Enseignements à retenir sur la protection des données dans le domaine de l’humanitaire

Dans cette nouvelle ère de partage de données sans frontières, plus de 50 pays sont engagés dans une course pour protéger et contrôler les informations numériques générées par leurs entreprises, entités gouvernementales et citoyens.

Pour les ONG et les organisations caritatives, le renforcement des réglementations strictes représente un défi, car cela limite la façon dont les données peuvent transiter dans le monde et complique considérablement les opérations humanitaires.

Pour explorer cette problématique de la complexité accrue à l’ère de la souveraineté numérique, nous avons réuni trois acteurs pionniers travaillant pour différentes ONG, qui sont aussi des clients de Virtru :

• Jerry Tuan, directeur de l’information chez Care USA
• Matt Mitchell, fondateur de CryptoHarlem et chercheur en technologie au sein de la Ford Foundation
• Yves Couturier, membre de la direction de la Croix-Rouge
• Matt Howard (modérateur), directeur marketing chez Virtru

Lorsque nous avons demandé à nos intervenants ce qui les tient éveillés et les motive chaque jour, leurs réponses représentaient les deux revers d’une même médaille : en effet, pour eux, protéger des données revient à protéger des individus, et échouer dans cette mission peut entraîner des dommages réels.

Selon notre intervenant Matt Mitchell, « Lorsqu’on travaille dans le domaine des organisations à but non lucratif, de la société civile ou des ONG, il arrive souvent que les cyberattaques (et les problèmes relatifs à la confidentialité et à la collaboration sécurisée qu’elles entraînent) aient une incidence négative sur les moyens de subsistance d’une personne. Elles pourraient constituer une atteinte à la liberté de quelqu’un. »

De l’aube au crépuscule, nos intervenants sont animés par leur passion pour la protection des données des personnes les plus vulnérables. Voici quatre principaux enseignements que nous avons tirés de notre discussion au sujet de la sécurité des données dans le domaine de l’humanitaire.

Les données sont intrinsèquement liées à des êtres humains.

Les données sont liées à des personnes, qu’elles concernent un individu ou qu’elles soient utilisées par quelqu’un. Le soin apporté à la protection des données a des conséquences tangibles, et dans le domaine de l’humanitaire, ces conséquences peuvent être une question de vie ou de mort. La protection des données peut constituer un facteur qui va déterminer si vous allez réussir à mener à bien votre mission ou, au contraire, causer des préjudices.

Matt Howard présente ce concept aux intervenants, en leur demandant quel est le lien entre leur travail et le « monde réel ».

Dans le cas d’Yves Couturier de la Croix-Rouge française, les données qui circulent de manière entrante et sortante au sein de son organisation sont associées à plus de 200 000 réfugiés ukrainiens. La Croix-Rouge, ainsi que Care USA, la Ford Foundation, CryptoHarlem et d’autres ONG, doivent sécuriser ces données dans le prolongement de leurs efforts humanitaires physiques. La confidentialité est une forme de sécurité pour toutes les personnes qui bénéficient des services des organisations de nos intervenants, et elle constitue également une forme de respect.

« La confidentialité s’apparente au fait de disposer d’une porte fermée que vous avez la possibilité d’ouvrir pour laisser entrer un ami afin qu’il puisse voir comment vous vivez, voire partager un bon repas avec vous », explique Matt Mitchell. « C’est aussi pour cette raison que la plupart des gens installent des rideaux à leurs fenêtres et souhaitent aussi en placer un devant leur douche, même si personne ne sera là pour les observer. La confidentialité est tout simplement le concept de pouvoir disposer de leviers d’action et de contrôle sur les éléments que vous partagez et ne partagez pas.

La sécurité « Zero Trust », un concept plus vaste qu’il n’y paraît

Le besoin de rendre des données confidentielles est motivé par la situation de certains êtres humains, et ce sont d’autres êtres humains qui créent la technologie qui protège ces données. En outre, le terme de sécurité « Zero Trust » peut parfois évoquer le secret alors qu’en réalité, il s’agit d’un mécanisme favorisant la prise de responsabilité à tous les niveaux.

Voici ce que Matt Mitchell a déclaré : « Lorsque vous avez un système ressemblant à un système de sécurité Zero Trust, il s’agit en réalité d’un système qui permet d’avoir la plus forte assurance que personne ne peut faire quelque chose qui ne relève pas de sa compétence ou de son poste. »

Matt Howard et Jerry Tuan se sont accordés à dire que concrètement, la sécurité « Zero Trust » ressemble à une approche consistant à « faire confiance, mais à vérifier ».

« Ce n’est pas que je ne vous fais pas confiance », a déclaré Jerry Tuan. « J’applique les mêmes mesures à tous mes interlocuteurs pour renforcer l’efficacité de certaines normes, de sorte à protéger mon cadre d’action dans son ensemble. »

La confidentialité, un levier commercial pour les ONG

Lorsqu’il s’agit de maintenir la dynamique d’une mission, la confiance et la confidentialité sont intrinsèquement liées. Maintenir une posture de sécurité permet à une organisation de mener à bien sa mission, car en procédant ainsi, elle conserve la confiance de ses donateurs comme celle de ses bénéficiaires.

« Le fait que surviennent des violations de données lors d’incidents distincts, que nous devions faire face à des ransomwares, ou encore que les médias diffusent des informations négatives disant que CARE n’est pas en mesure de protéger les renseignements ou la sécurité de ses intervenants ou donateurs aurait des conséquences importantes sur les résultats de notre organisation », a déclaré Jerry Tuan. « C’est d’ailleurs ce qui m’empêche de dormir la nuit, car je dois m’assurer de la bonne fiabilité de la cybersécurité et de son bon fonctionnement, pour que nous puissions continuer à faire de notre mieux pour nos intervenants et nos donateurs… dans le secteur des organisations à but non lucratif, nous devons réellement faire face à des enjeux de vie ou de mort. Lorsque nous menons nos activités, collectons des informations et produisons des rapports, nous avons un impact sur la vie des individus que nous prenons en charge ».

De nombreuses violations de données ont des effets néfastes sur diverses personnes, mais pour des organisations telles que Care, la Croix-Rouge et la Ford Foundation, la survenue d’une violation pourrait nuire à leur capacité à poursuivre leur travail et, plus grave encore, pourrait coûter des vies.

« Il fut un temps où nous ne nous considérions pas comme une cible privilégiée. Nous pensions, bien sûr, que les secteurs de la finance ou de l’industrie étaient davantage concernés », explique Yves Couturier. « Mais maintenant, nous avons été ciblés, et très récemment, un demi-million de données privées ont été volées et piratées, non pas chez nous, mais directement au sein des systèmes du Comité international de la Croix-Rouge et du Croissant-Rouge. En outre, un demi-million d’informations personnelles ont été volées, et ces informations concernaient des réfugiés. »

Aujourd’hui plus que jamais, la protection des données et la confidentialité sont nécessaires pour mener à bien ces missions caritatives. Par ailleurs, lorsqu’il s’agit de franchir les frontières pour apporter une aide, les stratégies de protection des données se doivent de reposer sur une valeur clé : la neutralité.

La neutralité est la clé de la cybersécurité

Dans un monde où les tensions politiques dégénèrent, la neutralité est une denrée rare. Pour les professionnels de la sécurité comme Yves Couturier de la Croix Rouge, cela s’avère particulièrement vrai dans le cadre de conflits régionaux comme celui touchant l’Ukraine, où un manque de neutralité peut fermer les frontières là où un besoin est présent.

Jerry Tuan souligne que les forces externes peuvent présenter un défi pour les ONG, car les lois spécifiques en matière de cybersécurité de nombreuses entités locales peuvent empêcher les organisations d’établir un contact avec des personnes dans le besoin ou de déployer des solutions.

« Il y a deux ans, les États-Unis ont interdit les équipements produits par Huawei, un fournisseur de technologies de téléphonie mobile », a déclaré Jerry Tuan. « Il y a également des années de cela, l’administration américaine envisageait d’interdire TikTok, puis il a été question d’Instagram, et de Twitter. Il s’agit dans tous les cas d’outils technologiques que nous utilisons pour créer un impact social ou pour mettre en place des solutions. »

D’un point de vue interne, tous les intervenants s’accordaient sur l’importance de la neutralité dans les stratégies de sécurité de type « Zero Trust ».

« Je pense que dans tous les systèmes de cybersécurité et de confidentialité, il est important de penser également à équilibrer les choses en adoptant un point de vue neutre. » a déclaré Matt Mitchell. « Je mettrais n’importe qui au défi de reprendre le positionnement d’Yves, car je pense que si nous parvenons à nous considérer les uns les autres au-delà des aspects superficiels pour établir un rapport humain plus profond, cela peut avoir un impact considérable. »

Vous pouvez regarder à la demande le webinaire complet ci-dessous.