La cybercriminalité est un fléau qui ne cesse de croître. Les cyberattaques récentes contre Colonial Pipeline par le groupe de pirates DarkSide et contre le géant de l’alimentation JBS montrent combien de telles attaques peuvent paralyser des infrastructures critiques. Sur les 128 cyberincidents majeurs signalés en mai 2021, 40 % entraient dans la catégorie des attaques par rançongiciel. Les ONG, qui pour un grand nombre opèrent dans des secteurs d’activités d’importance vitale tels que la santé ou l’approvisionnement en énergie, ne sont pas à l’abri de cette tendance. Plus de 50 % des ONG déclarent être prises pour cibles, comme en témoigne le nombre grandissant d’incidents ces derniers temps.
Pas plus tard qu’en mai 2021, le principal organisme d’aide au développement de Nouvelle-Zélande, le Volunteer Service Abroad (VSA), a subi une attaque par rançongiciel. Des informations essentielles qui se trouvaient dans ses systèmes de données ont été chiffrées et il en a perdu certaines. VSA, qui a refusé de payer la rançon, s’est depuis remis de l’attaque et a pris des mesures pour éviter d’être à nouveau piégé.
Scripps Health, fournisseur de soins de santé à but non lucratif, s’est retrouvé déconnecté à la suite d’une intrusion dans ses systèmes en mai. En décembre 2020, une banque alimentaire de Philadelphie a été victime d’une attaque par rançongiciel où les pirates exigeaient 1 million de dollars américains à un moment où 5,6 millions d’Américains dépendaient de l’aide alimentaire à cause de la COVID.
La fraude au président est une autre escroquerie courante utilisée contre les ONG. La méthode hybride allie hameçonnage ciblé et usurpation d’identité pour inciter des collaborateurs clés à faire des virements électroniques. Le procédé a déjà coûté 1 million de dollars américains à Save the Children en 2018, et valu à Roots of Peace une perte totale de 1,3 million de dollars américains en 2020.
Le risque existentiel pour les ONG dans des secteurs névralgiques
Les ONG qui participent à des actions humanitaires s’appuient beaucoup sur des technologies mobiles et numériques pour coordonner et mener à bien leurs missions. Elles travaillent souvent dans des régions dont les infrastructures limitées ou peu fiables peuvent les exposer, ainsi que leurs employés, à des risques cyber importants. Les conséquences peuvent être fatales pour les employés des ces ONG mais aussi et surtout pour leurs bénéficiaires ainsi que les organismes qui les financent. Les ONG peuvent aussi être la cible de cyberattaques à caractère politique, comme le défaçage de sites web. L’identité des ONG comme leurs sites web peuvent également être utilisés à mauvais escient pour propager de fausses informations, voire détourner des financements participatifs.
Ces attaques mettent à mal les ressources limitées des ONG. Non seulement elles les empêchent de remplir leurs missions à court terme, mais elles peuvent aussi ternir leur réputation à long terme.
Mieux vaut prévenir que guérir
Malgré les risques, la plupart des cyberattaques exploitent des vulnérabilités connues auxquelles il est facile de remédier en prenant de simples précautions. Plus de la moitié des ONG ont déjà mis en œuvre des mesures de cybersécurité, suggérant une réelle prise de conscience. Toutefois, faute de ressources, la plupart de ces organisations ne peuvent employer de personnel dédié à leur cybersécurité. Ainsi, de nombreuses ONGs méconnaissent les menaces auxquelles elles font face et le secteur humanitaire reste une proie facile pour attaquants cyber de tous bords.
Le CyberPeace Builders Programme du CyberPeace Institute offre aux ONG un soutien humain et des ressources gratuites pour les aider à se préparer à des cyberattaques, à les empêcher et à s’en remettre. Nous nous réjouissons à la perspective de trouver des solutions collaboratives pour contrer la menace cyber qui pèse sur les populations les plus vulnérables au monde.
Veuillez nous contacter à [email protected] pour en savoir plus.
Le CyberPeace Institute est une organisation non gouvernementale indépendante et neutre qui a pour mission de veiller au respect des droits à la sécurité, à la dignité et à l’équité de tout un chacun dans le cyberespace. L’Institut vise à réduire les préjudices causés par les cyberattaques dans le monde entier et à aider les ONG qui travaillent avec des communautés vulnérables. L’Institut analyse et fait connaître l’impact sociétal des cyberattaques et les atteintes aux lois et aux normes internationales, et il recommande un cyber comportement responsable et une cyber responsabilité.
Pour en savoir plus : https://fr.cyberpeaceinstitute.org/qui-sommes-nous/