Lettre ouverte de Robert Mardini, directeur général du Comité international de la Croix-Rouge, à la suite de la découverte mi-janvier d'une cyberattaque contre des serveurs de l'institution hébergeant des données relatives aux services de rétablissement des liens familiaux proposés par le Mouvement international de la Croix-Rouge.
Un mois s'est maintenant écoulé depuis que nous avons découvert, au Comité international de la Croix-Rouge (CICR), le piratage de certains de nos serveurs hébergeant les données personnelles de plus de 515 000 personnes à travers le monde.
Nos équipes travaillent depuis d'arrache-pied pour comprendre comment cette attaque a pu se produire, quelles sont ses ramifications, comment nous pouvons améliorer nos systèmes de sécurité et comment informer de cette situation profondément regrettable les personnes auxquelles nous apportons protection et assistance conformément à notre mandat.
Nous estimons qu'il est de notre devoir, en tant qu'organisation humanitaire responsable devant nos partenaires et les personnes que nous servons, de communiquer toutes les informations possibles au sujet de cette attaque inacceptable.
Si nous dévoilons aujourd'hui de plus amples détails sur cette cyberattaque, c'est au nom de notre engagement sans faille envers les personnes que nous nous employons à protéger et à aider. C'est pour nous une façon de nous efforcer de conserver leur confiance.
Je commencerai par souligner un fait bien établi : il s'est agi d'une attaque sophistiquée - un acte criminel - visant des données humanitaires sensibles. Nous savons que cette attaque était ciblée car les pirates informatiques ont élaboré un code conçu expressément pour être exécuté sur les serveurs concernés du CICR ; une technique qui visait selon nous à protéger leurs activités contre toute détection et toute enquête future.
Les pirates ont profité d'une vulnérabilité qu'aucun de nos systèmes de cyberdéfense n'avait détectée et, une fois infiltrés dans notre réseau, ont déployé des techniques afin de se faire passer pour des utilisateurs autorisés. Dès que cette intrusion a été découverte, nous avons immédiatement modifié certains de nos processus et outils et avons accéléré les activités déjà prévues dans le cadre de notre programme de renforcement de la cybersécurité.
Communiquer ces informations n'est certainement pas quelque chose d'agréable, mais je crois que ce n'est qu'en faisant preuve de transparence quant aux difficultés que nous traversons que nous pourrons en tirer les leçons et améliorer nos politiques et nos pratiques.
Nous travaillons main dans la main avec nos partenaires, les Sociétés nationales de la Croix-Rouge et du Croissant-Rouge du monde entier, pour trouver les meilleurs moyens d'informer les personnes dont les données ont été touchées. Notre préoccupation première est d'atténuer les risques auxquels elles pourraient être confrontées. Nous utilisons pour ce faire différentes méthodes telles que des appels téléphoniques, des lignes d'assistance, des annonces publiques, des lettres et, dans certains cas, des visites en personne dans les communautés isolées.
Des personnes portées disparues et leurs familles ont été touchées par ce piratage, de même que des détenus et d'autres personnes bénéficiant des services du Mouvement international de la Croix-Rouge et du Croissant-Rouge par suite d'un conflit armé, d'une catastrophe naturelle ou d'une migration. Dans le domaine vital de la recherche des personnes disparues, nous sommes parvenus à assurer le maintien d'un niveau de service minimal grâce à des solutions rudimentaires (de simples tableurs, par exemple), tout en oeuvrant au rétablissement d'un service complet doté de dispositifs de sécurité renforcés.
Travailler dans les situations de catastrophe naturelle ou sur les lignes de front n'est pas sans danger. L'approche neutre et impartiale du Mouvement est cruciale pour pouvoir intervenir en toute sécurité dans ces contextes. Nous entretenons dès lors des contacts avec les autorités publiques et les groupes armés afin de réduire les risques auxquels sont exposés le personnel et les volontaires du Mouvement, ainsi que nos structures médicales, véhicules et autres biens matériels. Nous appliquons la même approche dans le monde numérique que dans le monde réel - et ne devons donc être pris pour cible ni dans l'un, ni dans l'autre.
Nous espérons que ce piratage des données de personnes vulnérables servira de catalyseur de changement. Nous comptons maintenant renforcer notre dialogue avec les États et les acteurs non étatiques pour exiger explicitement que la protection accordée à la mission humanitaire de la Croix-Rouge et du Croissant-Rouge s'étende également à nos bases et infrastructures de données. Nous jugeons indispensable l'établissement d'un consensus solide - dans les paroles, mais aussi dans les actes - sur le fait que les données humanitaires ne doivent jamais faire l'objet d'attaques.
Permettez-moi de conclure en adressant un message aux personnes que nous soutenons et à nos partenaires du Mouvement, qui nous ont confié leurs informations : je déplore profondément que vos données aient été piratées lors de cette attaque intolérable. Je vous garantis que nous mettrons tout en oeuvre pour renforcer encore la protection de nos données aujourd'hui et à l'avenir, mais aussi pour faire en sorte que l'action humanitaire soit mieux protégée dans l'espace numérique.