Photos: Fred Merz

La protec­tion des person­nes dans le cyberespace

La cybersécurité, gage de cyberliberté

La prise de consci­ence reste insuf­fi­sante face à la menace de cyberat­ta­ques qui pèse sur les orga­ni­sa­ti­ons non gouver­ne­men­ta­les (ONG). Fran­ce­sca Bosco, conseil­lère prin­ci­pale pour la stra­té­gie et les parten­ari­ats au sein du Cyber­Peace Insti­tute, nous expli­que comment chan­ger la donne et pour­quoi les orga­ni­sa­ti­ons huma­ni­taires sont la cible des cybercriminels.

Le Cyber­Peace Insti­tute a été fondé en 2019. Quel­les sont les raisons exac­tes de cette initiative?

Déjà mis à rude épreuve pour faire face à la pandé­mie de COVID-19, le secteur des soins de santé a été victime de cyberat­ta­ques et de menaces qui ont ébranlé sa capa­cité à répondre effi­ca­ce­ment aux beso­ins sani­taires de la popu­la­tion. Les infras­truc­tures criti­ques sont de plus en plus visées. Ces atta­ques visa­i­ent le bon fonc­tion­ne­ment de notre société: la conjonc­tion d’un proces­sus déjà engagé et d’une aggrava­tion sous les yeux du public. Fondé à Genève, le Cyber­Peace Insti­tute est une orga­ni­sa­tion non gouver­ne­men­tale (ONG) neutre dont l’objectif consi­ste à limi­ter les dommages causés par les atta­ques, à soute­nir les commun­au­tés vulné­ra­bles et à promou­voir un comporte­ment responsable dans le cybere­space. La multi­pli­ca­tion des cyberat­ta­ques n’affectait pas seule­ment le maté­riel infor­ma­tique; elle mena­çait la vie des gens et mettait en péril l’accès aux services de base, comme les soins de santé.

Qui se cache derrière cet institut?

L’institut a béné­fi­cié d’un finance­ment de départ de la part du secteur privé et de certai­nes fonda­ti­ons, comme Micro­soft, Master­card, ainsi que la Fonda­tion William et Flora Hewlett. 

Le choix du nom est plutôt surprenant pour un insti­tut prin­ci­pa­le­ment actif dans le domaine de la sécu­rité des données. Vous considé­rez-vous comme une orga­ni­sa­tion en faveur de la paix?

J’ai justem­ent été inspi­rée par cette appro­che inté­g­rée, au même titre que de nombreu­ses autres person­nes acti­ves au sein du Cyber­Peace Insti­tute. Agir en tant qu’organisation pour la paix tout en élabo­rant une stra­té­gie analy­tique exhaus­tive en matière de cyber­sé­cu­rité soulève un double défi. Nous appli­quons les prin­cipes fonda­men­taux de la cyber­paix positive.

Quels sont ces principes?

À nos yeux, la paix ne se résume pas à une simple absence de conflit. Elle suppose égale­ment la préven­tion proac­tive et anti­ci­pa­tive d’éventuels embra­se­ments. Si nous considé­rons que le cybere­space concerne la quasi-tota­lité des facet­tes de notre existence, nous comp­re­nons qu’il recèle autant de possi­bi­li­tés capti­van­tes que d’écueils redouta­bles. Voilà pour­quoi nous avons misé sur une appro­che inté­g­rée. Dès le départ, nous savi­ons que, s’il comporte des dangers, le cybere­space est égale­ment une chance et une source de sécu­rité lorsqu’il est utilisé à bon esci­ent. Quand nous propo­sons nos services, nous nous atta­chons à préser­ver la dignité humaine et l’égalité. Nous veil­lons à ce que les cyberat­ta­ques ne portent pas atteinte aux vies humaines.

«Le cybere­space présente des possi­bi­li­tés fascinan­tes, mais aussi des abîmes insondables.»

Fran­ce­sca BOSCO,
Senior Advi­sor Stra­tegy and Part­ner­ships, Cyber­Peace Institute

Une orga­ni­sa­tion pour la paix, donc.

Oui, nous sommes une orga­ni­sa­tion pour la paix, et une orga­ni­sa­tion très active. Les choses chan­gent beau­coup en ce moment.  Nous avons opté pour une appro­che réso­lu­ment concrète et pratique: nous enquê­tons, nous assi­stons et nous défendons. 

Qu’entendez-vous par là exactement?

Nous soute­nons les commun­au­tés vulné­ra­bles, comme les ONG acti­ves dans les secteurs de l’aide huma­ni­taire et de l’accompagnement. À partir de nos recher­ches et de nos analy­ses, nous four­nis­sons des infor­ma­ti­ons aux déci­deurs poli­ti­ques des pays concer­nés. Nous anti­ci­pons en outre certa­ins problè­mes, comme les tech­no­lo­gies de rupture suscep­ti­bles de nuire aux commun­au­tés vulnérables.

Dans combien de pays êtes-vous prés­ents? Et combien de person­nes travail­lent autour de cette problématique?

Notre réseau est inter­na­tio­nal et s’étend sur près de 120 pays. Notre équipe réunit à temps plein 27 employés et employées origi­n­aires de 12 pays. La moitié sont des femmes. Nous en sommes fiers. La diver­sité fait partie de nos prin­ci­paux atouts, surtout si l’on considère que nous œuvrons en faveur de la cyber­paix. Concrè­te­ment, nos colla­bo­ra­teurs et colla­bora­tri­ces aux profils très variés cumu­lent un vaste panel de compé­ten­ces en matière de cyber­sé­cu­rité. De notre siège à Genève, nous travail­lons en étroite colla­bo­ra­tion avec nos conseil­lers régi­on­aux, les Cyber­Peace Buil­ders, situés à Nairobi (Kenya) et à Bogota (Colom­bie). Aujourd’hui, nous soute­nons direc­te­ment des ONG répar­ties dans 120 pays. Ces ONG mènent égale­ment des actions à l’échelle inter­na­tio­nale, un point qui renforce considé­ra­blem­ent notre influence. Notre objec­tif consi­ste à étendre notre champ d’action au monde entier. 

Quel­les sont les asso­cia­ti­ons et fonda­ti­ons les plus visées?

Voilà une question inté­res­s­ante, mais déli­cate. En effet, comme notre expé­ri­ence le montre, la réponse varie en fonc­tion de divers facteurs et contex­tes, ainsi que de la nature même des orga­ni­sa­ti­ons. Lors de la pandé­mie de COVID, le secteur des soins de santé figu­rait parmi les secteurs les plus vulné­ra­bles. C’est un exemple clas­si­que. Pour l’instant, nous nous foca­li­sons sur les orga­ni­sa­ti­ons de la société civile, ainsi que les orga­ni­sa­ti­ons humanitaire.

Pour­quoi ces secteurs en particulier?

Les orga­ni­sa­ti­ons huma­ni­taires dépen­dent de plus en plus des tech­no­lo­gies de l’information. En théo­rie, c’est une bonne chose, puis­que cela leur permet d’élargir leur champ d’action. Elles peuvent ainsi four­nir des services essen­tiels aux person­nes en situa­tion d’urgence. Si les nouvel­les tech­no­lo­gies recè­lent de merveil­leu­ses promes­ses, elles multi­pli­ent en cont­re­par­tie les risques pour ces orga­ni­sa­ti­ons.  Pour assurer leur survie, ces derniè­res doivent alors envi­sa­ger, au-delà des atta­ques physi­ques, la protec­tion de leurs données. Nous parlons ici de logi­ciels adap­tés à leurs beso­ins. Autre point très important: les cyberat­ta­ques peuvent égale­ment entraî­ner des réper­cus­sions dans le monde réel. Je pense parti­cu­liè­re­ment aux orga­ni­sa­ti­ons huma­ni­taires. Leurs acti­vi­tés en ligne, notam­ment sur les réseaux soci­aux, peuvent avoir de lour­des consé­quen­ces dans le monde réel.

Le Comité inter­na­tio­nal de la Croix-Rouge (CICR) a subi une attaque voici un an…

Oui, ce fut un signal d’alarme pour la commun­auté inter­na­tio­nale. Des données person­nel­les très sensi­bles, rela­ti­ves à son programme de réta­blis­se­ment des liens fami­li­aux, ont été déro­bées. La trans­pa­rence dont a fait preuve le CICR en publi­ant des infor­ma­ti­ons sur les consé­quen­ces de cette cyberat­taque est primor­diale, car la vie des gens est concer­née. Les dommages causés par de telles atta­ques sont immenses et leurs effets se ressen­ti­ront sur plusieurs décen­nies. Si l’attaque perpé­trée contre le CICR a défrayé la chro­ni­que, elle n’est pas isolée.

«Les ONG sont souvent victi­mes d’attaques visant des services critiques.»

Fran­ce­sca BOSCO

Pour­quoi les cyber­cri­mi­nels s’intéressent-ils tant aux données des orga­ni­sa­ti­ons humanitaires?

Les orga­ni­sa­ti­ons huma­ni­taires n’échappent pas au phénomène crois­sant des cyberat­ta­ques. La plupart du temps, ces atta­ques pren­nent pour cible les services essen­tiels que ces orga­ni­sa­ti­ons propo­sent aux commun­au­tés vulné­ra­bles à travers le monde. Les cyberat­ta­ques diri­gées contre des orga­ni­sa­ti­ons huma­ni­taires visent notam­ment à les empêcher de pour­suivre leurs missi­ons, à accé­der aux données rela­ti­ves aux béné­fi­ci­ai­res et aux autres parties pren­an­tes, à subti­li­ser des fonds ou des données, ou encore à déro­ber des infor­ma­ti­ons (fraude au PDG, par exemple). Ces atta­ques peuvent égale­ment contri­buer à la diffu­sion d’informations malveil­lan­tes et de messa­ges à carac­tère poli­tique, notam­ment par le défa­ce­ment de sites Web, le vol et l’utilisation abusive d’identités, la mani­pu­la­tion de données déro­bées lors de campa­gnes de désin­for­ma­tion ou la remise en question de l’organisation en raison de fail­les détec­tées dans sa cyber­sé­cu­rité. Le secteur de l’aide huma­ni­taire coll­ecte plus de 30 milli­ards de dollars par an pour mettre en œuvre des program­mes d’assistance et de défense des popu­la­ti­ons. Cyni­quement, les cyber­cri­mi­nels y voient sans doute une occa­sion d’engranger un profit.  Ils considè­rent les ONG comme des cibles faci­les et très lucra­ti­ves. Faci­les, car elles sont tech­ni­quement très vulné­ra­bles, et lucra­ti­ves, car les cyber­cri­mi­nels pour­rai­ent avoir accès à des sommes colos­sa­les par le biais de deman­des de rançon, de trans­ferts frau­du­leux, etc. 

Connais­sez-vous d’autres exemples?

Malheu­reu­se­ment, oui. Durant l’été 2021, des cyber­cri­mi­nels ont piraté le compte Insta­gram de l’Union inter­na­tio­nale contre le cancer (UICC). Lors de la Jour­née mondiale contre le cancer 2021, les malfai­teurs ont envoyé un e‑mail d’hameçonnage accom­pa­gné de faus­ses plain­tes. De nombreux abon­nés du compte ont cru que le message émanait de l’association cari­ta­tive. Deux jours plus tard, les malfai­teurs ont cont­acté l’organisation, déclarant qu’ils avai­ent pris le contrôle du compte et exigeant une rançon. L’UICC défend les inté­rêts de l’ensemble des acteurs de la lutte contre le cancer. Son objec­tif prin­ci­pal consi­ste à garan­tir un accès équi­ta­ble aux examens de santé et au dépis­tage. À ce moment-là, les cyber­cri­mi­nels avai­ent changé l’adresse e‑mail, le mot de passe et le numéro de télé­phone liés au compte puis l’avaient désac­tivé. L’UICC a mis plusieurs semaines à récup­é­rer l’accès à son compte Instagram.

Quel fut l’ampleur des dégâts?

Premiè­re­ment, l’UICC ne pouvait plus utili­ser son compte Insta­gram. Ils ont perdu tous leurs abon­nés. Deuxiè­me­ment, l’attaque a miné la confi­ance des dona­teurs poten­tiels. Ce genre de consé­quence à long terme ne doit pas être négligé.

À quel­les autres fins les données déro­bées sont-elles utilisées?

Les données déro­bées servent à sout­i­rer de l’argent et, comme je le disais, à mener des campa­gnes de désin­for­ma­tion. Par le biais d’attaques d’hameçonnage, les cyber­cri­mi­nels atteig­n­ent direc­te­ment leurs victi­mes. Bien souvent, cette pratique entraîne le vol de données infor­ma­ti­ques de béné­fi­ci­ai­res de l’organisation, qui seront reven­dues à d’autres crimi­nels. Il se peut égale­ment que des données très person­nel­les soient échan­gées, notam­ment les infor­ma­ti­ons person­nel­les d’activistes et de jour­na­li­stes qui effec­tu­ent des recher­ches dans un contexte poli­tique parti­cu­lier. La situa­tion peut très vite dégénérer.

Où ces données sont-elles échangées?

Sur le dark­net, par exemple. Il existe un marché pour les iden­ti­tés volées. Son ampleur est très diffi­cile à quan­ti­fier. Le problème vient essen­ti­el­le­ment du manque de données dispo­ni­bles à ce sujet. Voilà pour­quoi le Cyber­Peace Insti­tute élabore une méthode permet­tant de four­nir aux orga­ni­sa­ti­ons des infor­ma­ti­ons sur la véri­ta­ble ampleur des dégâts éven­tuels à long terme. En cas d’attaque, beau­coup de person­nes ne songent qu’aux consé­quen­ces immé­dia­tes, sans tenir compte de l’évolutivité des dégâts. Quelle est la quan­tité de données réel­le­ment déro­bées? Quelle est l’ampleur des consé­quen­ces finan­ciè­res, au-delà du préju­dice immé­diat? Les consé­quen­ces finan­ciè­res à long terme restent diffi­ci­les à chiffrer.

Comment faut-il réagir en cas d’attaque?

L’incident doit immé­dia­te­ment être signalé aux auto­ri­tés. Je sais que cette démar­che peut être déli­cate. Les victi­mes de cyberat­ta­ques préfè­rent souvent ne pas aler­ter les auto­ri­tés, par honte, ou tout simple­ment parce qu’elles igno­rent comment procé­der ou à qui s’adresser. Je travaille dans le secteur de la lutte contre la cyber­cri­mi­na­lité depuis 2006. L’un des prin­ci­paux problè­mes rencon­trés a toujours été le manque de données dispo­ni­bles sur les cyberat­ta­ques. Ce manque de données compli­que la docu­men­ta­tion régu­lière des inci­dents. Fort heureu­se­ment, de nombreux pays dispo­sent aujourd’hui de services de lutte contre la cyber­cri­mi­na­lité qui s’efforcent de docu­men­ter les inci­dents. Bien entendu, cette évolu­tion n’est rendue possi­ble que par la tech­no­lo­gie dont nous dispo­sons aujourd’hui. Les pouvoirs publics n’accordent en revan­che que peu d’importance à la surveil­lance du cybere­space et à l’aide à la récup­é­ra­tion des données.

Quel­les mesu­res de protec­tion concrè­tes recom­man­de­riez-vous à une fonda­tion dispo­sant de peu de moyens, et peut-être sans personnel?

Le programme Cyber­Peace Buil­ders a été lancé pour appor­ter un soutien aux ONG. Ce dernier rassem­ble un réseau inter­na­tio­nal d’experts en cyber­sé­cu­rité. Les orga­ni­sa­ti­ons civi­les en ont grand besoin, car elles manquent bien souvent de person­nel, de colla­bo­ra­teurs locaux dotés des compé­ten­ces requi­ses, ou tout simple­ment de budget. Dans certa­ins cas, les ONG ne sont même pas auto­ri­sées à utili­ser les dons à des fins de sécu­rité. Une volonté d’aider prime au sein de la commun­auté des spécia­li­stes en cyber­sé­cu­rité. Le programme Cyber­Peace Buil­ders regroupe des experts béné­vo­les employés par des entre­pri­ses privées. Ce service est gratuit pour les ONG, qui peuvent solli­ci­ter notre aide à tout moment. Nous ne pouvons toute­fois pas encore four­nir d’aide d’urgence. Nous assi­stons les ONG en matière de préven­tion et les aidons à amélio­rer leurs compé­ten­ces infor­ma­ti­ques. Après une attaque, nous pouvons égale­ment les accom­pa­gner dans leur retour à la vie quoti­di­enne dans le monde numé­ri­que. Le 27 février 2023, date de mise en service du Huma­ni­ta­rian Cyber­se­cu­rity Center (HCC), nous mettrons en place un dispo­si­tif permet­tant de propo­ser une aide d’urgence.

«Il est important que les orga­ni­sa­ti­ons, aussi peti­tes soient-elles, consacrent égale­ment du temps à la cyber-résilience.»

Fran­ce­sca BOSCO

Quels sont les avan­ta­ges d’un renforce­ment de la cybersécurité?

Il est primor­dial que même les plus peti­tes orga­ni­sa­ti­ons consacrent du temps à renforcer leur cyber-rési­li­ence. Nous sensi­bi­li­sons les orga­ni­sa­ti­ons à la néces­sité de renforcer elles-mêmes leurs capa­ci­tés et leurs compé­ten­ces dans ce domaine.

Comment faites-vous pour les sensibiliser?

L’une des premiè­res choses que nous expli­quons aux diri­geants concerne le fonc­tion­ne­ment de l’authentification multi­fac­teur (MFA) ou d’un gesti­on­n­aire de mots de passe. Ce sont des mesu­res simp­les et effi­caces. Dans ce cas, le plus important reste que l’ensemble des employés de l’organisation adopte ces mesu­res, et pas seule­ment son person­nel informatique.

Quel­les sont les autres mesu­res à prendre pour tendre vers un cybere­space plus sûr?

Les ONG ne sont pas les seules à devoir appro­fon­dir leurs connais­sances. Leurs parrains et leurs dona­teurs doivent égale­ment prendre consci­ence des dangers d’Internet. Idéa­le­ment, ils devrai­ent soute­nir finan­ciè­re­ment le déve­lo­p­pe­ment de la cyber­sé­cu­rité des ONG, car le déve­lo­p­pe­ment d’une culture de la sécu­rité passe par des efforts finan­ciers. Malheu­reu­se­ment, tout le monde ne le sait pas encore. La plupart des gens pensent qu’un logi­ciel anti­vi­rus suffit à résoudre le problème. Or, ce type de logi­ciel ne forme qu’une infime partie de la protec­tion néces­saire. Une bonne protec­tion repose sur toute une série de paramè­tres. Et c’est précis­é­ment la raison qui nous pousse à mettre sur pied le Centre, pour que nous puis­si­ons rendre tous ces éléments disponibles.

À qui s’adressent vos services?

Les beso­ins vari­ent forte­ment d’une région à l’autre. Voilà pour­quoi nous comp­tons des conseil­lers régi­on­aux en Afri­que et en Améri­que latine. Notre objec­tif consi­ste à soute­nir plus de 100 ONG d’ici à la fin de 2022. En Suisse, nous soute­nons déjà 59 ONG acti­ves dans un large éven­tail de secteurs. Certai­nes sont acti­ves dans le secteur des soins de santé, d’autres dans l’aide au déve­lo­p­pe­ment, d’autres encore dans le secteur des droits de l’enfant ou des violen­ces faites aux femmes. D’autres souhai­tent aussi rester anonymes.

Vous avez atteint votre premier objec­tif. Quel­les sont les prochai­nes étapes?

Nous souhai­tons unir nos forces pour soute­nir ce secteur en mettant en place une sorte de plate­forme où les entre­pri­ses, les orga­ni­sa­ti­ons et les parti­cu­liers pour­rai­ent se rassem­bler pour aider. À l’avenir, nous souhai­tons égale­ment déve­lo­p­per une plate­forme où les atta­ques contre des orga­ni­sa­ti­ons civi­les pour­ront être suivies, visua­li­sées et archi­vées. Nous enten­dons l’utiliser pour soute­nir les person­nes acti­ves dans le secteur de l’aide huma­ni­taire. Et nous voulons aider ces orga­ni­sa­ti­ons à renforcer leur rési­li­ence. Nous sommes consci­ents de la néces­sité impé­rieuse d’une aide d’urgence, mais nous ne tenons pas à créer de dépen­dan­ces. Voilà pour­quoi nous formons les person­nes concer­nées et les accom­pa­gnons dans l’amélioration de leurs compé­ten­ces pour leur permettre de mieux se défendre.

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

StiftungSchweiz encourage une philanthropie qui atteint plus avec moins de moyens, qui est visible et perceptible par tous, et qui apporte de la joie.

Suivez StiftungSchweiz sur