Alors que les chars russes franchissaient la frontière ukrainienne le mois dernier, la guerre digitale avait déjà commencé. Les agences des Nations Unies et les organisations internationales de Genève pourraient-elles être prises entre deux feux?
Avant que la Russie n’envahisse l’Ukraine le 24 février, le pays assiégé était déjà bombardé par une vague de cyberattaques, Kiev et d’autres accusant Moscou d’en être à l’origine. De leur côté, les hackers ukrainiens n’ont pas perdu de temps et fait leur propre déclaration de cyberguerre. Le collectif Anonymous a revendiqué le piratage des sites Internet du gouvernement russe et de la télévision d’État Russia Today, alors que l’Ukraine a créé une cyber armée volontaire mais officielle, « conçue pour opérer au milieu d’une zone de guerre en évolution rapide », selon Wired.
Une enquête de Geneva Solutions
Un soldat suisse utilisant un ordinateur lors d'un cours de cyber-formation, dans la caserne de Jassbach près de Thoune.
En marge de ces événements, les experts en cybersécurité s’inquiètent d’un « débordement » dans d’autres pays et de la possibilité qu’une cyberattaque majeure puisse avoir une incidence sur les systèmes du monde entier. En Suisse, 130 entreprises et communes suisses opèrent encore sur des systèmes vulnérables selon le Centre national de cybersécurité (NCSC). Et les organisations qui ont été piratées ces derniers mois, telles le CICR, Swissport, Swisscom, le groupe immobilier DBS et le concessionnaire automobile Emil Frey, sont venues allonger la liste déjà impressionnante des brèches.
Cette semaine, plus de 630 violations ont été signalées, alors que l’on en comptait environ 370 au cours de la même période l’an dernier. Et le pays a atteint un sommet historique avec 881 cas au cours de la deuxième semaine de janvier. Globalement, les cyberattaques en Suisse ont augmenté de 65% en 2021 par rapport à 2020.
« Nous ne constatons pas une augmentation de l’activité cybercriminelle liée à la guerre en Ukraine qui pourrait cibler directement la Suisse », a déclaré Pascal Lamia, délégué adjoint du NCSC, à Genève Solutions. « Mais la situation des cyber menaces est susceptible de changer en raison des événements actuels », a-t-il ajouté.
Alors que la cyberguerre est considérée comme une arme par la Cour internationale de justice et couverte par le droit international humanitaire, qui demande l’exemption des infrastructures civiles dans les conflits armés, certains pays ne sont pas du même avis, pensant que ces violations ne sont pas aussi dommageables que la guerre cinétique. La Russie en fait partie selon Pavlina Ittelson, chargée de programme à Diplo US, où elle surveille la juridiction et le règlement extrajudiciaire des litiges pour la gouvernance d’Internet.
« Certaines décisions de la Cour internationale de justice sont appliquées aux cyberattaques, et la plupart des pays conviennent que le droit international humanitaire, qui exige la protection des infrastructures civiles dans un conflit armé, s’applique. D’autres pays, tels que la Russie, ne sont pas d’accord. Ils pensent qu’une cyberattaque n’égalera jamais une attaque cinétique et ne déclenche donc pas le droit à la légitime défense par un État victime, ou des mesures de protections en vertu du droit humanitaire international », ajoute-t-elle.
Pour Pascal Lamia, « les entreprises qui ont des relations d’affaires avec des fournisseurs ou des entreprises situées dans des zones de conflit devraient être particulièrement prudentes », mais il croit également que « tous les systèmes vulnérables sont une cible pour les cybercriminels, qu’ils appartiennent à des individus, des autorités, des petites ou des grandes entreprises ».
La Genève internationale ne fait pas exception
Le monde manque de cyber-professionnels – un manque à gagner estimé à environ 3 millions de dollars, selon un rapport du Forum économique mondial – et la Suisse ne fait pas exception. Malgré son attractivité pour les talents, le pays manque de cyber-spécialistes et seuls 100 diplômés rejoignent chaque année la population active de Suisse romande, selon la RTS. Rien qu’à Genève, plus de 90 offres d’emploi en lien avec la cybersécurité ont été publiées au cours du dernier mois.
Selon Pascal Lamia (NCSC), les organisations fortunées qui sont plus numérisées que d’autres, et qui ont une importance géopolitique, sont plus « exposées aux cybercriminels ». Avec plus de 40 organisations internationales et 750 ONG qui dépendent souvent des technologies numériques pour travailler sur des interventions sensibles sur le terrain pour lesquelles des milliards de dollars sont collectés, comme la guerre actuelle, Genève compte de nombreuses cibles vulnérables.
Genève, en raison de son rôle particulier sur la scène internationale, doit être particulièrement vigilante
Alexander Barclay, délégué au numérique du Canton.
Le dernier exemple en date a consisté en une cyberattaque sophistiquée contre les serveurs du CICR (Comité international de la Croix-Rouge) en janvier, qui a compromis les données personnelles de plus de 515’000 personnes vulnérables.
Le HCR (Haut Commissariat des Nations Unies pour les réfugiés), qui soutient les réfugiés ukrainiens, « prend la cybersécurité très au sérieux » et « suit de très près les développements récents » confie son porte-parole Boris Cheshirkov. « Au cours des dernières années, nous avons investi de manière importante dans une cybersécurité robuste, notamment dans la détection, la prévention et l’atténuation des risques liés à la cybersécurité, et les réponses à ces risques », dit-il. Il ajoute: « à mesure que le risque global a augmenté ces derniers jours, nous avons continué de renforcer nos mesures de sécurité », mais il n’écarte pas pour autant des atteintes potentielles.
Pour Alexander Barclay, « au-delà des plans techniques, chaque individu doit jouer un rôle dans la sécurité et l’utilisation des outils numériques ». Mais seule une ONG sur dix forme régulièrement son personnel et quatre sur cinq n’ont même pas de plan de cybersécurité.
« Avec de nombreuses organisations internationales, ONG et institutions de santé fonctionnant avec des budgets limités, la sécurité numérique est souvent délaissée au profit de davantage d’aide sur le terrain », explique Algirde Pipikaite, responsable de la stratégie de cybersécurité au Forum économique mondial.
Les ONG se préparent pour se protéger
Le CyberPeace Institute, qui forme le personnel des ONG pour qu’il soit mieux préparé en cas de cyber incidents et plus résilient face aux attaques, a aidé 20 organisations au cours des six derniers mois et vise à en soutenir 100 d’ici fin 2022. En parallèle, le CICR développe un équivalent en ligne de ses emblèmes que sont la Croix-Rouge, le Croissant-Rouge et le Cristal rouge pour protéger les infrastructures civiles. « Avec ou sans «emblème numérique», nous pensons qu’il est essentiel d’avoir un consensus ferme – fait de paroles et d’actes – sur le fait que les données humanitaires ne doivent jamais être attaquées », déclare Ewan Watson, responsable des relations publiques au CICR.
À mesure que les entreprises signalent de plus en plus de cyber incidents, la collaboration peut s’améliorer et des dommages importants peuvent être limités, selon la proposition du Conseil fédéral de rendre obligatoire le signalement des infractions.
« Au cours des derniers mois, les risques en matière de cybersécurité, notamment dans le secteur humanitaire, ont été davantage pris en compte après le piratage du programme de Rétablissement des liens familiaux du CICR », confie Stéphane Duguin, Directeur général du CyberPeace Institute.
Alors que l’ONG recueille depuis longtemps des données sur les cyberattaques contre les ONG humanitaires, avec la guerre en Ukraine, elle a commencé à suivre de près les cyberattaques et les opérations qui ciblent les infrastructures essentielles et civiles.
« Le suivi des cyberattaques et des incidents, à mesure qu’ils sont rendus publics, est important pour consigner ces attaques et identifier, dans la mesure du possible, les dangers et les risques pour les populations civiles. Les cyberattaques touchent des personnes et mettent leur vie en danger » ajoute Stéphane Duguin, qui appelle à épargner le personnel humanitaire en Ukraine pour lui permettre de « répondre aux besoins humanitaires de la population ».
Alors que la Suisse a fait un pas en avant pour se positionner en cyber leader avec la nomination de Florian Schütz, délégué fédéral à la cybersécurité et chef du NCSC, en tant que président du groupe de travail de l’Organisation pour la coopération économique (OCDE) qui supervise la sécurité des activités critiques pour les 38 États membres, les recommandations du CyberPeace Institute incluent l’identification des risques et la recherche de conseils et de soutien pour accroître les cyber capacités et la résilience. « C’est très important et c’est ce que nous recommandons », conclut Stéphane Duguin.
Article d’Aylin Elci pour Geneva Solutions, traduit de l’anglais par Katia Staehli
