"Le besoin est criant", affirme dans un entretien à Keystone-ATS Stéphane Duguin, le directeur exécutif du CyberPeace Institute, plateforme qui porte cette initiative. Depuis son lancement en 2019, cette institution a accompagné une centaine d'entreprises et ONG avant et pendant un incident qui les affecte. Désormais, elle veut multiplier par dix ce chiffre d'ici 2025 et le nouveau centre doit rassembler tous les acteurs "pour des solutions pérennes".
Détection de la menace et encadrement, prévention, "là où nous sommes forts, selon M. Duguin, mais aussi partenariats et plaidoyer politique sur la scène internationale, les chantiers seront nombreux. Selon le directeur, l'attaque contre le CICR a constitué "une immense piqûre de rappel" pour ceux qui n'étaient pas convaincus de l'importance de sécuriser les organisations humanitaires.
Des proies faciles
Lorsqu'un acteur est ciblé, les conséquences peuvent être directes pour des groupes de personnes vulnérables dans le monde. Avec le récent séisme en Turquie et en Syrie, "il est évident qu'il est important" d'éviter d'être visé.
Dans un écosystème "sous-équipé" en ressources cybersécuritaires et face à l'accélération de la numérisation des activités, "vous devenez une proie facile". D'autant plus que les organisations humanitaires sont à la fois visées par des groupes criminels que par des Etats. "Assez rare", ajoute encore M. Duguin. Or, plus d'un milliard de personnes dépendent d'institutions qui ont une activité humanitaire.
Suisse pas en retard
Pour le CyberPeace Institute, la Suisse est tout à fait adaptée pour porter la réponse à la menace. "Il y a un savoir-faire singulier sur la gouvernance d'Internet, la cybersécurité et l'humanitaire", insiste son directeur.
Certes, elle a été victime ces dernières années de plusieurs attaques. "On sent que quelque chose a été compris" avec l'assaut contre le CICR, dit M. Duguin. "La Suisse n'est pas à la traîne" en comparaison internationale mais il faut encore améliorer la collaboration entre les acteurs à l'intérieur du pays.
L'institut dialogue régulièrement avec les autorités fédérales, notamment avec le Centre suisse de cybersécurité. Il souhaite aussi que Berne porte cette question au Conseil de sécurité de l'ONU pendant son mandat de membre non permanent dans les deux prochaines années.
Parmi ses activités, le nouveau centre genevois veut notamment évaluer "l'état réel de la menace", l'impact à long terme d'une attaque sur une organisation. Il va aussi analyser les campagnes contre la réputation, le contenu et le nom d'une institution humanitaire. Et veut faire comprendre aux Etats qui dépensent des milliards d'aide, comme aux ONG qui les utilisent, qu'il faut prendre en considération la question de la cybersécurité.
Dizaines de personnes
Il ne "s'interdit pas" non plus de dialoguer avec des groupes criminels pour tenter d'améliorer leur attitude. M. Duguin ne souhaite pas dire pour autant si de tels contacts ont déjà lieu. Il se contente d'affirmer que le CyberPeace Institute ne discutera pas avec des entités qui chercheraient à l'utiliser pour montrer seulement de la bonne volonté.
Doté d'une enveloppe de cinq millions de francs, il absorbera les coûts du nouveau centre, auquel deux tiers des dizaines de collaborateurs seront liés directement. Et celui-ci aura ses propres capacités d'analyse et technologiques.
Pour les prochaines années, il est difficile d'anticiper les défis tant les technologies changent. "Il faut investir dans le suivi des règles internationales au fur et à mesure que celles-ci avancent", insiste le directeur exécutif. Il met en garde contre une Guerre froide où plusieurs blocs d'Internets se confronteraient et où certains imposeraient leur approche.
Autre souhait, celui d'un traité contre la cybercriminalité actuellement discuté entre Etats. "Mais il sera difficile" d'aboutir dans les prochaines années tant la situation est tendue entre plusieurs pays.