Retenez bien ces chiffres : Plus de 50 % des ONG ont déjà été la cible de cyberattaques, selon des statistiques diffusées en janvier de cette année par l’organisation CyberPeace Institute. Or 80 % d’entre elles présentaient des systèmes de protection défaillants. Saviez-vous que 18 minutes en moyenne suffisent à un hacker pour infiltrer un système informatique ? 18 minutes. En clair, à peine l’attaque a été repérée qu’il est peut-être déjà trop tard.
Ces chiffres sont assez alarmants, car l’on parle d’organisations qui viennent en aide à des populations fragilisées, à des réfugiés, des victimes de catastrophes naturelles, de guerres, de maladies ou de violations des droits humains. Alarmants aussi, car ces ONG détiennent de grandes quantités de données personnelles dont la confidentialité est souvent une question de vie ou de mort.
La stratégie de sécurité numérique des ONG est donc vitale, raison pour laquelle la société ELCA a organisé ce printemps un colloque sur la question, à Genève. La ville du bout du lac abrite 39 institutions et organismes internationaux et plus de 750 ONG. Elle est aussi l’un des hubs mondiaux de la régulation des technologies liées à internet.
Des données hautement sensibles
On l’a dit, si les ONG sont des cibles de choix pour les pirates du net, c’est qu’elles détiennent des informations hautement sensibles, tant au sujet de leurs donateurs que de leurs bénéficiaires ou de leurs employés. Ces dernières années ont vu les attaques se multiplier, même contre les plus grandes d’entre elles. En mai 2021, c’était le principal organisme d’aide au développement de Nouvelle-Zélande, le « Volunteer Service Abroad » qui était visé. Autre exemple, l’organisation « Save the Children », qui avait été rançonnée à hauteur d’un million de dollars.
Les problèmes de cybersécurité se sont également fortement accrus pour les plus petites ONG, avec le développement du télétravail et le stockage de données sensibles dans des endroits non sécurisés. Nombre d’entre elles travaillent par ailleurs dans des régions dont les infrastructures limitées peuvent les exposer, ainsi que leurs employés, à des risques cyber importants. Les ONG peuvent aussi être la cible de cyberattaques à caractère politique, comme le défaçage de sites web.
L’identité des ONG comme leurs sites web peuvent être utilisés pour propager de fausses informations, des « fake news », voire dans les cas les plus graves, pour détourner des financements participatifs.
Les bonnes questions à se poser
Les ONG ont pris conscience de la cybermenace mais elles n’ont souvent pas les ressources internes pour se protéger. Elles consacrent la priorité de leurs dons à l’aide aux victimes dont elles ont la charge. D’où l’importance pour elles, dans un premier temps, de dresser un état des lieux des menaces et de leur vulnérabilité, puis d’établir un processus interne de gestion de crise, en cas de cyberattaque.
Les ONG peuvent se faire accompagner dans ces démarches de protection des données par des partenariats avec le privé, de la mise en œuvre des exigences à l’évaluation et à l’audit, en passant par les outils d’authentification et de cryptage. Il est aussi primordial qu’elles soient en lien avec un SOC, soit un centre opérationnel de sécurité, qui possède une système d’alerte et de contrôle qui fonctionne en permanence. Une ONG peut être basée à Genève et avoir des équipes à Haïti par exemple, ce qui nécessite une permanence qu’elles ne peuvent bien souvent pas mettre sur pied. En cas d’attaque, il est primordial de pouvoir réagir très rapidement. On sait par ailleurs que les hackers agissent souvent la nuit, lorsqu’il n’y a personne derrière les bureaux. D’où l’importance d’une collaboration avec des partenaires extérieurs.
Lors du colloque de ce printemps, ELCASecurity et Senthorus, deux entités d’ELCA basées à Genève et spécialisées en cybersécurité, ont pu échanger avec les ONG. Senthorus a mis sur pied un service dédié, avec une équipe de professionnels de la sécurité qui opèrent en permanence, 7 jours sur 7 et 24 heures sur 24, plaçant la ville du bout du lac comme un centre de lutte contre la cybercriminalité. L’une des idées-forces qui est ressortie des échanges est l’importance pour les ONG de se regrouper, de mettre en commun leur moyen pour assurer une défense efficace contre les cyberattaques, en lien avec un SOC. Les PME ou les petites communes ont exactement les mêmes défis à relever. Elles contiennent suffisamment de données pour intéresser les hackers, elles sont trop petites pour se défendre toutes seules. Il y a là tout un champ stratégique à développer, car plus personne n’est épargné par la cybercriminalité et les ONG représentent des cibles de choix.