World

Cyberattaque contre le CICR : le point sur ce que nous savons

Le CICR a découvert, le 18 janvier, que les serveurs hébergeant les données personnelles de plus de 500 000 personnes bénéficiant des services du Mouvement international de la Croix-Rouge et du Croissant-Rouge avaient été piratées lors d’une cyberattaque sophistiquée. Nous prenons cette cyberattaque très au sérieux et nous travaillons actuellement avec nos partenaires humanitaires à travers le monde pour en cerner la portée et prendre les mesures qui s’imposent pour protéger nos données.

Voici les réponses à certaines questions que nous pouvons vous communiquer en l'état actuel des informations dont nous disposons. Nous continuerons à mettre à jour ces questions-réponses avec de nouvelles informations au gré de l'évolution de la situation et à actualiser le libellé pour plus d'exactitude.

1. Que s'est-il passé ?

L'un de nos cyberpartenaires a détecté une anomalie dans les serveurs du CICR qui hébergeaient des informations relatives aux services de rétablissement des liens familiaux, c'est-à-dire les activités que le Mouvement international de la Croix-Rouge et du Croissant-Rouge mène dans le monde entier pour rétablir le contact entre les membres des familles dispersées par la guerre, la violence, la migration ou d'autres causes. Nous avons alors procédé à une analyse approfondie des données avec notre partenaire et avons découvert que les pirates s'étaient introduits dans ces systèmes et avaient eu accès aux données qu'ils contenaient.

Vu la nature de l'attaque, nous ne pouvions plus garantir l'intégrité des systèmes. Nous avons donc mis hors ligne les serveurs compromis. Nous passons actuellement en revue les journaux de chaque application afin de mieux comprendre ce qui s'est passé. Nous ne pensons pas que les données aient été utilisées pour le moment mais, par mesure de précaution, nous faisons appel à un cabinet d'audit indépendant pour le confirmer.

Nous pensons également qu'il est important de préciser qu'il s'est agi d'une cyberattaque directe et ciblée visant les serveurs du CICR, et non la société d'hébergement. Nous gérons les données et les applications qui se trouvent sur ces serveurs, pas la société d'hébergement. Nous ne pouvons pas être plus précis concernant les détails techniques de l'attaque tant que la situation est en cours.

2. Qui est derrière cette attaque ?

Nous ignorons qui est à l'origine de cette attaque. Nous n'avons eu aucun contact avec les pirates, ni reçu aucune demande de rançon. Conformément à notre pratique de longue date d'engager le dialogue avec tout acteur susceptible de faciliter ou d'entraver notre action humanitaire, nous sommes disposés à communiquer directement et de manière confidentielle avec les responsables de cette attaque pour leur faire comprendre la nécessité de respecter notre action humanitaire.

3. Quelles mesures avons-nous prises suite à cette attaque ?

Nous travaillons actuellement avec les délégations du CICR et les Sociétés de la Croix-Rouge et du Croissant-Rouge les plus touchées sur le terrain pour trouver des moyens d'informer les personnes et les familles dont les données ont potentiellement été piratées, expliquer les mesures que nous prenons pour protéger leurs données et évaluer les risques auxquels elles pourraient être exposées. Nous avons mis hors ligne les serveurs compromis et sommes en train de chercher des solutions à court terme pour permettre aux équipes de la Croix-Rouge et du Croissant-Rouge du monde entier de continuer à fournir des services humanitaires aux personnes affectées.

4. Des ensembles de données ont-ils été copiés et exportés ?

Nous devons présumer que oui. Nous savons que les pirates ont pénétré dans nos systèmes informatiques et qu'ils avaient donc la capacité de copier et d'exporter les données. À notre connaissance, les informations n'ont pas été publiées ou échangées à l'heure qu'il est. Nous tenons également à dire que nous pensons qu'aucune donnée n'a été effacée et nous travaillons actuellement à des solutions provisoires pour que les équipes de la Croix-Rouge et du Croissant-Rouge puissent continuer à venir en aide aux familles séparées ou sans nouvelles d'un de leurs proches.

5. À quelles informations les pirates ont-ils eu accès ?

L'attaque a touché les données personnelles de plus de 515 000 personnes dans le monde, notamment leur nom, leur localisation et leurs coordonnées. Parmi elles figurent des personnes portées disparues et leurs familles, des enfants non accompagnés ou séparés de leurs proches, des détenus et d'autres personnes bénéficiant des services du Mouvement international de la Croix-Rouge et du Croissant-Rouge par suite d'un conflit armé, d'une catastrophe naturelle ou de la migration. Les identifiants et mots de passe de quelque 2000 employés et volontaires de la Croix-Rouge et du Croissant-Rouge associés à ces programmes ont également été piratés. Par ailleurs, aucune autre information détenue par le CICR n'a été compromise grâce à la segmentation des systèmes.

6. Avec qui collaborons-nous ?

Nous nous sommes associés à des entreprises hautement spécialisées pour nous aider dans cette tâche et le réseau de la Croix-Rouge et du Croissant-Rouge est en contact avec les autorités nationales compétentes.

7. Quelles sont les conséquences pour notre action ?

Chaque jour, le Mouvement international de la Croix-Rouge et du Croissant-Rouge aide 12 personnes à retrouver leur famille. Mais des cyberattaques comme celle que nous venons de subir mettent en péril ces activités pourtant essentielles. À la suite de ce piratage, nous avons été forcés de mettre hors ligne les systèmes informatiques qui hébergent les données en question, ce qui limite considérablement les services humanitaires que nous pouvons offrir aux plus d'un demi-million de personnes touchées. Les États ont confié à certaines organisations humanitaires impartiales, telles que le CICR, des responsabilités spécifiques. Celles-ci comprennent entre autres la collecte d'informations sur les personnes portées disparues dans le but de permettre aux familles d'être à nouveau réunies. Nous avons besoin pour ce faire d'un espace humanitaire numérique sûr et fiable dans lequel nos informations opérationnelles, et surtout les données recueillies auprès des personnes vulnérables, sont sécurisées – espace que cette attaque a violé à tous points de vue.

8. Quel impact cela pourrait-il avoir sur la confiance que les gens accordent au CICR pour protéger leurs données personnelles ?

Chaque jour, le Mouvement international de la Croix-Rouge et du Croissant-Rouge aide 12 personnes à retrouver leur famille. Mais des cyberattaques comme celle que nous venons de subir mettent en péril ces activités pourtant essentielles. À la suite de ce piratage, nous avons été forcés de mettre hors ligne les systèmes informatiques qui hébergent les données en question, ce qui limite considérablement les services humanitaires que nous pouvons offrir aux plus d'un demi-million de personnes touchées. Les États ont confié à certaines organisations humanitaires impartiales, telles que le CICR, des responsabilités spécifiques. Celles-ci comprennent entre autres la collecte d'informations sur les personnes portées disparues dans le but de permettre aux familles d'être à nouveau réunies. Nous avons besoin pour ce faire d'un espace humanitaire numérique sûr et fiable dans lequel nos informations opérationnelles, et surtout les données recueillies auprès des personnes vulnérables, sont sécurisées – espace que cette attaque a violé à tous points de vue.

9. Comment ces données pourraient-elles être utilisées pour causer du tort ?

Nous ne souhaitons pas spéculer sur les éventuelles utilisations abusives de ces données. Il est toutefois important de se rappeler que ces données ont été collectées pour permettre au Mouvement international de la Croix-Rouge et du Croissant-Rouge de retrouver des personnes portées disparues. Si ces données tombent entre de mauvaises mains, elles pourraient être utilisées par des États, des groupes non étatiques ou des individus pour contacter ou retrouver des personnes dans le but de leur nuire. Cette attaque constitue une atteinte extrême à leur vie privée, leur sécurité et leur droit à bénéficier d'une aide humanitaire.

10. Pourquoi avons-nous confié la gestion de ces données personnelles et confidentielles à un fournisseur tiers ?

Nous avons choisi cette société et travaillons avec elle de longue date parce qu'elle observe la même rigueur et les mêmes normes élevées que celles que nous appliquons à tout serveur hébergé en interne. Nous tenons à redire ici qu'il s'est agi d'une attaque directe visant les serveurs du CICR, et non la société d'hébergement.

11. Quels systèmes étaient en place pour empêcher une telle attaque de se produire ?

Au CICR, cela fait des années que nous mettons en garde contre l'augmentation des cyberattaques visant les établissements de soins de santé et que nous faisons part de nos préoccupations croissantes concernant la protection des données dans les situations humanitaires. Nous étions conscients de longue date du risque que nos données puissent un jour être la cible d'une attaque. Nous avons beaucoup investi dans la cybersécurité et travaillons avec des partenaires de confiance pour maintenir des normes élevées en termes de protection des données et de systèmes. Nous avons également investi dans des systèmes servant à détecter toute activité suspecte, et c'est d'ailleurs ainsi que nous avons eu connaissance de cette cyberattaque. Pour faire en sorte d'avoir une cyberdéfense professionnelle, nous faisons réaliser chaque année un audit de nos systèmes par une société externe. Cependant, cette attaque montre que ces systèmes ne sont pas à l'abri de cyberopérations très sophistiquées et nous ne saurions trop répéter combien il est essentiel que les données collectées et stockées à des fins humanitaires ne soient en aucun cas la cible d'une attaque.

12. Que dois-je faire si je pense que mes données ont pu être touchées par la cyberattaque ?

Si vous être inquiets à propos de vos données, nous vous conseillons de contacter votre Société nationale locale de la Croix-Rouge ou du Croissant-Rouge ou le bureau du CICR de votre pays. Nous avons conscience que vous nous avez confié des données personnelles et des informations sur des événements souvent traumatisants de votre vie. Ce n'est pas une responsabilité que nous prenons à la légère. Nous tenons à ce que vous sachiez que nous faisons tout ce qui est en notre pouvoir pour rétablir les services que nous offrons aux quatre coins du monde. Nous mettrons tout en œuvre pour conserver votre confiance et continuer à répondre à vos besoins.