Comment le CICR veut transposer la protection de la Croix-Rouge au cyberespace
Le Comité international de la Croix-Rouge (CICR) a dévoilé le prototype d’un nouvel emblème numérique. Il doit permettre de mieux protéger les acteurs humanitaires et de la santé contre les cyberattaques.
Les organisations humanitaires et les services de santé sont de plus en plus souvent visés dans les conflits. Dans le monde physique, comme l’ont démontré les bombardements israéliens à Gaza, mais aussi dans le monde numérique, où les cyberattaques peuvent avoir un coût humain bien réel.
Aujourd’hui, les hôpitaux et les agences humanitaires dépendent de réseaux, de serveurs et de données. En cas de cyberattaque, «les soins médicaux sont retardés, les ambulances ne peuvent être dépêchées et les familles restent sans nouvelles de leurs proches disparus. L’aide ne parvient pas à ceux qui en ont besoin, les gens souffrent et des vies peuvent être perdues», a souligné Pierre Krähenbühl, directeur général du Comité international de la Croix-Rouge (CICR).
Emblème numérique
Le CICR a présenté jeudi dernier au siège de l’Organisation européenne pour la recherche nucléaire (CERN) à Genève sa réponse à cette menace: un prototype d’emblème numérique, développé en collaboration avec l’École polytechnique fédérale de Zurich (EPFZ).
Concrètement, il ne s’agit pas d’un nouveau symbole visuel, mais d’une signature digitale permettant d’identifier les infrastructures numériques du CICR, des sociétés nationales de la Croix-Rouge et du Croissant-Rouge, ainsi que des services de santé militaires et civils. Tout comme l’emblème de la Croix-Rouge dans le monde physique, il ne permet toutefois pas d’empêcher une cyberattaque.
Une menace qui augmente
«La menace cyber est claire et présente, et malheureusement s’aggrave», analyse Stéphane Duguin, CEO de la fondation genevoise Protect.ngo (anciennement CyberPeace Institute). Selon lui, les organisations humanitaires sont «des cibles faciles», car elles sont exposées à une double menace.
D’un côté, celle des acteurs criminels, qui les visent de façon indiscriminée pour obtenir une rançon. De l’autre, celle des acteurs étatiques, qui les ciblent en fonction de leur activité, de leur situation géographique ou de leurs bénéficiaires. Ces organisations sont aussi vulnérables, car elles peinent à investir dans leur défense en raison de leurs financements instables.
En 2022, le CICR avait lui-même subi une cyberattaqueLien externe contre des serveurs abritant les données personnelles de quelque 515’000 personnes à travers le monde. En mai, le Programme alimentaire mondial (PAM) de l’ONU était à son tour visé par une attaque exposant les données sensibles de 600’000 foyers à Gaza, soit la «plus grande fuite de données» dans le secteur, a précisé le média spécialisé The New HumanitarianLien externe, qui a révélé l’affaire.
>> Une cyberattaque peut-elle être un crime de guerre? Notre article à ce sujet:
Plus
Une cyberattaque peut-elle être un crime de guerre?
«Les unités médicales et de transport sanitaire sont déjà protégées en vertu du droit international humanitaire, a rappelé Samit D’Cunha, conseiller juridique en charge du projet au sein du CICR. L’objectif de l’emblème numérique est de rendre visible cette protection.»
Le droit international humanitaire, aussi appelé «droit de la guerre», impose des limites à la conduite des hostilités et protège les civils, certaines infrastructures, notamment médicales, ainsi que les soldats blessés ou prisonniers. Supprimer les données de patients, entraver le fonctionnement des équipements médicaux ou perturber les chaînes d’approvisionnement de fournitures sanitaires constitue donc déjà une violation des Conventions de Genève.
«Une bonne solution»
Le prototype, déjà testé par plusieurs sociétés nationales de la Croix-Rouge, repose sur une signature cryptographique. En pratique, l’opérateur d’une cyberattaque effectuant une reconnaissance de cible protégée, par exemple un hôpital, se verrait informé que cette infrastructure bénéficie de la protection des Conventions de Genève.
«C’est une bonne solution, en particulier pour minimiser le risque des attaques ciblées dans les situations de conflit», estime Stéphane Duguin, même s’il souligne que l’emblème numérique ne devrait être qu’une mesure de protection parmi d’autres. «C’est un outil unique qui permet de mettre l’attaquant face à ses obligations découlant du droit international humanitaire», ajoute-t-il. Point négatif toutefois, l’expert estime que certaines organisations pourraient ne pas avoir la capacité technique ou financière d’adopter cette solution, dont le coût n’est pas connu.
Une protection accrue?
Reste une question: alors que le droit de la guerre est largement bafoué, cet emblème permettra-t-il réellement de mieux protéger les infrastructures numériques humanitaires et sanitaires?
«C’est précisément ce sur quoi nous comptons», répond Laurent Gisel, chef de l’unité armes et conduite des hostilités au CICR. Il ajoute que c’est aussi l’analyse qui ressort des consultations menées par l’organisation avec les États et des experts en cybersécurité, notamment. «L’avenir nous le dira. Mais l’histoire nous enseigne que la visibilité peut renforcer la protection. En 1864, lors de la reconnaissance de l’emblème de la Croix-Rouge, certains auraient pu redouter que les ambulances militaires qui l’arboreraient soient davantage ciblées que lorsqu’elles étaient moins facilement identifiables. Les faits ont démontré le contraire.»
Jeudi dernier au CERN, le CICR a salué un «jour historique», marquant la deuxième phase du développement de l’emblème, qui doit aboutir à sa mise en œuvre. Plusieurs années seront toutefois nécessaires, car le prototype actuel doit encore être testé et amélioré. Des standards Internet devront également être développés au sein de l’Union internationale des télécommunications (UIT) à Genève et de l’Internet Engineering Task Force (IETF).
>> Le droit international humanitaire est largement bafoué, mais cela ne veut pas pour autant dire qu’il n’est jamais respecté:
Plus
Derrière les violations du droit humanitaire se cachent aussi des réussites
Un droit à adapter
Le droit devra aussi être mis à jour. «Le droit international humanitaire devra intégrer une définition de l’emblème numérique, à l’instar des emblèmes actuels comme la Croix-Rouge, qui sont définis dans les Conventions de Genève», explique Laurent Gisel.
Ce ne serait pas la première fois qu’une telle mise à jour serait faite pour répondre aux progrès technologiques. Dans les années 1970, afin de permettre l’identification des avions sanitaires de nuit, lorsque la Croix-Rouge peinte sur le fuselage n’est pas visible, un signal distinctif sous la forme d’un feu bleu scintillant a été introduit. Ses caractéristiques techniques sont définies dans l’annexe I du Protocole additionnel I de 1977 aux Conventions de Genève.
«L’intégration de l’emblème numérique dans le droit international humanitaire permettra d’appliquer pleinement à sa version numérique les règles spécifiques qui régissent l’utilisation de l’emblème, notamment l’obligation pour les États de réprimer les abus, comme un emploi illicite qui viserait à protéger des infrastructures numériques militaires», ajoute-t-il.
Il appartiendra aux États de décider de la voie à suivre. Deux options principales s’offrent à eux. La première consisterait à modifier l’Annexe I du Protocole additionnel I de 1977. La seconde serait de négocier un quatrième protocole additionnel aux Conventions de Genève, une démarche plus longue et plus complexe.
Relu et vérifié par Virginie Mangin/ptur
Plus
Notre newsletter sur la politique extérieure de la Suisse
En conformité avec les normes du JTI
Plus: SWI swissinfo.ch certifiée par la Journalism Trust Initiative
Vous pouvez trouver un aperçu des conversations en cours avec nos journalistes ici. Rejoignez-nous !
Si vous souhaitez entamer une conversation sur un sujet abordé dans cet article ou si vous voulez signaler des erreurs factuelles, envoyez-nous un courriel à french@swissinfo.ch.