Rapport analytique
Les ONG au service de l'humanité en danger : les cybermenaces qui pèsent sur la "Genève internationale"
Au cœur de la Genève internationale prospère un vibrant écosystème abritant 38 organisations internationales (OI) et 432 organisations non gouvernementales (ONG) auxquelles s’ajoutent plusieurs centaines d’associations actives au plan international, toutes unies par une mission commune : faire du monde un lieu de paix et de justice. Les ONG sont les héros méconnus de cette mission, intervenant en cas de conflit armé, de catastrophe naturelle et de crise humanitaire, défendant les droits de l’homme et contribuant à la réalisation des objectifs du développement durable (ODD). Comme de nombreuses organisations, les ONG sont utilisatrices de technologies numériques, essentielles à projeter leurs opérations à l’international en temps réel. Cette accélération technologique est une chance, mais crée également de nouveaux défis.
Et de nouvelles menaces.
En effet, alors qu’elles se battent pour notre bien commun, les ONG doivent aussi lutter contre toutes les formes de cyberattaques. Espionnage, rançongiciel, fraude, désinformation, dans le cyberespace, les ONG sont les variables d’ajustement de la pire des équations. D’un côté, elles sont ciblées par tous les types d’acteurs malveillants - groupes criminels, acteurs étatiques, groupes terroristes ou hacktivistes, motivés tour à tour par l’appât du gain, le vol de données ou la destruction des systèmes - de l’autre, elles n’ont pas les moyens humains ou financiers de se protéger.
À Genève, le CyberPeace Institute participe à la protection de ces héros. Nos services de cybersécurité pour les ONG comprennent une cartographie des menaces, de la main d’œuvre qualifiée, des notifications d’alerte et, enfin et surtout, des recommandations stratégiques aux donateurs et aux décideurs publics et privés. Tout cela est gratuit et adapté à la réalité opérationnelle des ONG.
Ce rapport propose des recommandations concrètes à l’intention des ONG, des donateurs et des États. Il donne un aperçu de la maturité des ONG pour ce qui est de prévenir, de détecter et de répondre aux cyberattaques. S’appuyant sur des données jamais exploitées jusqu’à ce jour, y compris le résultat d’entrevues avec des professionnels de terrain, ce rapport a pour ambition d’aider les ONG à renforcer leur résilience de façon pérenne et de devenir les acteurs principaux de leur cybersécurité.
Sous l’impulsion et avec le soutien de la République et du Canton de Genève, nous avons produit ce rapport qui propose des recommandations concrètes à l’intention des ONG, des donateurs et des États.
Conclusions
- 41 % des ONG déclarent avoir été victimes d’une cyberattaque dans les trois dernières années.
- Toutes les ONG qui ont été victimes d’attaques déclarent qu’il ne s’agissait pas d’incidents isolés. La fréquence de ces incidents varie, certaines ONG y étant confrontées quotidiennement, tandis que d’autres y font face une fois par mois ou par an.
- 70 % des ONG ne pensent pas être suffisamment résilientes ou ne savent pas si elles sont suffisamment résilientes pour se remettre d’une cyberattaque perturbatrice.
- Contrairement à des entités reconnues comme faisant partie des infrastructures essentielles, les ONG n’ont pas de désignation sectorielle précise qui leur vaudrait des protections particulières dans le cyberespace.
- Le financement des ONG est généralement réservé à des projets spécifiques et ne prévoit souvent pas de budget pour la cybersécurité même.
- 33 % des ONG déclarent ne pas disposer d’une assistance informatique ou de compétences techniques, et 56 % des ONG déclarent ne pas affecter de budget à leurs besoins en matière de cybersécurité.
- Les ONG reconnaissent généralement différentes menaces potentielles, comme l’ingénierie sociale, les rançongiciels et autres maliciels. Seules 4 % ont une politique de cybersécurité concrète.
- 85 % des ONG savent combien il est important de sensibiliser leurs employés à la cybersécurité, mais seulement 52 % leur font suivre régulièrement les formations nécessaires.
- Les ONG doivent composer avec l’évolution rapide de la réglementation, des normes et des lois relatives à l’utilisation de la technologie et des obligations en cas de cyberattaques, par exemple, les obligations de protection des données en cas d’atteinte à la sécurité des données.
- Les outils de cybersécurité en libre accès ne sont pas adaptés aux modèles de fonctionnement et de gestion particuliers des ONG. Il ne suffit pas d’avoir connaissance de ces outils et d’y avoir accès pour assurer durablement leur cybersécurité.
- Il faut aux ONG plus que des outils et des connaissances : il leur faut surtout des moyens humains pour penser une stratégie de cybersécurité et assurer son suivi opérationnel.
Recommandations à l’intention de la Genève internationale
Les conclusions du rapport éclairent sur les défis majeurs que doivent relever les organisations non gouvernementales (ONG) de la Genève internationale en matière de cybersécurité, et les recommandations suivantes proposent une feuille de route. Ces recommandations, qui sont structurées selon un cadre de renforcement des cyber capacités élaboré par l'Institut des Nations Unies pour la recherche sur le désarmement (UNIDIR), portent sur cinq principaux piliers : les documents officiels, les processus et structures, les partenariats et réseaux, les personnes et les compétences, et la technologie.
- Aux autorités publiques suisses de reconnaitre les ONG comme des parties prenantes ayant des besoins spécifiques auxquels elles accordent une attention particulière. Compte tenu du rôle des ONG, la promotion de leur cybersécurité devrait être fortement intégrée dans les politiques publiques.
- Aux ONG basées à Genève de définir et mettre en œuvre des politiques et pratiques de gouvernance en matière de cybersécurité, y compris une politique en matière de cybersécurité, un plan d’intervention en cas d’incident et un inventaire des actifs.
- Au CyberPeace Institute et à ses partenaires du monde académique et de la société civile d’intensifier leurs efforts pour documenter, suivre et analyser les cyberattaques menées contre des ONG appartenant à l’écosystème genevois, ainsi que toute mesure de responsabilisation prise par la suite, y compris les poursuites engagées contre les auteurs de ces attaques.
- Aux autorités publiques suisses de reconnaître les besoins spécifiques des ONG. En cas d’utilisation de rançongiciels, des enquêtes sur les flux financiers découlant de stratagèmes d’extorsion devraient être menées afin d’entraver les activités des auteurs des menaces. Les autorités publiques doivent maintenir leur effort de décourager le paiement des rançons en soulignant qu’elles financent directement le crime organisé et encouragent à commettre d’autres cyberattaques.
- Aux autorités publiques suisses, en concertation avec le Centre national pour la cybersécurité (NCSC), de promouvoir activement le signalement transparent des cyberattaques menées contre des ONG, notamment afin d’éclairer les législateurs dans l’élaboration des lois et des règlements. Des garanties solides doivent être mises en place pour protéger la confidentialité et l’intégrité de ces informations.
- Aux entreprises de cybersécurité basées à Genève et aux entreprises qui emploient des professionnels de la cybersécurité, de s’associer au programme des CyberPeace Builders et offrir leurs compétences pour aider les ONG basées à Genève.
- Aux ONG de à mieux comprendre les menaces auxquelles elles sont confrontées. Les autorités publiques suisses devraient faciliter l’étude des cybermenaces existantes et potentielles auxquelles sont confrontées les ONG. Les initiatives de collaboration avec les universités et les organisations de la société civile peuvent jouer un rôle déterminant dans l’acquisition de connaissances sur les cyberattaques et leur impact sur les ONG.
- A l’écosystème local de s’engager avec les médias qui font des reportages sur les cyberattaques afin de témoigner de l’impact humain de ces attaques sur les ONG et leurs bénéficiaires.
- Nous recommandons de continuer à allouer des ressources permettant d’améliorer les connaissances et les compétences relatives à la cybersécurité dans les ONG. Cela comprend la création de pôles d’expertise (e.g CyberClinic) pour aider les ONG à développer des capacités internes par la formation, ou l’externalisation auprès de prestataires externes, le cas échéant. Les autorités publiques et les universitaires suisses ont un rôle à jouer particulier à cet égard.
- Aux entreprises et à la société civile locales de collaborer afin de partager des informations de manière sécurisée sur les menaces d’attaques contre des ONG et sur les vulnérabilités que les auteurs de menaces exploitent sans problème.
- Aux CyberPeace Institute et ses partenaires de créer et déployer des produits de cybersécurité gratuits pour les ONG et de former des partenariats avec des entreprises privées basées à Genève afin d’offrir gratuitement leurs solutions aux ONG locales.
Recommandations pour les ONG
Suivre les instructions et les conseils du Centre national pour la cybersécurité (NCSC). Le site internet du NCSC fournit des informations et des conseils sur différents sujets, comme les cybermenaces et les cyber incidents, les considérations technologiques, ainsi que la sensibilisation et la prévention. Les ONG peuvent aussi signaler sur ce site internet des incidents et des vulnérabilités en matière de cybersécurité.
Signaler les cyber incidents aux services de police suisse compétent et au NCSC.
Rejoindre le programme CyberPeace Builders ou tout autre programme similaire pour bénéficier d’une assistance en matière de cybersécurité.
Organiser des simulations afin d’éprouver leurs politiques et pratiques en matière de cybersécurité. Les ONG devraient aussi régulièrement organiser des programmes de sensibilisation et de formation à la sécurité pour tous les membres du personnel, y compris les membres du conseil d’administration et les équipes de direction. Une formation spécialisée sur les attaques d’ingénierie sociale, comme des exercices d’hameçonnage, devrait également être offerte. Les ONG devraient, de plus, faire des analyses de vulnérabilité de leurs actifs numériques et veiller à suivre les dernières recommandations en matière de sécurité.
Tenir à jour des documents officiels décrivant leurs politiques et procédures en matière de cybersécurité, en mettant particulièrement l’accent sur la gestion des logiciels. La mise à jour régulière des logiciels, la suppression des logiciels non pris en charge ou inutilisés et la désactivation des comptes d’utilisateurs inutiles doivent être considérées comme des pratiques exemplaires.
Établir des processus et des procédures clairs pour l’identification et la mise en œuvre des outils de cybersécurité. Il s’agit notamment de l’authentification multifactorielle (MFA), des antivirus de nouvelle génération (NGAV), des pare-feu, des gestionnaires de mots de passe, des réseaux privés virtuels (VPN) et des systèmes de prévention de la perte de données (DLP).
Élaborer des procédures de sauvegarde solides afin d’atténuer l’impact des cyberattaques, des défaillances d’infrastructure, des pannes ou des événements imprévus. Ces procédures doivent être documentées et régulièrement testées.
Afin de protéger efficacement leurs services Web, les ONG doivent documenter les processus de protection des interfaces d’administration dorsale avec un proxy inverse masquant les adresses IP et un traitement sécurisé des requêtes. En outre, elles devraient mettre en place un système de noms de domaine (DNS) et des solutions de proxy réseau offrant une protection contre les attaques DDoS et des émetteurs de certificats pour la protection des sites Web.
Fournir des conseils clairs à leurs utilisateurs pour vérifier si leurs comptes de messagerie privés et professionnels sont apparus dans des atteintes connues à la sécurité des données. Elles devraient également établir des procédures documentées à suivre en cas de violations.
Programmer des audits de sécurité réguliers menés par des experts externes, en documentant le processus d’audit et ses résultats.
Établir des conventions de dénomination documentées, avec des règles cohérentes pour la dénomination des comptes, afin de faciliter la gestion de la cybersécurité.
Documenter les processus d’examen et de vérification réguliers de la sécurité des comptes externes.
Afin de réduire les risques de sécurité, les ONG se doivent de tenir à jour des documents officiels décrivant les procédures limitant les privilèges d’administration à un nombre minimal d’utilisateurs de confiance.
Documenter les mesures de sécurité qui garantissent que tous les ports sont sécurisés par un cryptage SSL afin d’empêcher des utilisateurs non autorisés d’intercepter des données.
Suivre les pratiques exemplaires documentées en ce qui concerne la sécurité du courrier électronique, y compris DomainKeys Identified Mail (DKIM) et Domain-based Message Authentication, Reporting and Conformance (DMARC).
CyberPeace Builders
Les ONG peuvent également rejoindre le programme CyberPeace Builders de l’Institut ou tout autre programme similaire pour bénéficier d’une assistance en matière de cybersécurité.