C’est un navire bien connu: l’Ocean Viking recueille les personnes migrantes sur des embarcations de fortune en Méditerranée pour éviter leur noyade. Mais cette mission demande une logistique complexe: l’équipe doit pouvoir situer le navire en tout temps, les échanges d’informations avec les contacts à terre sont constants. «Or, cette localisation permanente, ces communications régulières comportent des risques. Notre association connaît en effet des frottements avec certaines parts de la société civile, et nous pouvons être ciblés par des attaques», reconnaît Elliot Guy, directeur général adjoint de l’antenne suisse de l’ONG SOS Méditerranée, fondée en 2017, qui compte une antenne suisse. C’est il y a un an et demi environ que l’organisation, «arrivée à une forme de maturité», a commencé à se préoccuper de la sécurisation de ses infrastructures. Auparavant, le sujet n’était pas une priorité.

70% des ONG de la Genève internationale ne savent pas comment répondre à une cyberattaque, un tiers d’entre elles manquent d’expertise technique et 56% n’ont pas de budget consacré à la cybersécurité, constate le Cyberpeace Institute de Genève dans un rapport paru en novembre dernier. Cette ONG fondée en 2019 est financée à l’origine par la Fondation Hewlett, Mastercard, Microsoft, la Fondation Ford et Facebook. Aujourd’hui, d’autres donateurs – privés et publics, fondations et philanthropes – la soutiennent. Elle s’est spécialisée dans le développement de solutions «pragmatiques, rapides» pour les structures humanitaires, «vulnérables parce qu’elles n’ont pas les ressources financières et humaines pour faire face aux problématiques de cybersécurité», constate Stéphane Duguin, directeur exécutif.

L’une des pistes imaginées, originale, est le mentorat: des entreprises à but lucratif (banques, assurances, multinationales…) mettent à disposition quelques heures de travail de leurs spécialistes en cybersécurité pour assister des ONG. Parce qu’il a su gagner la confiance de tous ces acteurs, le Cyberpeace Institute les met en relation: 45 entreprises et 200 organisations humanitaires à travers le monde ont participé au programme.

SOS Méditerranée a fait partie des premiers intéressés: «Le Cyberpeace Institute nous a dirigés vers des experts qui ont dispensé des formations internes à nos équipes, de quoi identifier les premiers enjeux de cybersécurité, réfléchir aux labels certifiants, à la manière d’organiser notre sécurité», explique son directeur général adjoint. Ensuite, la jeune ONG a fait appel à des acteurs privés. «On s’est allié à une entreprise qui nous aide sur notre infrastructure technologique, sur la formation et le suivi des équipes. C’est un vrai travail qui demande beaucoup de discussions. L’aide d’une structure privée est indispensable pour assurer une forme de qualité et de suivi», poursuit Elliot Guy.

Communiquer sur ces frais n’est pas évident. «Pour une ONG, c’est toujours compliqué d’avoir des frais administratifs, des coûts de supports, etc. Moi-même, en tant que citoyen, si je donne 10 francs pour une cause, je souhaite que cela aille à un projet! Mais il faut prendre conscience qu’un projet ne se fait pas sans les équipes qui y travaillent. Et les enjeux de cybersécurité ne vont faire qu’augmenter», observe Elliot Guy. En 2024, le Cyberpeace Institute sensibilisera d’ailleurs les philanthropes et donateurs à ces sujets.