Par Balthasar Staehelin
En janvier 2022, le Comité international de la Croix-Rouge (CICR) a détecté que des serveurs hébergeant des données personnelles appartenant à plus de 515 000 personnes du monde entier avaient été piratés au cours de ce qui s’est avéré une cyberattaque sophistiquée. Ces données issues de 57 Sociétés nationales de la Croix-Rouge et du Croissant-Rouge et du CICR avaient été recueillies dans le contexte de la réunification de familles séparées. L’événement a confirmé ce que de nombreuses personnes craignaient : la tendance croissante des cyberattaques n’épargnerait pas le secteur humanitaire.
De telles attaques à l’encontre des acteurs humanitaires sont particulièrement alarmantes car elles pourraient s’avérer directement préjudiciables pour des personnes dans le besoin et perturber les services vitaux dont ces populations bénéficient. Dans les situations de piratage informatique, si des données sensibles venaient à tomber entre de mauvaises mains, la confiance sur laquelle repose l’accès humanitaire pourrait s’en trouver affectée.
La mise en place d’une communication immédiate et transparente au sujet de l’attaque auprès des partenaires et du public a constitué le coup d’envoi de la réponse de crise pluridimensionnelle du CICR. Les mesures ont inclus le maintien des services humanitaires par l’intermédiaire de solutions de contournement de base, le lancement de campagnes d’information pour les personnes touchées, la réalisation d’évaluations des risques en matière de protection, la reconstruction et le déploiement des systèmes piratés en les dotant de paramètres de sécurité renforcés, la fortification de l’environnement informatique global du CICR, la mise à disposition d’un soutien aux Sociétés nationales de la Croix-Rouge et du Croissant-Rouge concernées, l’implication des donateurs et partenaires et la veille sur le dark web afin de détecter tout·e publication ou échange possible des données potentiellement exfiltrées (ce qui, à la connaissance du CICR, ne s’est pas produit à ce jour).
Une crise permet toujours d’apprendre et de progresser. Cette attaque met en lumière l’importance du respect envers les acteurs humanitaires, pas seulement dans le monde physique mais également dans le cyberespace, où les données humanitaires ne doivent jamais être piratées ou utilisées à des fins autres qu’humanitaires. Ce caractère « saint » des données humanitaires constitue un objectif fondamental en matière de politique que le Mouvement de la Croix-Rouge et du Croissant-Rouge cherche désormais à réaliser.
Les technologies numériques ont un impact majeur sur les environnements de conflit, les personnes et les organisations qui y travaillent.
Les technologies numériques ont un impact majeur sur les environnements de conflits, les personnes et les organisations qui y évoluent. Le CICR est depuis longtemps convaincu que pour parvenir à réaliser son mandat de protection et d’assistance aux victimes de conflits armés, il doit comprendre l’impact de ces technologies, les utiliser lorsque c’est possible pour aider les personnes et chercher à prévenir ou à atténuer les répercussions dans les situations où les technologies peuvent contribuer à des préjudices.
À ce titre, le choix de la technologie et la gestion des données ne peuvent pas s’envisager uniquement depuis une perspective purement technique. Ces deux aspects s’accompagnent de ramifications opérationnelles, juridiques et politiques importantes, qui nécessitent une considération et des investissements connexes à la hauteur des enjeux.
Dans cet esprit, en 2015, le CICR a adopté des règles contraignantes concernant la protection des données personnelles, dont la mise en œuvre est supervisée par le Bureau de la protection des données et la Commission de protection des données. Le CICR a récemment établi une délégation consacrée au cyberespace, basée au Luxembourg, en faisant un banc d’essai sécurisé pour la recherche et le développement sur les questions de technologie, de politique, de modalités de fonctionnement et de droit liées au cyberespace. En collaboration avec l’Institut fédéral suisse de technologie, il met désormais au point des solutions innovantes afin de protéger ses données dans le cyberespace. Il plaide également en faveur de la création d’un « emblème numérique » indiquant clairement dans le cyberespace que l’entité ainsi signalée jouit d’une protection spéciale au titre du droit international humanitaire et doit être protégée des préjudices.
Ces initiatives mettent en lumière la nécessité croissante pour un acteur humanitaire tel que le CICR de gérer son « empreinte » dans le cyberespace. Cela permettrait de préserver les personnes auprès desquelles il intervient en adoptant une approche centrée sur la protection et en respectant les principes fondamentaux d’impartialité, d’humanité, de neutralité et d’indépendance.
La coopération internationale diminue, les tensions augmentent et les cyberopérations se multiplient dans tous les secteurs.
À l’avenir, le secteur humanitaire doit se préparer à un environnement difficile. La coopération internationale s’atténue, les tensions se renforcent et les cyberopérations prolifèrent sur l’ensemble des secteurs. Le scénario le plus probable auquel les organisations humanitaires seront confrontées en matière de menaces inclura des attaques par logiciels rançonneurs, des piratages et fuites, des attaques par déni de service et des opérations diffusant des informations erronées sur leur travail dans l’objectif de discréditer leur action, comme cela a été observé dans le contexte du conflit armé international entre la Russie et l’Ukraine. S’il est de plus en plus conscient des risques, le secteur humanitaire est extrêmement sous-préparé lorsqu’il s’agit d’y répondre.
Alors quelles actions peuvent être mises en œuvre en 2023 et au-delà, en gardant à l’esprit que des murs plus élevés (dotés d’une cyberdéfense technique plus solide) sont nécessaires mais ne seront pas suffisants et qu’aucune entité ne peut réussir seule ?
Le secteur humanitaire devra accélérer ses efforts pour développer un état d’esprit favorisant l’action collective et mettre en œuvre des mesures de bon sens qui amélioreront sa conscience des risques et sa sécurité. Celles-ci doivent inclure : des réseaux et systèmes de données humanitaires qui ont été créés pour la protection ; la montée en compétences du personnel pour répondre aux nouveaux défis ; l’utilisation responsable et éthique de la technologie, adaptée au contexte local et aux personnes auxquelles son usage a vocation à venir en aide ; la création d’un centre d’information collectif où les informations sur les cyberincidents sont mises en commun ; et le plaidoyer auprès des donateurs en faveur d’un financement suffisant des mesures de cybersécurité.
La communauté des donateurs doit financer de manière constante la cybersécurité, requérir les politiques et l’application appropriées en matière de protection des données et de cybersécurité dans le cadre de l’octroi de leurs financements et s’abstenir de demander la collecte, l’analyse et/ou la diffusion de données qui pourraient mettre des personnes en danger. Il est manifeste que la protection des données personnelles implique la protection des personnes. Les considérations éthiques doivent avoir une incidence sur les projets d’innovation.
Dans le même temps, les États doivent s’engager, de manière publique comme privée, et mettre en œuvre les mesures adaptées pour prévenir et empêcher les cyberattaques qui ciblent les organisations humanitaires, leur personnel, leurs infrastructures numériques et les données qu’elles collectent, stockent et utilisent pour mener à bien leur mission. Les États doivent faire en sorte que les auteurs de telles cyberattaques rendent des comptes. Ils doivent également s’abstenir de demander des données si elles peuvent être amenées à être utilisées à des fins autres qu’humanitaires.
En outre, le secteur privé, qu’il intervienne de manière indirecte en tant que fournisseur de technologie ou qu’il contribue de manière plus active à une intervention humanitaire, doit adopter une approche sensible aux conflits. Au cours d’une coopération avec une organisation humanitaire, il doit investir pour en apprendre davantage sur les principes et l’éthique humanitaires afin à la fois d’améliorer la collaboration et de préserver la sécurité et la dignité des personnes vulnérables.
Enfin, la Suisse tout autant que Genève, grands soutiens historiques de l’action humanitaire, doivent encourager et soutenir les initiatives mentionnées. Les mesures concrètes peuvent inclure : l’hébergement d’un centre sur les cyberincidents humanitaires pour la mise en commun et l’analyse des informations ; l’appui de la mise au point d’un cloud sécurisé pour les données humanitaires ; l’organisation et l’animation de discussions visant l’adoption de politiques et de mesures spécifiques au secteur et l’action gouvernementale au sujet des lois, des politiques et des mesures, dans l’objectif de faire progresser la cybersécurité et la protection des données dans le secteur humanitaire ; et le soutien de la recherche et du développement dans ce domaine. La XXXIVe Conférence internationale de la Croix-Rouge et du Croissant-Rouge en 2024 devrait constituer un moment important pour permettre de dresser un bilan et de poursuivre les actions.
Si les étapes proposées ne couvrent pas l’ensemble des opportunités et risques associé·e·s aux technologies et conflits numériques, elles placeraient toutefois le secteur humanitaire en bonne position pour renforcer sa cybersécurité globale. Un progrès solide, réaliste et mesurable dans cet esprit ne pourra qu’être bénéfique aux acteurs humanitaires et aux populations qu’ils cherchent à protéger et à aider.
À propos de l’auteur
Balthasar Staehelin est directeur de la transformation numérique et des données au Comité international de la Croix-Rouge (CICR). Ancien directeur général adjoint du CICR, il a mené l’intervention de crise suite au piratage de données critiques découvert par le CICR début 2022. Cet article a été rédigé par l’auteur à titre personnel et ne reflète pas nécessairement l’opinion du CICR.
Clause de non responsabilité
Les opinions exprimées dans cette publication sont celles des auteurs. Elles ne prétendent pas refléter les opinions ou les points de vue du Geneva Policy Outlook ou de ses organisations partenaires. Cet article est une traduction d'une version originale en anglais. Pour toute utilisation officielle de l'article, veuillez vous référer à la version anglaise.
