Introduction

À qui s'adresse ce manuel ?

Ce manuel a été rédigé dans un but simple : aider votre organisation de la société civile à élaborer un programme de cybersécurité compréhensible et réalisable. Alors que le monde se tourne de plus en plus vers l'Internet, la cybersécurité n'est pas seulement un concept à la mode mais aussi un concept crucial pour le succès d'une organisation et la sécurité d'une équipe. En particulier pour les organisations de la société civile actives dans les domaines de la démocratie, du plaidoyer, de la responsabilité et des droits de l'homme, la sécurité des informations (en ligne et hors ligne) est un défi qui exige concentration, investissement et vigilance.

Votre organisation est susceptible de devenir, si ce n'est déjà le cas, la cible d'une attaque de cybersécurité. Ce constat ne se veut pas alarmiste ; c'est la réalité même pour les organisations qui ne se considèrent pas comme des cibles particulières.

Au cours d'une année moyenne, le Center for Strategic and International Studies, qui tient une liste ouverte de ce qu'il appelle des « cyberincidents significatifs », répertorie des centaines de cyberattaques graves, dont beaucoup visent des dizaines, voire des centaines d'organisations à la fois. En plus de ces attaques signalées, il y a probablement des centaines d'autres attaques plus légères chaque année qui passent inaperçues ou ne sont pas signalées, beaucoup visant des organisations de la société civile qui agissent en faveur de la démocratie, de la responsabilité et des droits de l'homme. Les organisations représentant les femmes ou d'autres groupes marginalisés sont souvent particulièrement visées.

Les cyberattaques de ce type ont des conséquences importantes. Que leur objectif soit de vous soutirer de l'argent, de réprimer votre voix, de perturber vos opérations organisationnelles, de nuire à votre réputation ou même de voler des informations pouvant entraîner des dommages psychologiques ou physiques à vos partenaires ou à votre personnel, ces menaces doivent être prises au sérieux.

La bonne nouvelle est que vous n'avez pas besoin de devenir un codeur ou un technologue pour vous défendre, vous et votre organisation, contre les menaces courantes. Cependant, vous devez être prêt à investir des efforts, de l'énergie et du temps pour élaborer et mettre en œuvre un programme de sécurité organisationnel solide. 

Si vous n'avez jamais envisagé de renforcer la cybersécurité au sein de votre organisation, si vous n'avez pas eu le temps de vous y consacrer, ou si vous connaissez quelques notions de base sur le sujet mais pensez que votre organisation pourrait améliorer sa cybersécurité, ce manuel est fait pour vous. Quel que soit votre point de départ, ce manuel vise à donner à votre organisation les informations essentielles dont elle a besoin pour mettre en place un programme de sécurité solide. Un programme qui va au-delà de la simple mise sur papier et vous permet de mettre en œuvre les meilleures pratiques.


Qu'est-ce qu'un programme de sécurité et pourquoi mon organisation devrait-elle en avoir un ?

Un programme de sécurité regroupe l'ensemble des politiques, procédures et instructions écrites sur lesquelles votre organisation s'est accordée pour atteindre le niveau de sécurité que vous et votre équipe jugez approprié pour assurer la sécurité de votre personnel, de vos partenaires et de vos informations.

Un programme de sécurité organisationnelle bien conçu et mis à jour peut à la fois vous protéger et vous rendre plus efficace en vous apportant la tranquillité d'esprit nécessaire afin de vous concentrer sur le travail quotidien important de votre organisation. En l'absence d'un programme complet, il est très facile de ne pas percevoir certains types de menaces, de se focaliser sur un seul risque ou d'ignorer la cybersécurité jusqu'à ce qu'une crise survienne.

Lorsque vous commencez à élaborer un programme de sécurité, vous devez vous poser certaines questions importantes qui forment un processus appelé évaluation des risques. En répondant à ces questions, votre organisation peut appréhender les menaces uniques auxquelles elle est confrontée et prendre du recul afin de réfléchir de manière globale à ce que vous devez protéger et contre qui vous devez le faire. Des évaluateurs formés, aidés par des systèmes comme le cadre d'audit SAFETAG d'Internews, peuvent aider votre organisation à mener à bien un tel processus. Si vous pouvez avoir accès à ce niveau d'expertise professionnelle, cela en vaut la peine, mais même si vous ne pouvez pas vous soumettre à une évaluation complète, vous devriez vous réunir avec votre organisation afin de réfléchir à ces questions clés :

1

Quels sont les actifs dont dispose votre organisation et que voulez-vous protéger ? 

Vous pouvez commencer à répondre à ces questions en créant un catalogue de tous les actifs de votre organisation. Les informations telles que les messages, les courriels, les contacts, les documents, les calendriers et les lieux sont autant d'actifs potentiels. Les téléphones, ordinateurs et autres appareils peuvent être des actifs. Les personnes, les relations et les liens peuvent aussi être des actifs. Faites une liste de vos actifs et essayez de les cataloguer en fonction de leur importance pour l'organisation, de l'endroit où vous les conservez (peut-être plusieurs endroits numériques ou physiques), et de ce qui empêche les autres d'y accéder, de les endommager ou de les perturber. N'oubliez pas que tout n'a pas la même importance. Si certaines des données de l'organisation relèvent du domaine public, ou si vous publiez déjà des informations, il ne s'agit pas de secrets que vous devez protéger. 

2

Qui sont vos adversaires et quelles sont leurs capacités et leurs motivations ?

« Adversaire » est un terme couramment utilisé dans le domaine de la sécurité organisationnelle. En termes simples, les adversaires sont les acteurs (individus ou groupes) qui souhaitent cibler votre organisation, perturber votre travail et accéder à vos informations ou les détruire : les méchants. Les adversaires potentiels peuvent être, par exemple, des escrocs financiers, des concurrents, des autorités ou des gouvernements locaux ou nationaux, ou des pirates informatiques à motivation idéologique ou politique. Il est important de dresser une liste de vos adversaires et de réfléchir de manière critique à qui pourrait vouloir avoir un impact négatif sur votre organisation et votre personnel. S'il est facile de percevoir des acteurs externes (comme un gouvernement étranger ou un groupe politique particulier) comme des adversaires, il ne faut pas oublier que les adversaires peuvent être des personnes que vous connaissez, comme des employés mécontents, d'anciens membres du personnel, des membres de votre famille ou des partenaires qui ne vous soutiennent pas. Des adversaires différents représentent des menaces différentes et disposent de ressources et de capacités différentes pour perturber vos opérations et accéder à vos informations ou les détruire. Par exemple, les gouvernements disposent souvent de beaucoup d'argent et de moyens puissants, notamment pour couper l'internet ou utiliser des technologies de surveillance coûteuses ; les réseaux mobiles et les fournisseurs d'accès à l'internet ont probablement accès aux relevés d'appels et aux historiques de navigation ; des pirates informatiques qualifiés sur les réseaux Wi-Fi publics sont capables d'intercepter des communications ou des transactions financières peu sécurisées. Vous pouvez même devenir votre propre adversaire, par exemple en supprimant accidentellement des fichiers importants ou en envoyant des messages privés à la mauvaise personne.

Les motivations des adversaires sont susceptibles de varier, tout comme leurs capacités, leurs intérêts et leurs stratégies. La discréditation de votre organisation est-elle dans leur intérêt ? Peut-être ont-ils l'intention de faire passer votre message sous silence ? Ou peut-être voient-ils votre organisation comme un concurrent et souhaitent prendre l'avantage ? Il est important de comprendre la motivation d'un adversaire, car cela peut aider votre organisation à mieux évaluer les menaces qu'il peut engendrer.

3

Quelles sont les menaces que votre organisation doit surmonter ? Et dans quelle mesure celles-ci peuvent-elles survenir et avoir un impact important ?

Au fur et à mesure que vous identifiez les menaces possibles, vous risquez de vous retrouver avec une longue liste qui peut être déroutante. Vous pouvez avoir l'impression que tout effort serait inutile, ou ne pas savoir par où commencer. Pour aider votre organisation à prendre des mesures productives, il est utile d'analyser chaque menace en fonction de deux facteurs : la probabilité que la menace se concrétise et l'impact si elle se concrétise.

Pour mesurer la probabilité d'une menace (peut-être "faible, moyenne ou élevée", selon qu'un événement donné a peu de chances de se produire, pourrait se produire ou se produit fréquemment), vous pouvez utiliser les informations que vous connaissez sur la capacité et la motivation de vos adversaires, l'analyse des incidents de sécurité passés, les expériences d'autres organisations similaires et, bien sûr, la présence de toute stratégie d'atténuation existante mise en place par votre organisation.

Pour mesurer l'impact d'une menace, réfléchissez à quoi ressemblerait votre environnement si la menace se concrétisait. Posez des questions telles que « Comment la menace nous a-t-elle nui en tant qu'organisation et en tant que personnes, physiquement et mentalement ? », « Quelle est la durée de l'effet ? », « Est-ce que cela engendre d'autres situations nuisibles ? » et « Comment cela entrave-t-il notre capacité à atteindre nos objectifs organisationnels maintenant et à l'avenir ? ». En répondant à ces questions, déterminez si la menace a un impact faible, moyen ou élevé.

Pour vous aider à gérer ce processus d'évaluation des risques, envisagez d'utiliser une feuille de travail, comme celle-ci développée par l'Electronic Frontier Foundation. Gardez à l'esprit que les informations que vous développez dans le cadre de ce processus (comme la liste de vos adversaires et les menaces qu'ils représentent) peuvent elles-mêmes être sensibles, il est donc important d'en assurer la sécurité.

Une fois que vous avez classé vos menaces en fonction de leur probabilité et de leur impact, vous pouvez commencer à élaborer un plan d'action plus éclairé. En vous focalisant sur les menaces qui sont les plus susceptibles de se produire ET qui auront des impacts négatifs importants, vous canaliserez vos ressources limitées de la manière la plus efficace possible. Votre objectif est toujours d'atténuer autant que possible les risques, mais personne, pas même le gouvernement ou l'entreprise la mieux dotée en ressources de la planète, ne pourra jamais éliminer totalement les risques. Et ce n'est pas grave car vous pouvez faire beaucoup de choses pour vous protéger vous, vos collègues et votre organisation en vous attaquant aux plus grandes menaces.

Créer un programme de sécurité