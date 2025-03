Lecture Zen Résumer l'article

Spoiler: faute de temps et d’énergie à consacrer à la sécurité informatique, il y a du boulot.

Novembre dernier. Cette organisation non gouvernementale (ONG) découvre qu’il y a un problème avec son serveur de messagerie. Quelqu’un a manifestement pris le contrôle d’un compte utilisé pour propager des liens malveillants destinés à récupérer de nouveaux identifiants et mots de passe. Les volontaires du CyberPeace Institute, une structure créée à Genève en 2019 qui veut promouvoir la paix et la justice dans le cyberespace, sont appelés à la rescousse. « Il s’agissait probablement d’une perte de contrôle à la suite d’une fuite de données d’un compte de messagerie, pas protégé par une authentification à plusieurs facteurs », analyse Fabien Leimgruber, le responsable de la cyber-résilience du CyberPeace Institute.

Autre exemple avec cette ONG basée en Suisse, victime d’une attaque par défacement au printemps. Cette fois-ci, c’est la trace d’un logiciel malveillant qui modifiait le code source des pages pour rediriger les visiteurs vers des sites tiers qui avait été retrouvée. Des failles de sécurité informatique basiques mais à l’image des besoins. Car ce genre d’organisations — le jeudi 27 février, consacrée « journée mondiale des ONG » , une célébration poussée par l’Union européenne, leur est dédiée — est souvent sans spécialiste de cybersécurité, avec une personne qui cumule « les casquettes de la finance, de l’IT et de la cyber », relève Fabien Leimgruber.

📢 Let’s celebrate World NGO Day together! The Conference of INGOs of the Council of Europe is hosting a webinar featuring guest speakers from civil society organisations and experts. 🗓️ Date: 28 February 🕒 Time: 13.00 – 16.15 (CET) 🌐 Online 🔗 Register now: www.coe.int/en/web/ingo/…



[image or embed]— Council of Europe (@coe.int) 27 février 2025 à 09:39

Souvent, la mission prime sur le reste

Les ONG consacrent en effet d’abord leur énergie à leur mission et à la recherche de fonds. Et ce encore plus aujourd’hui avec la coupe dans les financements de l’agence américaine USAID. « La mission prime, confirme Bénédicte, la responsable sécurité et sûreté d’une ONG humanitaire. Nous avons nécessairement moins de moyens à mettre dans les fonctions support. »

Pourtant, ces organisations peuvent devenir des victimes, par opportunisme des attaquants ou parce qu’elles sont ciblées. En janvier 2022, le Comité international de la Croix-Rouge découvrait par exemple le piratage de ses serveurs hébergeant les données personnelles de 515 000 personnes, une attaque ciblée jugée sophistiquée qui avait commencé en novembre 2021. Quinze ans plus tôt, en France, Greenpeace avait été victime d’un piratage informatique mené dans l’entourage d’une officine de renseignements travaillant pour l’électricien EDF.

La Croix-Rouge a été ciblée par un piratage notable il y a quelques années. // Source : Matthias Zomer

Pour aider les ONG à mieux se protéger, le CyberPeace Institute, une structure d’une trentaine de personnes financée par Microsoft ou encore la fondation Ford, a mis sur pied il y a quatre ans son programme « Builders ». Concrètement, il s’agit de mettre à disposition les compétences de bénévoles, issus du secteur privé, au profit de ces structures associatives, en les aidant à travers une trentaine de missions thématiques destinées à prévenir des attaques.

Revoir les bases de la sécurité informatique

Assez classiquement, une première phase d’audit sert à identifier les points de vulnérabilité et d’amélioration. Après ce premier état des lieux, il s’agit par exemple d’aider les bénéficiaires à rédiger une politique de sécurité informatique, de les accompagner dans l’identification de leurs actifs numériques, ou de les assister dans la mise en place de bonnes pratiques en matière de protection de la donnée.

Les volontaires peuvent être également appelés à faire l’analyse des sites web des ONG aidées. Il s’agit alors de vérifier s’il n’y a pas de brèche béante et de prendre le temps d’expliquer comment mieux faire. « La majorité des petites organisations utilisent une solution comme WordPress qui a été mise en place par un bénévole ou un voisin voulant aider, résume Fabien Leimgruber. Le problème, c’est qu’une fois le site mis en place, l’ONG n’a pas les connaissances pour faire le suivi des mises à jour, des nouvelles versions ou des plugins défectueux. »

Dans l’organisation humanitaire de Bénédicte, une campagne de sensibilisation a par exemple été menée autour de l’hygiène numérique, de l’identification du hameçonnage à la maîtrise d’outils de sécurité. Sa structure, suivie depuis 2022, est désormais alertée en cas de fuite de couples identifiants-mots de passe, l’un des services de veille proposés à la manière du célèbre Have I Been Pwned.

Être flexible face à la réalité des besoins et du terrain

« Trop souvent, nous sommes confrontés à des organisations n’ayant pas activé l’authentification multi-facteur (MFA) » , avec des utilisateurs ayant la mauvaise habitude d’utiliser le même mot de passe pour différents comptes, déplore Fabien Leimgruber. Résultat : la compromission d’un mot de passe peut aboutir au détournement d’un compte utilisé sur les réseaux sociaux ou au piratage d’une messagerie, par exemple.

Avec toutefois une spécificité de l’humanitaire : parfois, l’impératif de la mission — sauver des vies, par exemple — peut nécessiter l’interruption ponctuelle du MFA, par exemple, « parce que le blocage d’un compte pourrait avoir un impact », relève Bénédicte. Par définition, ce genre d’assistance peut se révéler très intrusive. « Échanger et partager peut faire peur, mais pour pouvoir aider, il faut parfois pouvoir accéder à des données sensibles », souligne Fabien Leimgruber. Ces volontaires « nous accompagnent, mais on ne leur donne pas non plus les clés de la baraque, on garde la maîtrise de nos systèmes », tempère Bénédicte.

Le filtre des grandes entreprises

Pour gagner la confiance des ONG, le CyberPeace Institute a trouvé une solution. Plutôt que de dénicher un à un des bénévoles, la structure passe par les grandes entreprises privées. Ce sont ces organisations partenaires qui sélectionnent des volontaires, chargés principalement d’actions de formation ou d’évaluation de la sécurité. En échange, ces dernières y trouvent des actions valorisantes à proposer à leurs salariés, des projets qui leur permettent de montrer qu’elles ont la fibre éthique.

Aujourd’hui, ils sont désormais près de 1 400, issus d’environ 300 entreprises, à avoir donné de leur temps, au total environ 2 500 heures, pour 454 ONG. « Nous privilégions des engagements courts, car la plupart des ONG n’ont pas beaucoup de temps, précise Fabien Leimgruber. Mais même des missions brèves peuvent les aider à avancer dans leurs réflexions. Et elles peuvent ainsi accéder à des experts qu’elles ne pourraient pas se payer. »

Amaury Bertaud, le responsable du système d’information et de la technologie numérique de Gret, une ONG de développement social et solidaire, a ainsi été assisté de professionnels travaillant depuis l’Afrique du sud, l’Écosse ou encore la France, lui permettant de bénéficier d’un coup de main pour améliorer la sauvegarde des données. Cette organisation qui rassemble 800 personnes environ planche désormais, à son rythme, sur la migration de ses serveurs. « Sans les conseils des bénévoles, nous n’aurions pas réussi aussi bien ces projets, relève-t-il. Et cela sert d’argumentaire pour convaincre en interne, car ce sont des volontaires professionnels qui nous suivent. »

