24% des organisations humanitaires auraient subi au moins une cyberattaque entre avril 2022 et mars 2023. Détentrices de nombreuses données personnelles et consacrant globalement peu de moyens à leur sécurité informatique, les ONG sont de plus en plus visées par des cyberattaquants peu scrupuleux. Une fragilité que certaines s’efforcent toutefois à réduire, entre solidarité inter-ONG et activisme.
Par Alban Wilfert
Les ONG, proies idéales
Entre 2020 et 2022, quatre ONG sur dix auraient fait l’objet d’attaques informatiques, selon le CyberPeace Institute, et sept sur dix cesseraient de fonctionner si elles en subissaient une. Le Comité international de la Croix-Rouge (CICR) a été piraté en janvier 2022. Les données personnelles de 515 000 individus ont alors été dérobées. Faisant planer le danger sur ces personnes aidées, souvent déjà vulnérables, par-delà le préjudice pour l’ONG. Ciblées par des Etats ou des groupes soutenus par un Etat, comme pour le CICR touché par une « menace persistante avancée », les ONG se situent « à la convergence de deux types de menaces : celles venues de réseaux criminels à l’affût de gains financiers et celles fomentées par des Etats, guidés par l’intérêt géopolitique », précise Stéphane Duguin, Directeur exécutif du CyberPeaceInstitute.
Les ONG sont le deuxième type d’acteur le plus ciblé par des cyberattaques, après le secteur des technologies de l’information. Pour cause : mobilisées dans des zones aux infrastructures limitées, voire en conflit, souvent déjà sillonnées par des cyberattaquants, elles sont surexposées. Pourtant, seule une sur cinq disposerait d’un plan de cybersécurité, et deux fois moins y formeraient leurs personnels. Le décalage horaire impose une capacité à réagir à tout moment, et donc la mise en place d’une permanence, coûteuse.
Préférant flécher leurs budgets vers l’aide aux plus démunis, elles négligent leur propre sécurité numérique malgré leur numérisation très rapide. « Cela conduit à une infrastructure numérique extrêmement étendue, interconnectée et très peu sécurisée » où s’illustre le problème bien connu dans la cyber du « maillon faible de la chaîne », précise Stéphane Duguin.
Contrer la menace
Face à la menace grandissante, les ONG semblent réagir. En 2022, 84% d’entre elles avaient installé un certificat SSL sur leur site, contre 70% en 2019, d’après le Nonprofit Tech for Good, plateforme proposant des ressources aux organisations à but non lucratif. Quelques mois après l’attaque dont il a été victime, le CICR annonçait l’ouverture d’une antenne technique au Luxembourg. « Doté d’une infrastructure de pointe et d’un écosystème sécurisé, ce nouveau bureau sera l’épicentre d’activités de recherche et développement sur tous les aspects du cyberespace (technologiques, politiques, opérationnels et juridiques) » dévoile le CICR. Renforcer la cybersécurité de la structure et mieux comprendre les enjeux liés aux cybermenaces dans un contexte humanitaire est à l’ordre du jour. La stratégie2024-2027 promet in fine de mieux appréhender les risques cyber, protéger les données et informations sensibles et assurer la continuité des opérations ou leur reprise rapide en cas de cyber-incident.
Quelques années plus tôt, en 2017, Catholic Relief Services, avertie de ses faiblesses suffisamment tôt, était la première organisation à travailler avec Microsoft. Avec AccountGuardfor Nonprofits, les ONG sont notifiées des cybermenaces provenant d’entreprises inscrites sur liste noire, bénéficient de cours et de webinaires, reçoivent des recommandations en cas de compromission d’un compte Microsoft… Depuis, d’autres entreprises, comme Cloudflare, ont développé des offres destinées spécifiquement aux ONG. En France, l’organisation Hackers Without Borders a été fondée au lendemain de l’attaque sur le CICR. Se voulant une « taskforce mobilisable rapidement pour apporter de l’aide pendant de telles cyberattaques », elle promeut un hacking éthique, sensibilisant les ONG et les aidant gratuitement à identifier leurs vulnérabilités. « Les ONG ne se méfient pas assez, étant donné le manque criant de communication spécifique sur ce sujet qui les concerne. Sans conscience du danger et des enjeux, rien ne peut véritablement être accompli. Une simple campagne de type mailing list précisant régulièrement les risques et l’état des lieux des menaces qui pèsent sur elles aiderait à éveiller les consciences. Des entreprises pourraient par ailleurs consacrer quelques heures chaque année à la rédaction de plaquettes sensibilisant à la cybersécurité dans leur environnement, en guise d’engagement RSE », suggère Clément Domingo, cofondateur de Hackers Without Borders.
Faire bouger les lignes
La Croix-Rouge soutient la création d’un emblème numérique, équivalent, dans le cyberespace, des chasubles portés par les humanitaires pour ne pas être pris pour cibles. Il figurerait sur les systèmes informatiques appartenant aux différentes ONG et infrastructures médicales, qui sont « déjà protégées par les conventions de Genève », indique Mauro Vignati, conseiller en technologies numériques au CICR. Une première version de cette « numérisation de l’emblème de la Croix-Rouge », développée par des universitaires en contact avec des acteurs privés de la tech, devrait voir le jour en 2024 et permettre l’ouverture de discussions approfondies avec des Etats dès 2025. En effet, l’emblème a bien vocation à être « délivré aux ONG par les autorités étatiques », précise Mauro Vignati.
Certes, cette action serait vaine face à des cyberattaquants visant délibérément une ONG. En revanche, lorsque des ONG sont « victimes de ransomwares et de DDOS non discriminés, alors qu’elles n’en sont pas la cible », ce que le CyberPeace Institute parvient parfois à dissuader d’après Stéphane Duguin, peut-être l’emblème pourrait-il s’avérer précieux.
Pour veiller à la cyber-résilience des ONG, « il n’y a pas d’autre voie que la sensibilisation, y compris auprès de l’opinion publique et des élus, avec lesquels nous sommes régulièrement en contact. Il faut des relais locaux et des financements pour pouvoir répondre aux demandes croissantes des ONG en matière de cybersécurité. Pour beaucoup, il suffirait d’effectuer de légers changements dans leur hygiène numérique et le traitement des données pour que la situation soit meilleure. Mais je crains que, malgré l’ampleur de l’attaque de 2022 sur le CICR, cela ne suffise pas à créer l’électrochoc nécessaire au sein des ONG. »appuie Clément Domingo.
Le CyberPeace Institute a lui co-signé un manifeste multipartite visant à « donner la priorité aux intérêts des personnes dans la prochaine convention des Nations Unies sur la cybercriminalité » à travers la protection des victimes et la coopération internationale. Conscient que les premiers acteurs décisionnaires sont les Etats, l’ONG a également émis un « appel à une action concertée de tous les gouvernements pour mettre fin aux cyberattaques contre le secteur de la santé ». Elle enjoint à renforcer les capacités d’accueil et la formation de la police et de la justice aux problématiques de cybersécurité. Mais face à une cybercriminalité organisée qui monte en puissance, cet appel à la conscience et à l’humanisme pourrait n’avoir in fine que peu de répercussion…