La cybersécurité, des savoirs à partager

En juillet dernier, les équipes de l’ONG International AIDS Society (IAS), représentant la plus grande association de professionnels œuvrant dans le domaine du VIH, basée à Genève, étaient en pleine organisation d’un important événement. C’est alors que plusieurs collaboratrices ou collaborateurs ont cliqué sur un lien frauduleux envoyé par e-mail…

La bonne nouvelle, c’est qu’il s’agissait d’un exercice. Cette campagne de phishing, c’est Adrien Ecuyer, spécialiste en cybersécurité à la BCV, qui a contribué à l’organiser. La mauvaise nouvelle, c’est que les ONG sont de plus en plus ciblées par les cyberattaques, et que certaines y sont mal préparées. «Le nerf de la guerre en matière de cybersécurité, ce sont les ressources financières et humaines. Par définition, les ONG ont plutôt des ressources chiches. Et il leur est, de plus, difficile d’attirer des talents et de les garder, ce qui les rend vulnérables», observe Stéphane Duguin, directeur du CyberPeace Institute, à Genève, institut indépendant qui vise à développer la cybersécurité, y compris pour les plus vulnérables. Ce manque de moyens met en danger l’organisation elle-même, mais c’est aussi un risque collectif: les données volées à une ONG peuvent alimenter des attaques ailleurs.

Pour y remédier, le CyberPeace Institute a lancé en 2021 le programme CyberPeace Builders qui met en lien des ONG avec des entreprises «qui comptent nombre d’experts en cybersécurité et peuvent partager leur savoir-faire dans le domaine avec les ONG», pointe Stéphane Duguin.

Le programme CyberPeace Builders 

• Relie 200 ONG à 45 entreprises dans le monde 
• Avec l’aide du CyberPeace Institute, les ONG identifient leurs besoins, créent des missions pour y répondre 
• Les entreprises et leurs collaboratrices et collaborateurs choisissent les missions qui les intéressent et correspondent à leurs compétences 
• 636 volontaires participent à ce jour 
• 1 293 heures de conseil attribuées 
• Chaque mission dure entre une et quatre heures 
• En 2023, la BCV a participé à six missions 

Des enjeux identiques

La BCV fait partie des entreprises ayant «une curiosité d’esprit et le cœur au bon endroit» selon les mots de Stéphane Duguin, parmi celles qui ont répondu à l’appel avec «une vraie volonté de bien faire, d’aller au bout de leur ambition de responsabilité sociale, de poser les actes qui accompagnent leurs valeurs.»

C’est grâce à ce programme qu’International AIDS Society a pu échanger avec la Banque pour mettre en place sa campagne de phishing interne. «Sans le CyberPeace Institute, nous n’aurions jamais rencontré l’expert de la BCV, nous aurions dû faire appel à des consultants», explique Dario Porru, responsable de la sécurité des systèmes d’information de l’ONG. Pourtant, échanger avec une entreprise qui affronte des enjeux identiques est autrement plus enrichissant. «La Banque est encore plus exposée que nous à ce genre d’attaques. Par contre, l’ingénierie sociale utilisée par les hackeurs dans le domaine de l’humanitaire est différente de celle mise en œuvre dans le domaine du business, et les deux sont intéressantes à comparer», assure Dario Porru.

Car l’intérêt du programme est double: si l’ONG bénéficie de conseils gratuits, l’entreprise qui offre des heures de travail s’enrichit aussi grâce à cette collaboration. « Ici, nous avons pu découvrir que la solution utilisée pour ces campagnes de tests pouvait potentiellement aussi être mise en œuvre dans l’une de nos filiales. Les connaissances acquises au cours de cette collaboration nous aident donc à mieux comprendre comment fonctionne cette solution, les risques potentiels qui y sont liés, et ceci va nous servir dans nos prochaines missions traitant spécifiquement de cette problématique de phishing», résume Fabien Mooser, Auditeur responsable des TIC (technologie de l’information et de la communication) & cyber, de l’Audit interne du Groupe BCV.

L’initiative permet aussi d’enrichir les savoir-faire. «Il y a d’abord un enjeu de formation. Au quotidien, dans l’audit, mon rôle est, notamment, de contrôler le respect des exigences réglementaires et des bonnes pratiques en matière de cybersécurité. Ces missions me permettent de garder ‘les mains dans la technique’ et m’assurer de bien comprendre des risques qui, dans ce secteur, évoluent en permanence», explique Adrien Ecuyer. «C’est aussi un moyen de découvrir des environnements différents, pour conserver un regard plus large sur les risques. Et, enfin, de renforcer encore l’attractivité de notre travail». «Contribuer à l'amélioration des conditions-cadres cyber d'ONG nous permet de rester au contact de la réalité TIC & cyber d'entités non bancaires, et de satisfaire les aspirations intellectuelles et sociales de mes collaboratrices et mes collaborateurs», complète Patrick Borcard, directeur de l'Audit interne du Groupe BCV.

Formation et responsabilité sociale

Attirer et retenir les bons profils est en effet un enjeu non négligeable dans la cybersécurité. Fabien Mooser en est conscient et, pour lui, ces espaces de collaboration avec des ONG sont un atout: «pouvoir proposer à un candidat ces missions qui sortent de l’ordinaire, lui laisser choisir les sujets qu’il peut traiter, lui offrir cette opportunité de formation en continu, c’est un argument qui fait mouche», dans un contexte de guerre des talents. Sans compter «la fierté de contribuer à une cause, qui n’a rien de purement financier.»

Si la BCV a pris en charge une demi-douzaine de missions cette année, principalement réalisées par Fabien Mooser et Adrien Ecuyer, elles pourraient être plus nombreuses à l’avenir; les deux professionnels comptent en effet embarquer un autre collègue dans le projet. Une évolution qui rejoint les besoins recensés par le CyberPeace Institute, qui espère réussir à soutenir 1 000 ONG d’ici 2025, grâce au soutien humain et financier de ses partenaires.