Rapport analytique
Les ONG au service de l'humanité en danger : les cybermenaces qui pèsent sur la "Genève internationale"

• Aux autorités publiques suisses de reconnaitre les ONG comme des parties prenantes ayant des besoins spécifiques auxquels elles accordent une attention particulière. Compte tenu du rôle des ONG, la promotion de leur cybersécurité devrait être fortement intégrée dans les politiques publiques.
• Aux ONG basées à Genève de définir et mettre en œuvre des politiques et pratiques de gouvernance en matière de cybersécurité, y compris une politique en matière de cybersécurité, un plan d’intervention en cas d’incident et un inventaire des actifs.
• Au CyberPeace Institute et à ses partenaires du monde académique et de la société civile d’intensifier leurs efforts pour documenter, suivre et analyser les cyberattaques menées contre des ONG appartenant à l’écosystème genevois, ainsi que toute mesure de responsabilisation prise par la suite, y compris les poursuites engagées contre les auteurs de ces attaques.

• Aux autorités publiques suisses de reconnaître les besoins spécifiques des ONG. En cas d’utilisation de rançongiciels, des enquêtes sur les flux financiers découlant de stratagèmes d’extorsion devraient être menées afin d’entraver les activités des auteurs des menaces. Les autorités publiques doivent maintenir leur effort de décourager le paiement des rançons en soulignant qu’elles financent directement le crime organisé et encouragent à commettre d’autres cyberattaques.
• Aux autorités publiques suisses, en concertation avec le Centre national pour la cybersécurité (NCSC), de promouvoir activement le signalement transparent des cyberattaques menées contre des ONG, notamment afin d’éclairer les législateurs dans l’élaboration des lois et des règlements. Des garanties solides doivent être mises en place pour protéger la confidentialité et l’intégrité de ces informations.

• Aux entreprises de cybersécurité basées à Genève et aux entreprises qui emploient des professionnels de la cybersécurité, de s’associer au programme des CyberPeace Builders et offrir leurs compétences pour aider les ONG basées à Genève.
• Aux ONG de à mieux comprendre les menaces auxquelles elles sont confrontées. Les autorités publiques suisses devraient faciliter l’étude des cybermenaces existantes et potentielles auxquelles sont confrontées les ONG. Les initiatives de collaboration avec les universités et les organisations de la société civile peuvent jouer un rôle déterminant dans l’acquisition de connaissances sur les cyberattaques et leur impact sur les ONG.
• A l’écosystème local de s’engager avec les médias qui font des reportages sur les cyberattaques afin de témoigner de l’impact humain de ces attaques sur les ONG et leurs bénéficiaires.

• Nous recommandons de continuer à allouer des ressources permettant d’améliorer les connaissances et les compétences relatives à la cybersécurité dans les ONG. Cela comprend la création de pôles d’expertise (e.g CyberClinic) pour aider les ONG à développer des capacités internes par la formation, ou l’externalisation auprès de prestataires externes, le cas échéant. Les autorités publiques et les universitaires suisses ont un rôle à jouer particulier à cet égard.

• Aux entreprises et à la société civile locales de collaborer afin de partager des informations de manière sécurisée sur les menaces d’attaques contre des ONG et sur les vulnérabilités que les auteurs de menaces exploitent sans problème.
• Aux CyberPeace Institute et ses partenaires de créer et déployer des produits de cybersécurité gratuits pour les ONG et de former des partenariats avec des entreprises privées basées à Genève afin d’offrir gratuitement leurs solutions aux ONG locales.

Suivre les instructions et les conseils du Centre national pour la cybersécurité (NCSC). Le site internet du NCSC fournit des informations et des conseils sur différents sujets, comme les cybermenaces et les cyber incidents, les considérations technologiques, ainsi que la sensibilisation et la prévention. Les ONG peuvent aussi signaler sur ce site internet des incidents et des vulnérabilités en matière de cybersécurité.

Signaler les cyber incidents aux services de police suisse compétent et au NCSC.

Rejoindre le programme CyberPeace Builders ou tout autre programme similaire pour bénéficier d’une assistance en matière de cybersécurité.

Organiser des simulations afin d’éprouver leurs politiques et pratiques en matière de cybersécurité. Les ONG devraient aussi régulièrement organiser des programmes de sensibilisation et de formation à la sécurité pour tous les membres du personnel, y compris les membres du conseil d’administration et les équipes de direction. Une formation spécialisée sur les attaques d’ingénierie sociale, comme des exercices d’hameçonnage, devrait également être offerte. Les ONG devraient, de plus, faire des analyses de vulnérabilité de leurs actifs numériques et veiller à suivre les dernières recommandations en matière de sécurité.

Tenir à jour des documents officiels décrivant leurs politiques et procédures en matière de cybersécurité, en mettant particulièrement l’accent sur la gestion des logiciels. La mise à jour régulière des logiciels, la suppression des logiciels non pris en charge ou inutilisés et la désactivation des comptes d’utilisateurs inutiles doivent être considérées comme des pratiques exemplaires.

Établir des processus et des procédures clairs pour l’identification et la mise en œuvre des outils de cybersécurité. Il s’agit notamment de l’authentification multifactorielle (MFA), des antivirus de nouvelle génération (NGAV), des pare-feu, des gestionnaires de mots de passe, des réseaux privés virtuels (VPN) et des systèmes de prévention de la perte de données (DLP).

Élaborer des procédures de sauvegarde solides afin d’atténuer l’impact des cyberattaques, des défaillances d’infrastructure, des pannes ou des événements imprévus. Ces procédures doivent être documentées et régulièrement testées.

Afin de protéger efficacement leurs services Web, les ONG doivent documenter les processus de protection des interfaces d’administration dorsale avec un proxy inverse masquant les adresses IP et un traitement sécurisé des requêtes. En outre, elles devraient mettre en place un système de noms de domaine (DNS) et des solutions de proxy réseau offrant une protection contre les attaques DDoS et des émetteurs de certificats pour la protection des sites Web.

Fournir des conseils clairs à leurs utilisateurs pour vérifier si leurs comptes de messagerie privés et professionnels sont apparus dans des atteintes connues à la sécurité des données. Elles devraient également établir des procédures documentées à suivre en cas de violations.

Programmer des audits de sécurité réguliers menés par des experts externes, en documentant le processus d’audit et ses résultats.

Établir des conventions de dénomination documentées, avec des règles cohérentes pour la dénomination des comptes, afin de faciliter la gestion de la cybersécurité.

Documenter les processus d’examen et de vérification réguliers de la sécurité des comptes externes.

Afin de réduire les risques de sécurité, les ONG se doivent de tenir à jour des documents officiels décrivant les procédures limitant les privilèges d’administration à un nombre minimal d’utilisateurs de confiance.

Documenter les mesures de sécurité qui garantissent que tous les ports sont sécurisés par un cryptage SSL afin d’empêcher des utilisateurs non autorisés d’intercepter des données.

Suivre les pratiques exemplaires documentées en ce qui concerne la sécurité du courrier électronique, y compris DomainKeys Identified Mail (DKIM) et Domain-based Message Authentication, Reporting and Conformance (DMARC).