plus efficace par rapport à son coût (zéro). Microsoft estime que le MFA bloque plus de 99 % des attaques par compromission de compte (Microsoft Digital Defense Report 2024). Activez-le sur toutes les boîtes email utilisées par les responsables de l’association : président, trésorier, secrétaire, responsable informatique.

Bonne nouvelle pour les associations : Google Workspace for Nonprofits et Microsoft 365 Nonprofit sont gratuits (ou quasi gratuits) pour les associations éligibles. Ces offres incluent le MFA et de nombreuses fonctionnalités de sécurité. La démarche d’éligibilité prend quelques heures sur les sites respectifs de Google et Microsoft.

2. Configurer SPF, DKIM et DMARC sur votre domaine

Si votre association dispose d’un nom de domaine (nomassociation.fr), ces trois protocoles empêchent les escrocs d’envoyer des emails qui semblent provenir de votre adresse. Sans cette configuration, un cybercriminel peut envoyer un faux email de votre part à vos donateurs pour leur demander un virement. La configuration est gratuite et prend environ une heure avec les instructions de votre hébergeur. Vous pouvez vérifier votre configuration actuelle en 30 secondes.

3. Instaurer la procédure de contre-appel pour les virements

Règle simple : tout changement de coordonnées bancaires (d’un fournisseur, d’un partenaire, d’une administration) doit être vérifié par un appel téléphonique sur un numéro connu, jamais sur celui fourni dans l’email. Cette procédure coûte zéro euro et arrête la quasi-totalité des fraudes au changement de RIB. Elle doit être formalisée et connue de tous les bénévoles qui touchent à la comptabilité.

4. Révoquer les accès des anciens bénévoles

À chaque départ (bénévole qui quitte l’association, renouvellement du bureau), vérifiez et supprimez tous les accès : boîte email, accès au site web, compte sur les plateformes en ligne (HelloAsso, Hellodon, etc.), accès aux réseaux sociaux. Cette opération prend une heure au moment du départ et évite qu’un ancien membre dont le compte serait compromis puisse servir de porte d’entrée à un attaquant.

Ressources gratuites disponibles pour les associations

Cybermalveillance.gouv.fr propose des fiches pratiques gratuites sur les principales menaces, adaptées aux non-techniciens. La plateforme dispose également d’un service d’assistance pour les associations victimes de cyberattaques : 0 806 000 036 (numéro non surtaxé).

L’ANSSI (cyber.gouv.fr) publie des guides cybersécurité pour les petites structures, accessibles gratuitement en ligne. Le « Guide de la cybersécurité pour les TPE/PME » est directement applicable aux associations.

Le Gouvernement a mis en place France Num (transition numérique des petites structures), qui propose des diagnostics et des ressources adaptés aux associations.

Sensibiliser les bénévoles sans budget formation

La formation n’a pas besoin d’être coûteuse pour être efficace. Voici trois approches accessibles.

Option 1 : La sensibilisation lors des assemblées générales. Dix minutes consacrées aux cyber-risques lors de l’AG annuelle peuvent changer les comportements. Montrez un exemple de faux email de subvention. Expliquez le principe du contre-appel. Demandez à chacun de vérifier ses mots de passe. Le format visuel, avec des exemples concrets, est plus mémorable qu’une note interne.

Option 2 : Le guide des réflexes de base. Un document d’une page — rédigé par votre responsable informatique ou en téléchargeant un modèle sur Cybermalveillance.gouv.fr — remis à chaque nouveau bénévole lors de son intégration. Il couvre : comment reconnaître un email suspect, quoi faire en cas de doute, qui contacter en cas d’incident.

Option 3 : La simulation de phishing. Pour les associations de taille plus importante (fédérations, associations employeurs avec plusieurs salariés ou bénévoles réguliers), une simulation de phishing permet de mesurer le niveau de vigilance réel et d’identifier les personnes qui auraient besoin d’une formation complémentaire. Des plateformes proposent des offres adaptées aux petites structures, parfois avec des tarifs associatifs.

Pour aller plus loin sur la formation des bénévoles et des salariés associatifs : Guide de la formation cybersécurité pour les employés de PME.

Ce que doit savoir votre trésorier en priorité

Le trésorier est la cible principale dans une association. Il contrôle les comptes bancaires, signe les chèques, effectue les virements, reçoit les factures. Pour les cybercriminels, c’est la personne à compromettre ou à tromper.

Voici le minimum que chaque trésorier d’association doit connaître et appliquer.

SituationRéflexe obligatoire
Email demandant un changement de RIB fournisseurContre-appel téléphonique sur numéro connu
Email de subvention avec demande de RIBVérification sur service-public.fr + appel à l’organisme
Facture d’un fournisseur inconnuVérification de l’existence du fournisseur avant paiement
Email de l’URSSAF signalant une anomalieConnexion directe sur urssaf.fr (jamais via le lien de l’email)
Demande de virement urgente du présidentRappel téléphonique du président pour confirmation
Nouveau bénévole demandant un accèsVérification d’identité avant attribution des accès

Ce tableau peut être imprimé et affiché dans l’espace de travail du trésorier. Il ne remplace pas une formation, mais il fournit un aide-mémoire opérationnel accessible à tout bénévole sans formation technique.

Checklist de sécurité pour votre association

Voici les actions prioritaires à mettre en œuvre, classées par effort et par impact.

Actions immédiates (moins d’une heure)

  • Activer le MFA sur les boîtes email du président, du trésorier et du secrétaire
  • Vérifier la configuration SPF/DKIM/DMARC de votre domaine (test gratuit)
  • Lister tous les bénévoles qui ont quitté l’association dans les 12 derniers mois et vérifier que leurs accès sont supprimés
  • S’inscrire sur Cybermalveillance.gouv.fr et télécharger les fiches pratiques pour non-techniciens

Actions à court terme (une semaine)

  • Formaliser et communiquer la procédure de contre-appel pour tout changement de coordonnées bancaires
  • Vérifier l’éligibilité de l’association à Google Workspace for Nonprofits ou Microsoft 365 Nonprofit
  • Mettre à jour les mots de passe des comptes associatifs (boîte email, site web, HelloAsso, réseaux sociaux) avec des mots de passe uniques et forts
  • Organiser une sauvegarde régulière des fichiers importants (liste des membres, comptabilité) sur un support déconnecté

Actions à moyen terme (un mois)

  • Rédiger ou adopter une politique de confidentialité et un registre des traitements (obligations RGPD)
  • Sensibiliser les bénévoles lors de la prochaine réunion (exemples concrets de faux emails de subvention, fraude au faux RIB)
  • Désigner un référent cybersécurité au sein du bureau (pas besoin d’être technicien, juste d’être le point de contact en cas d’incident)
  • Vérifier que les clauses de votre contrat d’assurance couvrent la responsabilité en cas de fuite de données

Pour comprendre le cadre complet des bonnes pratiques de sécurité email applicable à toute organisation, y compris les associations.

Par où commencer si vous manquez de temps et de budget

Si votre association ne peut investir que deux heures dans sa cybersécurité ce mois-ci, voici la séquence optimale.

Heure 1 : Activez le MFA sur les boîtes email des responsables et testez la sécurité de votre domaine email. Ces deux actions seules bloquent la majorité des attaques par compromission de compte.

Heure 2 : Rédigez une note d’une page destinée aux bénévoles qui touchent à la comptabilité. Elle couvre : ne jamais modifier un RIB sans contre-appel téléphonique, vérifier l’adresse de l’expéditeur (pas seulement le nom affiché), signaler tout email suspect au référent cybersécurité. Distribuez-la à votre prochaine réunion de bureau.

Si vous subissez une cyberattaque ou une fraude, contactez immédiatement :

  • Cybermalveillance.gouv.fr — assistance gratuite aux victimes (0 806 000 036)
  • Votre banque — signalement de fraude dans les 24 heures pour maximiser les chances de rappel de fonds
  • La CNIL — si des données personnelles ont été compromises, notification obligatoire sous 72 heures
  • La gendarmerie ou la police — dépôt de plainte nécessaire pour l’assurance (loi LOPMI : 72 heures pour maintenir vos droits à indemnisation)

Les associations constituent un tissu vital de la société française — environ 1,5 million de structures actives selon le rapport Haut Conseil à la Vie Associative 2023. Cette masse représente un gisement de données personnelles et de flux financiers que les cybercriminels ont identifié. La protection n’est pas une question de budget : c’est une question de réflexes. Et les réflexes s’acquièrent.

Vérifiez la sécurité email de votre association en 30 secondes. Le test gratuit nophi.sh analyse vos enregistrements SPF, DKIM et DMARC — les trois protections qui empêchent les escrocs d’envoyer des emails en votre nom à vos donateurs et partenaires.

Votre association gère les données personnelles de vos membres, bénévoles et donateurs. Elle a des obligations RGPD et une responsabilité envers les personnes qui lui font confiance. Un programme de sensibilisation adapté aux petites structures ne nécessite ni budget conséquent ni compétences techniques avancées.

Articles similaires

Cybersécurité pour les professions libérales

Guide pratique de cybersécurité pour avocats, médecins, experts-comptables et notaires : protéger vos données clients sans expertise informatique.

Bonnes pratiques email en entreprise : le guide

Guide pratique pour tous les collaborateurs : comment vérifier l'expéditeur d'un email, reconnaître un faux email et adopter les bons réflexes au quotidien.

BTP et cybersécurité : les arnaques qui ciblent le secteur

BTP et fraude numérique : arnaque au RIB sous-traitant, faux appels d'offre, faux URSSAF. Pourquoi le BTP est une cible de choix et comment s'en protéger.