La prise de conscience reste insuffisante face à la menace de cyberattaques qui pèse sur les organisations non gouvernementales (ONG). Francesca Bosco, conseillère principale pour la stratégie et les partenariats au sein du CyberPeace Institute, nous explique comment changer la donne et pourquoi les organisations humanitaires sont la cible des cybercriminels.
Le CyberPeace Institute a été fondé en 2019. Quelles sont les raisons exactes de cette initiative?
Déjà mis à rude épreuve pour faire face à la pandémie de COVID-19, le secteur des soins de santé a été victime de cyberattaques et de menaces qui ont ébranlé sa capacité à répondre efficacement aux besoins sanitaires de la population. Les infrastructures critiques sont de plus en plus visées. Ces attaques visaient le bon fonctionnement de notre société: la conjonction d’un processus déjà engagé et d’une aggravation sous les yeux du public. Fondé à Genève, le CyberPeace Institute est une organisation non gouvernementale (ONG) neutre dont l’objectif consiste à limiter les dommages causés par les attaques, à soutenir les communautés vulnérables et à promouvoir un comportement responsable dans le cyberespace. La multiplication des cyberattaques n’affectait pas seulement le matériel informatique; elle menaçait la vie des gens et mettait en péril l’accès aux services de base, comme les soins de santé.
Qui se cache derrière cet institut?
L’institut a bénéficié d’un financement de départ de la part du secteur privé et de certaines fondations, comme Microsoft, Mastercard, ainsi que la Fondation William et Flora Hewlett.
Le choix du nom est plutôt surprenant pour un institut principalement actif dans le domaine de la sécurité des données. Vous considérez-vous comme une organisation en faveur de la paix?
J’ai justement été inspirée par cette approche intégrée, au même titre que de nombreuses autres personnes actives au sein du CyberPeace Institute. Agir en tant qu’organisation pour la paix tout en élaborant une stratégie analytique exhaustive en matière de cybersécurité soulève un double défi. Nous appliquons les principes fondamentaux de la cyberpaix positive.
Quels sont ces principes?
À nos yeux, la paix ne se résume pas à une simple absence de conflit. Elle suppose également la prévention proactive et anticipative d’éventuels embrasements. Si nous considérons que le cyberespace concerne la quasi-totalité des facettes de notre existence, nous comprenons qu’il recèle autant de possibilités captivantes que d’écueils redoutables. Voilà pourquoi nous avons misé sur une approche intégrée. Dès le départ, nous savions que, s’il comporte des dangers, le cyberespace est également une chance et une source de sécurité lorsqu’il est utilisé à bon escient. Quand nous proposons nos services, nous nous attachons à préserver la dignité humaine et l’égalité. Nous veillons à ce que les cyberattaques ne portent pas atteinte aux vies humaines.
«Le cyberespace présente des possibilités fascinantes, mais aussi des abîmes insondables.»
Francesca BOSCO,
Senior Advisor Strategy and Partnerships, CyberPeace Institute
Une organisation pour la paix, donc.
Oui, nous sommes une organisation pour la paix, et une organisation très active. Les choses changent beaucoup en ce moment. Nous avons opté pour une approche résolument concrète et pratique: nous enquêtons, nous assistons et nous défendons.
Qu’entendez-vous par là exactement?
Nous soutenons les communautés vulnérables, comme les ONG actives dans les secteurs de l’aide humanitaire et de l’accompagnement. À partir de nos recherches et de nos analyses, nous fournissons des informations aux décideurs politiques des pays concernés. Nous anticipons en outre certains problèmes, comme les technologies de rupture susceptibles de nuire aux communautés vulnérables.
Dans combien de pays êtes-vous présents? Et combien de personnes travaillent autour de cette problématique?
Notre réseau est international et s’étend sur près de 120 pays. Notre équipe réunit à temps plein 27 employés et employées originaires de 12 pays. La moitié sont des femmes. Nous en sommes fiers. La diversité fait partie de nos principaux atouts, surtout si l’on considère que nous œuvrons en faveur de la cyberpaix. Concrètement, nos collaborateurs et collaboratrices aux profils très variés cumulent un vaste panel de compétences en matière de cybersécurité. De notre siège à Genève, nous travaillons en étroite collaboration avec nos conseillers régionaux, les CyberPeace Builders, situés à Nairobi (Kenya) et à Bogota (Colombie). Aujourd’hui, nous soutenons directement des ONG réparties dans 120 pays. Ces ONG mènent également des actions à l’échelle internationale, un point qui renforce considérablement notre influence. Notre objectif consiste à étendre notre champ d’action au monde entier.
Quelles sont les associations et fondations les plus visées?
Voilà une question intéressante, mais délicate. En effet, comme notre expérience le montre, la réponse varie en fonction de divers facteurs et contextes, ainsi que de la nature même des organisations. Lors de la pandémie de COVID, le secteur des soins de santé figurait parmi les secteurs les plus vulnérables. C’est un exemple classique. Pour l’instant, nous nous focalisons sur les organisations de la société civile, ainsi que les organisations humanitaire.
Pourquoi ces secteurs en particulier?
Les organisations humanitaires dépendent de plus en plus des technologies de l’information. En théorie, c’est une bonne chose, puisque cela leur permet d’élargir leur champ d’action. Elles peuvent ainsi fournir des services essentiels aux personnes en situation d’urgence. Si les nouvelles technologies recèlent de merveilleuses promesses, elles multiplient en contrepartie les risques pour ces organisations. Pour assurer leur survie, ces dernières doivent alors envisager, au-delà des attaques physiques, la protection de leurs données. Nous parlons ici de logiciels adaptés à leurs besoins. Autre point très important: les cyberattaques peuvent également entraîner des répercussions dans le monde réel. Je pense particulièrement aux organisations humanitaires. Leurs activités en ligne, notamment sur les réseaux sociaux, peuvent avoir de lourdes conséquences dans le monde réel.
Le Comité international de la Croix-Rouge (CICR) a subi une attaque voici un an…
Oui, ce fut un signal d’alarme pour la communauté internationale. Des données personnelles très sensibles, relatives à son programme de rétablissement des liens familiaux, ont été dérobées. La transparence dont a fait preuve le CICR en publiant des informations sur les conséquences de cette cyberattaque est primordiale, car la vie des gens est concernée. Les dommages causés par de telles attaques sont immenses et leurs effets se ressentiront sur plusieurs décennies. Si l’attaque perpétrée contre le CICR a défrayé la chronique, elle n’est pas isolée.
«Les ONG sont souvent victimes d’attaques visant des services critiques.»
Francesca BOSCO
Pourquoi les cybercriminels s’intéressent-ils tant aux données des organisations humanitaires?
Les organisations humanitaires n’échappent pas au phénomène croissant des cyberattaques. La plupart du temps, ces attaques prennent pour cible les services essentiels que ces organisations proposent aux communautés vulnérables à travers le monde. Les cyberattaques dirigées contre des organisations humanitaires visent notamment à les empêcher de poursuivre leurs missions, à accéder aux données relatives aux bénéficiaires et aux autres parties prenantes, à subtiliser des fonds ou des données, ou encore à dérober des informations (fraude au PDG, par exemple). Ces attaques peuvent également contribuer à la diffusion d’informations malveillantes et de messages à caractère politique, notamment par le défacement de sites Web, le vol et l’utilisation abusive d’identités, la manipulation de données dérobées lors de campagnes de désinformation ou la remise en question de l’organisation en raison de failles détectées dans sa cybersécurité. Le secteur de l’aide humanitaire collecte plus de 30 milliards de dollars par an pour mettre en œuvre des programmes d’assistance et de défense des populations. Cyniquement, les cybercriminels y voient sans doute une occasion d’engranger un profit. Ils considèrent les ONG comme des cibles faciles et très lucratives. Faciles, car elles sont techniquement très vulnérables, et lucratives, car les cybercriminels pourraient avoir accès à des sommes colossales par le biais de demandes de rançon, de transferts frauduleux, etc.
Connaissez-vous d’autres exemples?
Malheureusement, oui. Durant l’été 2021, des cybercriminels ont piraté le compte Instagram de l’Union internationale contre le cancer (UICC). Lors de la Journée mondiale contre le cancer 2021, les malfaiteurs ont envoyé un e‑mail d’hameçonnage accompagné de fausses plaintes. De nombreux abonnés du compte ont cru que le message émanait de l’association caritative. Deux jours plus tard, les malfaiteurs ont contacté l’organisation, déclarant qu’ils avaient pris le contrôle du compte et exigeant une rançon. L’UICC défend les intérêts de l’ensemble des acteurs de la lutte contre le cancer. Son objectif principal consiste à garantir un accès équitable aux examens de santé et au dépistage. À ce moment-là, les cybercriminels avaient changé l’adresse e‑mail, le mot de passe et le numéro de téléphone liés au compte puis l’avaient désactivé. L’UICC a mis plusieurs semaines à récupérer l’accès à son compte Instagram.
Quel fut l’ampleur des dégâts?
Premièrement, l’UICC ne pouvait plus utiliser son compte Instagram. Ils ont perdu tous leurs abonnés. Deuxièmement, l’attaque a miné la confiance des donateurs potentiels. Ce genre de conséquence à long terme ne doit pas être négligé.
À quelles autres fins les données dérobées sont-elles utilisées?
Les données dérobées servent à soutirer de l’argent et, comme je le disais, à mener des campagnes de désinformation. Par le biais d’attaques d’hameçonnage, les cybercriminels atteignent directement leurs victimes. Bien souvent, cette pratique entraîne le vol de données informatiques de bénéficiaires de l’organisation, qui seront revendues à d’autres criminels. Il se peut également que des données très personnelles soient échangées, notamment les informations personnelles d’activistes et de journalistes qui effectuent des recherches dans un contexte politique particulier. La situation peut très vite dégénérer.
Où ces données sont-elles échangées?
Sur le darknet, par exemple. Il existe un marché pour les identités volées. Son ampleur est très difficile à quantifier. Le problème vient essentiellement du manque de données disponibles à ce sujet. Voilà pourquoi le CyberPeace Institute élabore une méthode permettant de fournir aux organisations des informations sur la véritable ampleur des dégâts éventuels à long terme. En cas d’attaque, beaucoup de personnes ne songent qu’aux conséquences immédiates, sans tenir compte de l’évolutivité des dégâts. Quelle est la quantité de données réellement dérobées? Quelle est l’ampleur des conséquences financières, au-delà du préjudice immédiat? Les conséquences financières à long terme restent difficiles à chiffrer.
Comment faut-il réagir en cas d’attaque?
L’incident doit immédiatement être signalé aux autorités. Je sais que cette démarche peut être délicate. Les victimes de cyberattaques préfèrent souvent ne pas alerter les autorités, par honte, ou tout simplement parce qu’elles ignorent comment procéder ou à qui s’adresser. Je travaille dans le secteur de la lutte contre la cybercriminalité depuis 2006. L’un des principaux problèmes rencontrés a toujours été le manque de données disponibles sur les cyberattaques. Ce manque de données complique la documentation régulière des incidents. Fort heureusement, de nombreux pays disposent aujourd’hui de services de lutte contre la cybercriminalité qui s’efforcent de documenter les incidents. Bien entendu, cette évolution n’est rendue possible que par la technologie dont nous disposons aujourd’hui. Les pouvoirs publics n’accordent en revanche que peu d’importance à la surveillance du cyberespace et à l’aide à la récupération des données.
Quelles mesures de protection concrètes recommanderiez-vous à une fondation disposant de peu de moyens, et peut-être sans personnel?
Le programme CyberPeace Builders a été lancé pour apporter un soutien aux ONG. Ce dernier rassemble un réseau international d’experts en cybersécurité. Les organisations civiles en ont grand besoin, car elles manquent bien souvent de personnel, de collaborateurs locaux dotés des compétences requises, ou tout simplement de budget. Dans certains cas, les ONG ne sont même pas autorisées à utiliser les dons à des fins de sécurité. Une volonté d’aider prime au sein de la communauté des spécialistes en cybersécurité. Le programme CyberPeace Builders regroupe des experts bénévoles employés par des entreprises privées. Ce service est gratuit pour les ONG, qui peuvent solliciter notre aide à tout moment. Nous ne pouvons toutefois pas encore fournir d’aide d’urgence. Nous assistons les ONG en matière de prévention et les aidons à améliorer leurs compétences informatiques. Après une attaque, nous pouvons également les accompagner dans leur retour à la vie quotidienne dans le monde numérique. Le 27 février 2023, date de mise en service du Humanitarian Cybersecurity Center (HCC), nous mettrons en place un dispositif permettant de proposer une aide d’urgence.
«Il est important que les organisations, aussi petites soient-elles, consacrent également du temps à la cyber-résilience.»
Francesca BOSCO
Quels sont les avantages d’un renforcement de la cybersécurité?
Il est primordial que même les plus petites organisations consacrent du temps à renforcer leur cyber-résilience. Nous sensibilisons les organisations à la nécessité de renforcer elles-mêmes leurs capacités et leurs compétences dans ce domaine.
Comment faites-vous pour les sensibiliser?
L’une des premières choses que nous expliquons aux dirigeants concerne le fonctionnement de l’authentification multifacteur (MFA) ou d’un gestionnaire de mots de passe. Ce sont des mesures simples et efficaces. Dans ce cas, le plus important reste que l’ensemble des employés de l’organisation adopte ces mesures, et pas seulement son personnel informatique.
Quelles sont les autres mesures à prendre pour tendre vers un cyberespace plus sûr?
Les ONG ne sont pas les seules à devoir approfondir leurs connaissances. Leurs parrains et leurs donateurs doivent également prendre conscience des dangers d’Internet. Idéalement, ils devraient soutenir financièrement le développement de la cybersécurité des ONG, car le développement d’une culture de la sécurité passe par des efforts financiers. Malheureusement, tout le monde ne le sait pas encore. La plupart des gens pensent qu’un logiciel antivirus suffit à résoudre le problème. Or, ce type de logiciel ne forme qu’une infime partie de la protection nécessaire. Une bonne protection repose sur toute une série de paramètres. Et c’est précisément la raison qui nous pousse à mettre sur pied le Centre, pour que nous puissions rendre tous ces éléments disponibles.
À qui s’adressent vos services?
Les besoins varient fortement d’une région à l’autre. Voilà pourquoi nous comptons des conseillers régionaux en Afrique et en Amérique latine. Notre objectif consiste à soutenir plus de 100 ONG d’ici à la fin de 2022. En Suisse, nous soutenons déjà 59 ONG actives dans un large éventail de secteurs. Certaines sont actives dans le secteur des soins de santé, d’autres dans l’aide au développement, d’autres encore dans le secteur des droits de l’enfant ou des violences faites aux femmes. D’autres souhaitent aussi rester anonymes.
Vous avez atteint votre premier objectif. Quelles sont les prochaines étapes?
Nous souhaitons unir nos forces pour soutenir ce secteur en mettant en place une sorte de plateforme où les entreprises, les organisations et les particuliers pourraient se rassembler pour aider. À l’avenir, nous souhaitons également développer une plateforme où les attaques contre des organisations civiles pourront être suivies, visualisées et archivées. Nous entendons l’utiliser pour soutenir les personnes actives dans le secteur de l’aide humanitaire. Et nous voulons aider ces organisations à renforcer leur résilience. Nous sommes conscients de la nécessité impérieuse d’une aide d’urgence, mais nous ne tenons pas à créer de dépendances. Voilà pourquoi nous formons les personnes concernées et les accompagnons dans l’amélioration de leurs compétences pour leur permettre de mieux se défendre.