«Le besoin est criant», affirme Stéphane Duguin, le directeur exécutif du CyberPeace Institute, plateforme qui porte cette initiative. Depuis son lancement en 2019, cette institution a accompagné une centaine d'entreprises et ONG avant et pendant un incident qui les affecte. Désormais, elle veut multiplier par dix ce chiffre d'ici à 2025 et le nouveau centre doit rassembler tous les acteurs «pour des solutions pérennes».
Détection de la menace et encadrement, prévention, «là où nous sommes forts, selon Stéphane Duguin, mais aussi partenariats et plaidoyer politique sur la scène internationale, les chantiers seront nombreux. Selon le directeur, l'attaque contre le CICR a constitué «une immense piqûre de rappel» pour ceux qui n'étaient pas convaincus de l'importance de sécuriser les organisations humanitaires.
Des conséquences graves sur le terrain
Lorsqu'un acteur est ciblé, les répercussions peuvent être directes pour des groupes de personnes vulnérables dans le monde. Avec le récent séisme en Turquie et en Syrie, «il est évident qu'il est important» d'éviter d'être visé.
Dans un écosystème «sous-équipé» en ressources cybersécuritaires et face à l'accélération de la numérisation des activités, «vous devenez une proie facile». D'autant plus que les organisations humanitaires sont à la fois visées par des groupes criminels que par des États. «Assez rare», ajoute-t-il. Or, plus d'un milliard de personnes dépendent d'institutions qui ont une activité humanitaire.
Pour le CyberPeace Institute, la Suisse est tout à fait adaptée pour porter la réponse à la menace. «Il y a un savoir-faire singulier sur la gouvernance d'Internet, la cybersécurité et l'humanitaire», insiste son directeur, même si notre pays a été victime ces dernières années de plusieurs attaques. «On sent que quelque chose a été compris» avec l'assaut contre le CICR, affirme Stéphane Duguin. «La Suisse n'est pas à la traîne» en comparaison internationale, mais il faut encore améliorer la collaboration entre les acteurs à l'intérieur du pays.
Faire le lien avec les États et les ONG
L'institut dialogue régulièrement avec les autorités fédérales, notamment avec le Centre suisse de cybersécurité. Il souhaite aussi que Berne porte cette question au Conseil de sécurité de l'ONU pendant son mandat de membre non permanent dans les deux prochaines années.
Parmi ses activités, le nouveau centre genevois veut évaluer par exemple «l'état réel de la menace», l'impact à long terme d'une attaque sur une organisation. Il va aussi analyser les campagnes contre la réputation, le contenu et le nom d'une institution humanitaire. Et veut faire comprendre aux États qui dépensent des milliards d'aides, comme aux ONG qui les utilisent, qu'il faut prendre en considération la question de la cybersécurité.
Dialoguer avec des groupes criminels?
Il ne «s'interdit pas» non plus de dialoguer avec des groupes criminels pour tenter d'améliorer leur attitude. Stéphane Duguin ne souhaite pas dire pour autant si de tels contacts ont déjà lieu. Il se contente d'affirmer que le CyberPeace Institute ne discutera pas avec des entités qui chercheraient à l'utiliser pour montrer seulement de la bonne volonté.
Doté d'une enveloppe de cinq millions de francs, il absorbera les coûts du nouveau centre, auquel deux tiers des dizaines de collaborateurs seront liés directement. Et celui-ci aura ses propres capacités d'analyse et technologiques.
Pour les prochaines années, il est difficile d'anticiper les défis tant les technologies changent. «Il faut investir dans le suivi des règles internationales au fur et à mesure que celles-ci avancent», insiste le directeur exécutif. Il met en garde contre une Guerre froide où plusieurs blocs d'Internets se confronteraient et où certains imposeraient leur approche.
Autre souhait, celui d'un traité contre la cybercriminalité actuellement discuté entre les États. «Mais il sera difficile» d'aboutir dans les prochaines années tant la situation est tendue entre plusieurs pays.
(ATS)