Link Search Menu Expand Document
Boîte à outils gestion responsable de données

8.2 Cybersécurité


TABLE DES MATIÈRES


À retenir

Même si le terme cybersécurité fait peur, et que les ONG se sentent souvent démunies face au sujet, il y a de nombreuses mesures concrètes qui peuvent être facilement mises en œuvre par les ONG, en termes de sécurisation des systèmes et en termes de bonnes pratiques des membres des ONG.

Les acteurs de terrain ont de plus en plus besoin d’assurer une cybersécurité. C’est pourquoi nous exposons ici cette notion, ses spécificités vis-à-vis du secteur et les mesures de protection accessibles pour les ONG.

8.2.1 De quoi parle-t-on ?

Afin de comprendre les enjeux liés à la cybersécurité, il est essentiel de comprendre le périmètre de la cybersécurité.

La cybersécurité est l’état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense (Source : ANSSI). C’est un « sous-ensemble » de la sécurité informatique.

8.2.2 Quels sont les enjeux ?

Le secteur de la solidarité internationale est une cible – comme de nombreux autres – de multiples attaques informatiques. Par exemple, le secteur à but non lucratif est de plus en plus touché par des questions de cybersécurité – c’est aujourd’hui la deuxième cible des cyberattaquant·es après le secteur de l’informatique, telle la plus médiatisée, celle du CICR en 2022 (présentée en FailFest lors du GeOnG 2022, vidéo en anglais). Pourtant, selon une étude menée en 2018, seule 1 ONG sur 10 forme son personnel à la cybersécurité et seule 1 ONG sur 5 dispose de stratégies de cybersécurité et des ressources nécessaires pour se défendre (NTEN 2018 State of Cybersecurity Nonprofit Report, seulement disponible en anglais). De plus, selon le dernier rapport Nethope sur la cybersécurité dans le secteur (téléchargeable en anglais ici) 65% des ONG de la solidarité internationale n’ont pas confiance en leur cybersécurité.

On peut dire que la cybersécurité est un sujet sur lequel les ONG se sentent souvent dépassées, par manque de moyens et de connaissances en la matière, alors qu’il existe de nombreuses actions qu’elles pourraient entreprendre.

Focus sur le secteur de la santé : un domaine fragilisé et ciblé :

Les organisations travaillant dans le domaine de la santé sont particulièrement ciblées : ces attaques sont singulières car elles visent l’ensemble de la société en ciblant des « services étant essentiels et vitaux » : « être garant des vies humaines rend le secteur médical particulièrement vulnérable ».

Ce risque s’est encore renforcé depuis la pandémie de Covid 19. De plus, les impacts de ces cyberattaques sont conséquents et multiples (le CyberPeace Intitute a analysé les cyberattaques dans ce secteur de la santé, leurs impacts et recommande des solutions collectives dans un rapport publié en 2021. Un traceur (uniquement disponible en anglais), suit les incidents sur plus de quarante pays et peut être alimenté par les acteurs de terrain) :

  • « impact sur la santé physique » des personnes dont les soins sont ralentis ou impossibles
  • « impact psychologique » qui diminue « la confiance dans le système de santé »
  • « impact sociétal » qui entraine un « climat de peur, de confusion et de méfiance »
  • « impact économique » (renforcer le système de sécurité des systèmes d’informations, parfois payer la rançon par exemple)

8.2.3 Comment les ONG peuvent-elles appréhender le sujet ?

La cybersécurité est un sujet multiforme, mais pour résumer, la priorité reste de trouver tous les moyens pour limiter les vols / violations de données - en sachant qu’en fonction de l’entité réalisant l’attaque, se protéger est plus ou moins faisable. Mais une très grande majorité des attaques pourraient tout à fait- et donc devraient- être contrées, non seulement au vu la responsabilité que les ONG ont vis-à-vis des populations dont elles détiennent les données, mais également au vu du coût financier pour gérer la violation (voir à nouveau l’expérience du CICR présentée en FailFest au GeOnG 2022, seulement disponible en anglais).

Or, selon le rapport d’enquête 2022 sur les violations de données de Verizon (seulement disponible en anglais), 82% d’entre elles sont liées à une erreur humaine. Sans forcément recruter en interne des expert.es en la matière, les ONG pourraient donc bien mieux se défendre en effectuant un travail auprès des membres de leurs organisations en cyber hygiène. N’hésitez pas à vous référer à la capsule de la section précédente sur la sécurité des systèmes d’information, la cybersécurité étant un sous-ensemble de la sécurité informatique.

Si vous souhaitez mieux vous protéger et mettre en place des plans de contingence, le Solidarity Action Network a développé un Solidarity Playbook sur la cybersecurité (auquel le CyberPeace Institute a récemment contribué avec des études de cas spécifiques, seulement disponible en anglais) qui aide à savoir les mesures de mitigation à mettre en place ainsi que les réponses suite à une violation de données.

Ce guide a dégagé cinq enjeux auxquels les OSC sont confrontées lors d’une attaque :

  • Des ressources contraintes
  • Le manque d’expérience
  • L’inconnu est déstabilisant
  • Equilibre à trouver entre les actions pour répondre à l’attaque et les activités quotidiennes
  • Décider sur quoi communiquer

N’hésitez pas également à vous rapprocher de structures telles le CyberPeace Institute, qui à travers son centre de Cybersécurité humanitaire et son programme de CyberPeace Builders volontaires, soutient gratuitement les ONG dans l’évaluation de leur situation et la mise en œuvre de bonnes pratiques en cybersécurité.

8.2.4 Ressources clés

Voici des ressources supplémentaires pour explorer la cybersécurité et ses enjeux :

  • Nous vous recommandons les ressources pertinentes du Cyberpeace Institute, sur la lutte contre les cyberattaques et l’analyse de leur contexte dans le secteur humanitaire et aussi dans le domaine de la santé.
  • Nous vous invitons à explorer le Solidarity Playbook (seulement disponible en anglais) sur la cybersecurité, de Solidarity Action Network, qui rassemble des études de cas et des bonnes pratiques en la matière, présentant des exemples d’OSC qui ont géré de réelles cyberattaques.
  • Le site du Global Cyber Alliance, une ONG luttant pour réduire les cyber risques, qui a développé des guides et des outils pour accompagner les organisations à améliorer leur cybersécurité.
  • Le CSIS (Center for strategic and international studies), un centre de recherche qui dispose de ressources variées sur la cybersécurité comme des podcasts, articles et rapports sur le sujet (ressources seulement disponibles en anglais).
  • Privacy affairs est un collectif de journalistes, d’expert·es de la cybersécurité, d’avocat·es a produit le dark web price index 2022 et 2023 (seulement disponibles en anglais) qui fait état des prix de différents produits vendus sur le marché noir d’internet (dark web) par les cybercriminel.les.
  • Les ressources de l’institut SANS (seulement disponibles en anglais), fournissent des connaissances pratiques de la cybersécurité à travers des outils, de la documentation et des articles.
  • Le Center for Internet Security (CIS) est une ONG qui propose des outils et des services (seulement disponibles en anglais) pour lutter contre les risques liés aux cyberattaques, des guides et des articles.
  • L’ANSSI a développé deux guides : un guide sur 5 mesures cyber préventives prioritaires, qui ont pour but de réduire la probabilité qu’une cyberattaque se produise et de ses impacts ; ainsi qu’un guide sur la gestion de crise cyber qui comprend des bonnes pratiques et des témoignages d’organisations cibles d’incident majeur.
  • Les notes d’orientation du Centre pour les données humanitaires donnent des informations sur des sujets, des processus et des outils spécifiques liées à la pratique de la gestion responsable des données. Elles sont complémentaires aux Consignes de OCHA sur la responsabilité des données et les Directives operationnelles de l’IASC sur la Responsabilité des données dans l’action humanitaire (disponibles en anglais).
  • Et enfin, le rapport de NetHope sur la cybersécurité dans le secteur de 2023 fait état de la santé des ONG sur le sujet (seulement disponible en anglais).