Les ONG, des proies de choix pour les hackers.

Retenez bien ces chiffres : Plus de 50 % des ONG ont déjà été la cible de cyberattaques, selon des statistiques diffusées en janvier de cette année par l’organisation CyberPeace Institute. Or 80 % d’entre elles présentaient des systèmes de protection défaillants. Saviez-vous que 18 minutes en moyenne suffisent à un hacker pour infiltrer un système informatique ? 18 minutes. En clair, à peine l’attaque a été repérée qu’il est peut-être déjà trop tard.

Ces chiffres sont assez alarmants, car l’on parle d’organisations qui viennent en aide à des populations fragilisées, à des réfugiés, des victimes de catastrophes naturelles, de guerres, de maladies ou de violations des droits humains. Alarmants aussi, car ces ONG détiennent de grandes quantités de données personnelles dont la confidentialité est souvent une question de vie ou de mort.

La stratégie de sécurité numérique des ONG est donc vitale, raison pour laquelle la société ELCA a organisé ce printemps un colloque sur la question, à Genève. La ville du bout du lac abrite 39 institutions et organismes internationaux et plus de 750 ONG. Elle est aussi l’un des hubs mondiaux de la régulation des technologies liées à internet.

 

Des données hautement sensibles

On l’a dit, si les ONG sont des cibles de choix pour les pirates du net, c’est qu’elles détiennent des informations hautement sensibles, tant au sujet de leurs donateurs que de leurs bénéficiaires ou de leurs employés. Ces dernières années ont vu les attaques se multiplier, même contre les plus grandes d’entre elles. En mai 2021, c’était le principal organisme d’aide au développement de Nouvelle-Zélande, le « Volunteer Service Abroad » qui était visé. Autre exemple, l’organisation « Save the Children », qui avait été rançonnée à hauteur d’un million de dollars.

Les problèmes de cybersécurité se sont également fortement accrus pour les plus petites ONG, avec le développement du télétravail et le stockage de données sensibles dans des endroits non sécurisés. Nombre d’entre elles travaillent par ailleurs dans des régions dont les infrastructures limitées peuvent les exposer, ainsi que leurs employés, à des risques cyber importants. Les ONG peuvent aussi être la cible de cyberattaques à caractère politique, comme le défaçage de sites web.

L’identité des ONG comme leurs sites web peuvent être utilisés pour propager de fausses informations, des « fake news », voire dans les cas les plus graves, pour détourner des financements participatifs.

 

Les bonnes questions à se poser

Les ONG ont pris conscience de la cybermenace mais elles n’ont souvent pas les ressources internes pour se protéger. Elles consacrent la priorité de leurs dons à l’aide aux victimes dont elles ont la charge. D’où l’importance pour elles, dans un premier temps, de dresser un état des lieux des menaces et de leur vulnérabilité, puis d’établir un processus interne de gestion de crise, en cas de cyberattaque.

Les ONG peuvent se faire accompagner dans ces démarches de protection des données par des partenariats avec le privé, de la mise en œuvre des exigences à l’évaluation et à l’audit, en passant par les outils d’authentification et de cryptage. Il est aussi primordial qu’elles soient en lien avec un SOC, soit un centre opérationnel de sécurité, qui possède une système d’alerte et de contrôle qui fonctionne en permanence. Une ONG peut être basée à Genève et avoir des équipes à Haïti par exemple, ce qui nécessite une permanence qu’elles ne peuvent bien souvent pas mettre sur pied. En cas d’attaque, il est primordial de pouvoir réagir très rapidement. On sait par ailleurs que les hackers agissent souvent la nuit, lorsqu’il n’y a personne derrière les bureaux. D’où l’importance d’une collaboration avec des partenaires extérieurs.

Lors du colloque de ce printemps, ELCASecurity et Senthorus, deux entités d’ELCA basées à Genève et spécialisées en cybersécurité, ont pu échanger avec les ONG. Senthorus a mis sur pied un service dédié, avec une équipe de professionnels de la sécurité qui opèrent en permanence, 7 jours sur 7 et 24 heures sur 24, plaçant la ville du bout du lac comme un centre de lutte contre la cybercriminalité. L’une des idées-forces qui est ressortie des échanges est l’importance pour les ONG de se regrouper, de mettre en commun leur moyen pour assurer une défense efficace contre les cyberattaques, en lien avec un SOC. Les PME ou les petites communes ont exactement les mêmes défis à relever. Elles contiennent suffisamment de données pour intéresser les hackers, elles sont trop petites pour se défendre toutes seules. Il y a là tout un champ stratégique à développer, car plus personne n’est épargné par la cybercriminalité et les ONG représentent des cibles de choix.

Ukraine: la digitalisation, support indispensable pour gérer une crise hors normes

La crise ukrainienne a mis en évidence l’importance de la digitalisation dans le monde de l’humanitaire.

Depuis le début du conflit, le 24 février 2022, plus de 13,6 millions de personnes ont été déplacées et près de 6 millions ont quitté le pays. Une catastrophe, d’une ampleur inimaginable il y a quelques mois encore, qui a mis au défi associations internationales et ONG. Ces dernières ont dû, en un temps record, coordonner l’aide d’urgence sur place, organiser des récoltes de fonds et définir au plus près les besoins logistiques de millions de personnes déplacées et réfugiées. La catastrophe a été aussi immense qu’imprévue et pourtant l’aide a été efficace. La digitalisation des processus a sans aucun doute permis, autant que faire se peut, de limiter les conséquences de la tragédie. Il faut dire qu’en 10 ans, le monde de l’humanitaire a entamé sa transition numérique. Les sociétés suisses de la high tech y contribuent et sont particulièrement bien placées sur ce marché grâce à leur savoir-faire et leur proximité avec la Genève internationale. La ville du bout du lac abrite à elle seule 39 institutions, organisations et organismes internationaux et plus de 750 organisations non-gouvernementales.

 

L’Ukraine, comme exemple d’efficacité numérique

Sur tous les terrains de conflit, la recherche des disparus et des familles dispersées est l’un des défis majeurs à relever. On se souvient du travail du CICR, du UNHCR, de MSF notamment, peu après le génocide du Rwanda en 1994, lorsqu’une partie de la population du pays, s’était déplacée ou réfugiée dans la région du Kivu voisin. Le cas de l’Ukraine y ressemble. Les plateformes de recherches internationales, en coordination, ont aidé, depuis février 2022, à localiser les personnes disparues, militaires comme civiles, tombées aux mains du camp adverse ou sous les bombardements. Elles ont et continuent à assister les familles dispersées par le conflit qui recherchent des proches dont elles ont perdu trace. Les prestataires privés ont participé à ces opérations. ELCA a notamment mis sur pied des solutions qui permettent aux familles d’enregistrer rapidement en ligne des cas de personnes disparues. Elles permettent ensuite de trouver des correspondances parmi les personnes enregistrées par les différentes organisations humanitaires qui recensent les réfugiés ou les prisonniers de guerre. Ces solutions exploitent parfois l’ l’intelligence artificielle, et peuvent se connecter à de multiples sources de données gérées par des organisations humanitaires coopérant entre elles. En quelques minutes, des indications apparaissent sur l’écran qui permettent souvent de rassurer les proches ou de mettre parfois, hélas, une fin tragique aux attentes.

Tout terrain de guerre est aussi malheureusement celui de violation des droits humains, et l’Ukraine n’y a pas échappé. Des recherches forensiques sont en cours, notamment à Boutcha, pour déterminer la responsabilité de l’armée russes, accusée de crimes de guerre. L’enjeu de ces enquêtes est énorme, en termes géopolitiques. Là encore, des applications particulièrement dédiées aux zones de guerre, permettent de stocker tous les indices permettant d’identifier les victimes et de les rapprocher de personnes déclarées disparues, permettant ainsi aux familles de faire leur deuil.

 

L’atout numérique dans l’accueil des réfugiés

La Suisse a accueilli près de 50’000 réfugiés ukrainiens, en un temps record, avec une efficacité à souligner. Il a fallu trouver des logements, accompagner les familles d’accueil, organiser le soutien au quotidien de personnes souvent traumatisées par la guerre, répertorier les besoins en médicaments, nourriture, cours de langue, … Tous ces processus ont été facilités par la digitalisation et les sociétés high tech de Suisse y ont participé. Les récoltes de fonds, cruciales face à l’urgence, ont été facilitées et accélérées par la collecte en ligne. La Chaîne du bonheur a battu des records, en récoltant en un jour, le 10 mars, plus de 50 mios de francs pour l’Ukraine. Et les dons ont continué à affluer depuis, auprès de toutes les ONG. Tout cela a exigé une connaissance fine des donateurs à laquelle ELCA a contribué par des solutions de fundraising management, qui permettent, outre la gestion de la collecte de fonds, une communication transparente sur l’usage des dons. Un point essentiel dans l’environnement concurrentiel des ONG.

La cybersécurité est également un élément crucial du dispositif, puisqu’on l’a vu récemment, les sites de différentes ONG ont été attaqués soit pour empêcher les collectes de dons pour l’Ukraine, soit pour voler des données concernant les personnes sous protection de ces organisations.

De nouveaux chantiers s’annoncent puisque les organisations humanitaires sont maintenant fréquemment l’objet de fake news qui affectent leur efficacité sur le terrain. Il s’agit maintenant de trouver un moyen d’agir dans le domaine des réseaux sociaux pour préserver leur réputation, à l’instar des entreprises privées.

On le voit la société numérique impacte, parfois pour le pire, mais souvent pour le meilleur, tous les pans de la société.

 

L’impact social de la technologie: la vidéo

Récemment, ELCA a été reconnue pour son engagement par Microsoft. Une vidéo illustre comment la technologie peut soutenir les réfugiés et les victimes de guerre et de crise dans le monde: Vidéo: l’impact social de la technologie