CITOYENS LE SECTEUR PRIVÉ ET LES GOUVERNEMENTS · La cybersécurité requiert d’innovations et...

POUR PROTÉGER LES

LE SECTEUR PRIVÉET LES GOUVERNEMENTS

UN APPEL À L’ACTION

CITOYENS

2018White paper series

Publication 1

Un appel à l’action pour protéger les citoyens, le secteur privé et les gouvernements 3

CRÉDITS

Auteur principal

Équipe technique de l’OEA

Équipe technique AWS

Secrétaire général de Organisation des États

Américains (OEA)

Miguel Rego

Claudia Paz y PazAlison August TreppelBelisario ContrerasKerry-Ann Barrett

Bárbara Marchiori de AssisNathalia Foditsch

Gonzalo Garcia-Belenguer

Min HyunMichael SouthMaria Saab

Luis Almagro

Un appel à l’action pour protéger les citoyens, le secteur privé et les gouvernements4

1 32CONTENU

OBJECTIFS LE RÔLE DES GOUVERNEMENTS DANS LA PROTECTION DU CYBERESPACE

INTRODUCTION

Un monde plus numérique et hyper-connecté

Les menaces sont plus complexes et évoluent

Les pirates sont nombreux et très hétéroclites

Les réseaux des gouvernements et leurs vulnérabilités

7 8

9

9

10

11


1929

23

20

23

21

24

13 18

22

26 28

5 764COMMENT POURSUIVRE LES EFFORTS ? DE LA STRATÉGIE À L’ACTION

RÉFÉRENCESCONCLUSIONSQUEL SERAIT DONC LE POINT DE DÉPART DES ÉTATS?

Actions pour les citoyens et le secteur privé

Actions pour les opérateurs d’infrastructures critiques

Actions pour le gouvernement et les institutions publiques

Protection des technologies publiques

Lutte contre les crimes cybernétique

Autres actions gouvernementales

Talents

Entrepreneuriat

Publications

Sites internet


1OBJECTIFS

Les technologies de l’information et de la communication ont révolutionné notre mode de vie. Elles ont été l’un des moteurs du développement économique et industriel allant jusqu’à nous rendre fortement dépendant du cyberespace. Notre façon de communiquer, interagir, étudier, faire des recherches et même acheter, a été transformée par l’expansion accrue de la numérisation qui a changé nos habitudes et nos comportements. Ces processus de transformation numérique ont également pénétré les entreprises et les organismes publics, faisant que tout processus de production ou service public aux citoyens ne puisse se concevoir sans l’usage intensif des technologies.

Ce scénario de grandes opportunités pour l’économie, l’industrie et la société présente toutefois des risques et des menaces. Le cyberespace suscite un grand intérêt pour les criminels et terroristes, qui peuvent profiter de l’anonymat offert par Internet et du manque d’uniformité des législations nationales et internationales, pour agir en toute impunité.

Face à ce scénario de grandes possibilités, mais aussi de risques et menaces, les gouvernements doivent agir en définissant les conditions juridiques, techniques et organisationnelles nécessaires pour que les citoyens, les entreprises et les institutions publiques puissent tirer pleinement profit des possibilités de cette réalité numérique tout en se préservant de leurs effets négatifs.

Ce document vise à aider à identifier les éléments clés permettant la construction d’un environnement numérique sécurisé qui serve au développement économique et social des pays.


2INTRODUCTION

La transformation numérique a donné lieu à l’expansion de la technologie numérique au sein de la société et dans tous les domaines fonctionnels d’une organisation. Ceci a fait évoluer notre façon de travailler et d’interagir. Ce changement a également entrainé une amélioration des processus industriels de production et a eu un impact positif sur le développement économique. Nous faisons appel, chaque fois plus, au numérique et nous sommes davantage hyper-connectés. Cela explique la croissance exponentielle de la technologie au niveau personnel et professionnel.

Toutefois, ces circonstances ont été facilitées par les réalités suivantes :

L’interconnexion massive de ce qui a été appelé l’Internet des objets (IdO), qui nous fera passer de 6 500 millions d’éléments interconnectés par Internet à plus de 21 000 millions, facilitera la surveillance et le contrôle à distance de plusieurs appareils intelligents.

Les systèmes cyber-physiques sont composés d’éléments/objets physiques dotés de capacités de calcul et de communication les convertissant en objets intelligents qui peuvent coopérer entre eux afin de créer des écosystèmes partagés et autonomes. Ces systèmes, combinés à l’IdO, sont à la base du

développement des Smart Cities et en général des « SmartX », soit, l’application de ces systèmes à presque tous les domaines, processus ou organisations (voitures, drones, maisons, hôpitaux etc...).

Maximiser le stockage des données et leur analyse et exploitation. La quantité massive d’informations en train d’être crée par l’IdO permet d’obtenir des prévisions et projections afin de travailler de manière plus efficace et rentable comme jamais auparavant. Les crypto-monnaies, au cours très volatils, et la blockchain ont déjà révolutionné la façon de faire des affaires sur le Net. Avec un niveau de pénétration croissant, d’ici 2020, elles représenteront 25% de toutes les transactions financières.

Le commerce électronique continuera d’augmenter ses parts sur la quasi-totalité des marchés car cela implique pour le client plus de confort, de rapidité et de fiabilité dans les livraisons.

D’autres tendances contribueront également à cette croissance imparable « du numérique » telles que l’intelligence artificielle, le “machine learning”, la réalité augmentée (RA), la réalité virtuelle, etc...

Un monde plus numérique et hyper-connecté


Les criminels lancent des attaques chaque fois plus sophistiquées et cette situation est aggravée par l’augmentation de la surface d’attaque disponible dans la mesure où davantage de processus se numérisent. Les systèmes de contrôle industriel (ICS) qui permettent le fonctionnement des services de base comme l’électricité, l’eau ou le transport, ou sur lesquels reposent les processus industriels de fabrication, deviennent la cible des pirates qui, motivés par des croyances politiques, nationalistes ou idéologiques, cherchent à perturber ou saboter ces services.

Les menaces évoluent et deviennent de plus en plus complexes. Les architectures de cybersécurité d’il y a dix ans, ont rempli leurs fonctions lorsque les menaces et les attaques étaient moins fréquentes. Or, aujourd’hui, ces systèmes deviennent obsolètes et doivent s’adapter aux nouvelles menaces. La cybersécurité requiert d’innovations et investissements

constants dans les pare-feu, proxys, WAFs et autres technologies d’infrastructure des sites ou du cloud, de même que dans la formation des utilisateurs et des processus de sécurité. L’adoption du cloud computing crée des alternatives supplémentaires de défense car il permet une plus grande granularité de chaque couche de l’infrastructure réduisant ainsi la surface d’attaque disponible.

Les trois piliers de la sécurité

Il est important que les gouvernements, tout particulièrement, comprennent que la technologie n’est pas la seule réponse face au défi de la cybersécurité. Une stratégie globale de cybersécurité en matière de politique, programmes, fonds et mise en œuvre, doit couvrir les trois piliers de cybersécurité suivants : les personnes, les processus et la technologie.

Chaque jour, plus de 230 000 échantillons différents de logiciels malveillants sont produits et la tendance est à la hausse. Par ailleurs, l’on enregistre plus de 4 000 plaintes par jour contre des attaques par ransomware. Cette augmentation continue du nombre d’attaques est motivée par le gain économique potentiel que le cybercriminel espère obtenir. Certaines estimations indiquent que les pertes liées à la cybercriminalité atteindront le chiffre de 2,1 milliards de dollars en 2019.

Toutefois, l’enrichissement illicite n’est pas la seule motivation. Parfois, l’objectif d’une cyber-attaque peut être le vol d’informations confidentielles militaires, économiques ou politiques. Dans ce cas, les pirates peuvent être sponsorisés par un État ou par une société ayant des intérêts opposés à ceux de la victime.

Les menaces sont plus complexes et évoluent

Les pirates sont nombreuxet très hétéroclites


Les réseaux des gouvernements et leurs vulnérabilités

Les réseaux et systèmes des gouvernements et administrations publiques sont une cible naturelle des cybercriminels. Les systèmes renferment de nombreux renseignements personnels, financiers et bancaires. En plus de ces données personnelles, les institutions publiques gèrent et stockent des informations confidentielles sur des questions importantes : informations de pays tiers, intérêts stratégiques, etc...

Outre cela, ces environnements technologiques pourraient être la cible d’attaques de propagande, motivées par un malaise social, ou encore de cyber-terroristes qui voudraient bloquer le fonctionnement des services critiques fournis par le gouvernement ou l’administration.

Cette capacité à attirer des cyberattaques croît car parfois le parc technologique installé est varié et mixte. En effet, il peut mêler des systèmes “legacy”, très peu ou pas pris en charge, avec des technologies modernes et avancées. Cette situation peut engendrer un risque élevé lorsque les utilisateurs sont mal formés et sensibilisés à la cybersécurité et que le personnel technique d’exploitation et maintenance des systèmes est peu nombreux.

Il est primordial que les organisations des secteurs public et privé mettent en œuvre des solutions informatiques qui puissent répondre, à titre préventif et volontaire, aux cybermenaces réelles et perçues. Ces organisations peuvent tirer parti des solutions de cybersécurité disponibles qui permettent d’identifier les menaces, informer les fournisseurs d’accès et mettre en œuvre des mesures d’ atténuations en temps réel.

Les plans de modernisation de l’État en matière de technologie doivent également être l’occasion pour que les gouvernements améliorent le niveau de protection de l’infrastructure informatique. À mesure que l’infrastructure installée approche de l’obsolescence, les gouvernements peuvent profiter des capacités avancées de sécurité des nouvelles technologies (cloud) pour rechercher des modèles plus efficaces.

Finalement, le budget du secteur public pour les technologies et services en matière de cybersécurité pour la protection de ces environnements est généralement nettement inférieur à celui d’autres secteurs.


3LE RÔLE DES GOUVERNEMENTS DANS LA PROTECTION DU CYBERESPACE

La cybersécurité est devenu un élément fondamental pour la stabilité sociale et économique de toute nation à cause de la forte dépendance créé par le cyberespace ainsi que de l’augmentation et la complexité des menaces. Elle devient même une priorité nationale. À cet égard, les gouvernements doivent jouer un rôle de leader dans la promotion d’un cyberespace sûr qui crée de la confiance chez les citoyens et les entreprises. Puis, qui permette également de faciliter la croissance sociale, économique et industrielle du pays.

Ce rôle clé des États se traduit de la façon suivante :

Les gouvernements doivent participer activement aux organisations et forums internationaux ainsi qu’aux structures supranationales afin d’harmoniser et coordonner une position commune pour la défense du cyberespace. Cet effort doit se concrétiser par la signature d’accords internationaux et la révision et adaptation des législations nationales. En ce sens, et comme première étape, l’action du gouvernement doit se concrétiser par une stratégie nationale de cybersécurité énonçant les principes, objectifs et lignes d’action permettant de développer un modèle de cybersécurité pour le pays.

La protection et réponse aux cybermenaces implique toute la société et non seulement le gouvernement, l’administration et les institutions publiques. Les infrastructures critiques dont dépendent les services de base, sont gérées, en grande partie, par des entreprises privées qui jouent un rôle essentiel dans la cybersécurité nationale. Les entreprises qui fournissent des produits et services en matière de cybersécurité sont également importantes car parmi leurs clients se trouvent des organismes publics et privés qui utilisent leurs solutions pour protéger leurs processus et informations clés.

Formulation et mise en œuvre des politiques publiques

Développement d’une réponse concertée


Étant entendu que la mise en œuvre et l’utilisation des technologies dans le secteur public, par exemple, peut être lente, les gouvernements doivent continuer à prendre le pouls de l’innovation et des technologies plus sophistiquées pour améliorer la cybersécurité. Face à une augmentation des acteurs malintentionnés et des menaces plus complexes, la technologie doit s’adapter afin de fournir une réponse efficace. Le marché des produits et solutions de cybersécurité évolue également pour fournir les réponses nécessaires aux besoins et à la demande.

Les personnes, ayant la double casquette d’utilisateurs des services de la société de l’information et d’employés au service du gouvernement ou du secteur privé, sont également essentielles car leurs façons d’agir face aux technologies peuvent faciliter ou entraver le succès d’un incident cybernétique. Enfin, les universités et les centres de recherche éduquent les futurs professionnels et définissent les modèles ou solutions aux problèmes de cybersécurité actuels ou à venir.

Dans un contexte gorgé d’acteurs différents qui contribuent activement à la cybersécurité nationale, le gouvernement doit jouer un rôle de coordinateur et harmoniser tous les efforts en vue d’atteindre un objectif commun.

Il est important d’insister, à tous les niveaux de la société, sur l’importance de la cybersécurité. Puis, sur le fait que toutes ces connaissances se traduisent par des schémas de comportement. La création d’une culture nationale de la cybersécurité doit être encouragée par le gouvernement au travers de divers moyens et canaux. De plus, elle doit prendre en compte les citoyens, les entreprises et les administrations publiques, des décideurs aux employés.

Aux États-Unis, le mois de la sensibilisation à la cybersécurité (NCSAM, en anglais) est un clair exemple de cela. Ce mois a été instauré pour la première fois par le président et mis en œuvre dans la plupart des États.

Améliorer et maintenir un niveau adéquat de cybersécurité dans les entreprises et les institutions publiques nécessite d’un grand nombre de professionnels ayant les compétences appropriées. De même, les technologies de l’information ont besoin de se doter de solutions de cybersécurité qui protègent contre les cyberattaques. Les deux aspects sont essentiels pour développer un modèle national de cybersécurité.

D’autre part, le déficit global de professionnels et une demande accrue de produits et services de cybersécurité représentent une opportunité pour le développement économique et l’amélioration de la capacité d’influence internationale des nations capables d’exporter des talents et de la technologie en matière de cybersécurité.

Les gouvernements doivent jouer un rôle essentiel dans la promotion d’un écosystème d’entrepreneuriat et création de talents en matière de cybersécurité, en stimulant l’intérêt pour la cybersécurité dès le plus jeune âge puis en encourageant et soutenant la production d’idées et projets qui puissent promouvoir l’esprit d’entreprise.

Création d’une culture de la cybersécurité

Promotion d’un écosystème professionnel et des affaires


4QUEL SERAIT DONC LE POINT DE DÉPART DES ÉTATS?

La définition d’une stratégie nationale en matière de cybersécurité devrait être la première étape pour la construction d’un cyberespace sécurisé. Cette stratégie devrait être définie après l’identification et l’évaluation des risques cybernétiques encourus par le pays. En effet, cette approche permettra :

Les étapes à suivre sont les suivantes :

De protéger les intérêts nationaux dans le cyberespace contre les menaces réelles.

D’être efficace en termes d’actions à mettre en œuvre par rapport à l’importance des biens et actifs à protéger ainsi que de leurs niveaux réels d’exposition.

D’intégrer les mesures de cybersécurité déjà existantes au nouveau modèle.

D’inclure une hiérarchisation des actions définies.

D’évaluer l’état de la technologie la plus utilisée par les organismes publics et privés et déterminer leurs niveaux de modernisation et sensibilité aux menaces et risques cybernétiques.

D’inclure en politique, dans les programmes, le financement et la mise en œuvre, les trois piliers de cybersécurité : personnes, processus et technologie.

+

+

+

+

+

+

ÉTAPES DE DEFINITION DE LA STRATEGIE


Définir la portée et les objectifs

Dans cette première étape, la portée de la stratégie doit être définie et doit déterminer les aspects pris en compte : gouvernement, secteur privé, infrastructures essentielles, citoyens, universités etc...

Les principes directeurs du modèle doivent être décrits. Ces principes reposent sur les valeurs et les aspects culturels de la société, et sont définis par les raisons sur lesquelles se fondent les droits et libertés du pays.

Identifier les menaces

Au cours de cette étape, les gouvernements doivent identifier et établir une classification des différents types de pirates et de leur degré de motivation. Pour ce faire, il faudra faire appel à une série de sources telles que les agences gouvernementales, les services répressifs, le secteur privé et le milieu universitaire.

La hiérarchisation des menaces varie selon les pays, parce qu’elles dépendent de la situation géopolitique de chaque pays, de son niveau de développement économique et industriel, ainsi que des propres cultures et réalités sociales.

En d’autres termes, les menaces peuvent être classées de la façon suivante :

1.

2.

3.

Cybercrime. Ceux-ci comprennent les infractions classiques utilisant des systèmes d’information comme moyen ou outil tels que : la fraude, le vol d’argent, vol d’informations, l’extorsion, le harcèlement, les abus sexuels sur mineurs, le sabotage etc... De même que d’autres plus spécifiques : accès non autorisé à un système à distance par exemple.

Cyber terrorisme. Cette menace regroupe toutes les actions réalisées par des groupes terroristes à travers des réseaux et systèmes pour bloquer les infrastructures critiques, attirer des adeptes ou faire de la propagande.

Actions de pays tiers. Elles comprennent les attaques allant du vol d’informations confidentielles à des actions de guerre asymétriques pour la destruction de services de base.

Définir les scénarios de risque

Le risque doit être compris comme une estimation des probabilités qu’une cybermenace, interne ou externe à un pays, puisse être utilisée contre les citoyens, les entreprises et les institutions publiques, et avoir un impact sur les technologies processus et services essentiels. Lors de l’analyse du risque, les menaces et leurs capacités à créer des dommages (impacts) doivent être prises en compte par rapport aux éléments et intérêts à protéger (actifs). Il est donc important de tirer profit de certaines faiblesses (vulnérabilités) de l’environnement ou des technologies dont elles dépendent afin de déterminer la probabilité de survenue de ces dites menaces. Le risque peut ainsi être déterminé car il repose sur ces variables. Il peut se résumer de la façon suivante :

Risque: f (Actif, Vulnérabilité, Impact)


4.

L’analyse des menaces. La menace peut être identifiée par l’analyse des aspects tels que la motivation, la sophistication des moyens techniques qui devraient être utilisés, le niveau de connaissances requis ainsi que le nombre de pirates potentiels.

L’analyse de la vulnérabilité. Il faut étudier si les moyens permettant de mener à bien l’attaque sont suffisamment connus, s’ils sont faciles à détecter et à corriger. À ce stade, il convient de souligner que l’obsolescence des systèmes et des technologies dans le pays peut être un élément contribuant à ce que les menaces puissent se matérialiser avec succès. Lors de cette étape, il est important d’effectuer une analyse qui détermine le niveau de modernisation des systèmes numériques.

Les scénarios de risque permettent d’analyser les événements qui peuvent avoir une incidence sur la sécurité du cyberespace et les intérêts nationaux, en fournissant une méthode d’évaluation et de gestion.

Les nations doivent définir un ensemble de scénarios de risque, identifier les événements qui pourraient avoir un impact sur leurs intérêts, identifier les menaces potentielles qui pourraient peser sur elles ainsi que les facteurs temporaires associés tels que le temps nécessaire pour les détecter ou leur possible durée.

Ces éléments, objectifs, menaces, temps et événements doivent être combinés et analysés afin d’identifier leur probabilité et pertinence. Finalement, le nombre de scénarios pris en compte devrait se limiter à un nombre gérable, de préférence compris entre 10 et 20.

Définir et concevoir des scénarios pertinents exige de l’expérience, une connaissance détaillée du contexte et de la réalité nationale. Toutefois, le plus important est de tenir compte de toutes les visions et sensibilités, celles du secteur public, des entreprises privées, des universités et centres de recherche, etc....

Identifier la probabilité de survenue (vulnérabilité)

L’objectif de cette étape est de déterminer la probabilité de matérialisation de chacun des scénarios identifiés. Il y a deux facteurs qui peuvent aider à estimer la probabilité de survenue :

TEMPSDuréeSurvenueDélais de détection

OBJECTIFSGouvernementPMEOpérateur critiqueCitoyens

ÉVÉNEMENTSFiltrationInterruption

DestructionDiscontinuité

MENACESÉtatsTerroristeCriminels

SCÉNARIO DERISQUE


En combinant ces deux facteurs, étude de menaces et étude de vulnérabilités, une évaluation de la probabilité de survenue du scénario étudié pourra être établie.

Évaluer les conséquences (impacts)

L’objectif est de limiter les éléments permettant au scénario de risque de se matérialiser. Cette évaluation peut se fonder sur deux facteurs:

Évaluer les capacités actuelles

Après identification et évaluation des scénarios s’impose une reconnaissance et analyse des capacités existantes dans le pays. Il faudra ainsi évaluer le niveau de maturité des capacités existantes et déterminer comment celles-ci peuvent agir sur les scénarios de risque analysés. Pour ce faire, l’on pourra utiliser les modèles d’évaluation existants, adaptés à la réalité nationale, comme le “Cyber Security Maturity Model for Nations “ (Modèle de maturité en matière de cybersécurité pour les nations), développé par le Global Cyber Security Center (GCSC), institut rattaché à l’Université d’Oxford, en collaboration avec l’Organisation des États américains (OEA). Ce modèle a déjà été utilisé par l’OEA pour mener à bien, avec le soutien de la Banque interaméricaine de développement (BID), son étude intitulée : « Cybersécurité : Sommes-nous prêts en Amérique latine et dans les Caraïbes? ».

Le modèle développé par le GCSC couvre les aspects suivants :

1. Élaboration d’une politique et stratégie de cybersécurité 2. Promotion d’une culture de la cybersécurité responsable dans la société. 3. Accroissement des connaissances en matière de cybersécurité. 4. Création de cadres réglementaires et juridiques efficaces. 5. Contrôle des risques au travers de normes, organisations et technologies.

La combinaison des deux facteurs, techniques et non techniques, permettent d’extrapoler quant aux conséquences de la survenue d’un de ces scénarios qui, compte tenu de la portée et de l’étendue, peuvent être classés selon différents niveaux (tiers) :

5.

6.

Des facteurs techniques. Cela consiste à évaluer les conséquences d’un point de vue strictement sécuritaire, en prenant en compte l’importance des services touchés en matière de confidentialité, intégrité et disponibilité.

Des facteurs non techniques. Ici, l’on analysera les conséquences de la matérialisation de la menace pour le pays par rapport à ses engagements internationaux ou avec des pays tiers, sur sa crédibilité, son image, la violation d’obligation légale et la croissance des indicateurs qui déterminent le « risque pays ».

Tier 1 : Lorsque l’impact pourrait avoir des conséquences « stratégiques » en ayant des répercussions au niveau national ou organisationnel.

Tier 2 : Lorsque l’impact pourrait avoir des conséquences « opérationnelles » car il touche des objectifs commerciaux et des services.

Tier 3 : Lorsque l’impact touche à des actifs spécifiques (personnes, installations, technologies, etc....).


7.

L’examen de la maturité concrète des capacités nationales en matière de cybersécurité permet de comprendre le niveau réel de risque des scénarios identifiés et de déterminer les exigences à inclure dans la stratégie de cybersécurité nationale et dans sa mise en œuvre.

Définir la stratégie nationale de cybersécurité et les lignes d’action

La stratégie nationale de cybersécurité est le document qui décrit les objectifs à atteindre pour gérer les risques dans le cyberespace d’une façon intégrale et à partir d’une vision nationale. Ce document doit inclure tous les aspects pertinents du processus d’identification et d’analyse de risque, et doit être utilisé comme levier pour développer les capacités nationales en matière de cybersécurité et de cyberdéfense.

Les stratégies nationales sont des documents « évolutifs », revissés et mis à jour régulièrement, élaborés en collaboration avec tous les acteurs publics et privés intéressés. Il est essentiel que les stratégies reflètent les valeurs sociales, les traditions et les principes juridiques implantés dans le pays et qu’elles soient en mesure de répondre au double objectif de modèle de base en matière de cybersécurité nationale et, en même temps, de catalyseur pour faciliter la transition numérique dans le pays.

Finalement, la stratégie doit inclure un ensemble de lignes d’action qui permettent au gouvernement d’agir quant aux activités qu’il doit promouvoir et mettre en œuvre afin d’atteindre les objectifs définis et parvenir à une gestion des scénarios de risque identifiés.

Mise en marche : au cours de cette phase soit il n’y a pas de maturité en terme de cybersécurité, soit elle est au stade embryonnaire.

Formation/apprentissage : certaines caractéristiques des aspects ont commencé à croître et à être formulées, mais elles peuvent être ad hoc.

Établi : les éléments de l’aspect sont en place et fonctionnent. Cependant, l’affectation relative des fonds n’a pas été correctement prise en compte.

Stratégique : les éléments importants et moins importants ont déjà été définis, sous réserve des circonstances particulières du pays. Dynamique : il existe des mécanismes clairs pour modifier la stratégie en fonction des circonstances existantes.

Afin de déterminer la maturité de chacun de ces aspects, les niveaux suivants ont été définis :


5COMMENT POURSUIVRE LES EFFORTS ? DE LA STRATÉGIE À L’ACTION.

Après avoir défini les objectifs stratégiques inclus dans la stratégie nationale en matière de cybersécurité, et après avoir défini les lignes d’action, les gouvernements devront, par la suite, s’atteler à développer les instruments juridiques et réglementaires nécessaires, répartir les tâches et responsabilités et, renforcer les compétences techniques et organisationnelles nécessaires. Il est donc temps de passer de la stratégie à l’action.

Une attention toute particulière doit être adressée à la prévention des risques du cyberespace pour les enfants. Les gouvernements devraient élaborer un programme éducatif avec des contenus spécialement conçus pour prévenir et détecter les cas de « cyberharcèlement » « sexting » et « grooming » ainsi que créer, en complément, un centre d’information spécifique pour dénoncer, contrôler et réaliser le suivi de ces cas.

Actions pour les citoyens et le secteur privé

Mise en place d’activités de sensibilisation de façon à s’assurer du fait que les citoyens et les entreprises connaissent les potentielles vulnérabilités et cybermenaces. Puis, qu’ils sachent mettre en place un schéma de comportement adéquat dans leur utilisation des technologies et d’Internet. L’« hygiène cybernétique », c’est-à-dire l’intégration de schémas de comportement adéquats pour prévenir les effets néfastes de l’utilisation des technologies, pourrait être favorisée par les actions suivantes :

Des campagnes de communication dans les médias destinés aux citoyens et aux petites et moyennes entreprises (PME), afin de promouvoir un usage sûr d’Internet par l’adoption d’outils et de pratiques d’« hygiène cybernétique ».

Des programmes de sensibilisation et d’éducation en collaboration avec les acteurs du secteur public et privé, en faisant preuve de coordination et rationalisation des efforts.

Des modules pédagogiques destinés à tous les niveaux d’éducation.

Favoriser l’organisation d’événements au niveau national, régional ou communal parmi lesquels des ateliers pour promouvoir de meilleures pratiques chez tous les utilisateurs et pour des groupes spécifiques (parents, enseignants et enfants).

Développer et partager des contenus multimédias attrayants et des outils éducatifs fondés sur la « ludification ».


Pour ce qui est du secteur privé, le gouvernement pourrait mener à bien les actions suivantes :

Le gouvernement devrait promouvoir la création d’un centre nationale de réponse aux incidents cybernétiques (CERT en anglais) pour fournir des services spécifiques aux citoyens et au secteur privé. Ce centre devrait compléter, et non concurrencer, les services fournis par les prestataires de services de CERTs privés ou des Centres des opérations de sécurité (SOC en anglais). L’objectif de ce CERT public est de développer des services à valeur ajoutée pour la gestion de situations de crise nationale ou pour des services répondant aux caractéristiques suivantes :

Pour cela, il est indispensable que le gouvernement ait un aperçu détaillé des différents acteurs du marché et des services qu’ils fournissent afin de trouver des synergies et éviter les chevauchements.

Faciliter l’utilisation de solutions pour échanger des informations sur les menaces, les vulnérabilités et les incidents entre entreprises du même secteur de façon à créer une « mémoire collective » pour la prévention et des réponses plus rapides.

Élaborer des codes de bonnes pratiques et soutenir la création de normes de certification.

Promouvoir des exercices cybernétiques pour tester les mécanismes de coordination entre les différentes entreprises et les organismes publics et améliorer l’efficacité des réponses face aux incidents.

Développer des études comparatives entre entités d’un même secteur et d’autres secteurs dans le but d’établir des références et de réaliser une “analyse comparative”.

D’extrême importance pour la sécurité et la défense nationale.

Les services à valeur ajoutée pour la cybersécurité nationale qui ne sont pas couverts par le secteur privé car peu demandés ou pas rentables.

Définir et identifier les secteurs critiques. Le gouvernement devrait identifier les secteurs critiques desquels dépendent leur fonctionnement et dont l’indisponibilité pourrait entraîner de graves conséquences. Les pays ont développé différentes approches en fonction de leurs contraintes géopolitiques, économiques et industrielles. Toutefois, certains secteurs apparaissent dans tous les modèles nationaux : les administrations publiques, l’énergie (électricité, gaz, pétrole, nucléaire), le transport (ferroviaire, routier, aérien et maritime), les finances (banque et moyens de paiement), l’eau, les réseaux de télécommunications et la santé.

La protection des infrastructures critiques doit être un élément clé de la stratégie nationale en matière de cybersécurité car, elle vise à optimiser la résilience des infrastructures desquelles dépendent les services de base de la nation.

La cybersécurité des organismes publics ou privés qui exploitent ces secteurs stratégiques est particulièrement importante étant donné qu’une cyberattaque réussie contre ceux-ci pourrait avoir un impact très grave sur la sécurité et le fonctionnement du pays. Cet impact pourrait avoir une incidence sur la vie des citoyens, la stabilité, la force et la crédibilité de l’économie ainsi que sur la réputation internationale du pays.

Afin de protéger ce type d’organisation, les gouvernements pourraient développer les actions suivantes :

Actions pour les opérateurs d’infrastructures critiques


Développer une méthode pour identifier et évaluer les infrastructures critiques, de sorte que ces critères soient cohérents et reproductibles dans le temps.

Pour chacun des secteurs stratégiques, le gouvernement pourrait définir : le catalogue des menaces, les critères spécifiques permettant de considérer comme critiques les services fournis par une organisation en particulier, ainsi que le catalogue des opérateurs et des infrastructures critiques.

Les exigences minimales de sécurité que les opérateurs doivent mettre en œuvre, le modèle d’évaluation des risques et de gouvernance ainsi que la gestion de la cybersécurité.

Favoriser des mécanismes d’échange d’informations entre les opérateurs sur les incidents et les menaces.

Définir, pour le CERT ou les CERTs nationaux, un catalogue de services spécifiques pour les opérateurs critiques. Ce catalogue devrait répondre aux particularités de chaque secteur stratégique en matière de menaces, services et technologies dont ils dépendent ainsi que les conséquences et impacts de non-fonctionnement de ceux-ci.

Promouvoir des exercices cybernétiques sectoriels pour améliorer le degré de préparation des opérateurs aux cyberattaques systémiques. Ces exercices, de par leur caractère unique et spécialisé, doivent être complétés par d’autres multisectoriels, axés sur la préparation aux crises au niveau national.

L’organisation d’événements et d’autres forums qui favorisent le développement de connaissances et l’échange d’expériences entre responsables de la cybersécurité. Encourager également la création de groupes de travail sectoriels pour promouvoir et développer des modèles de sécurité spécifiques à chaque secteur.

Connaitre les besoins spécifiques, en produits et services, des opérateurs des secteurs stratégiques pour déterminer si l’offre actuelle sur le marché est appropriée. Ceci pourrait être de grande utilité au gouvernement afin d’orienter la recherche universitaire et d’encourager le développement d’initiatives entrepreneuriales.

La recherche d’une plus grande efficacité dans le fonctionnement des services publics et une plus grande proximité avec les citoyens a incité de nombreux gouvernements à adopter des processus de transformation numérique dans l’administration publique appelé l’e-Administration. Le succès de ces initiatives dépend des citoyens qui doivent changer progressivement leur manière d’aborder l’administration et s’adapter à cette nouvelle réalité numérique. Pour ce faire, l’un des éléments les plus importants est la « confiance numérique », c’est-à-dire la notion selon laquelle les citoyens sont convaincus que leurs données sont privées, en sécurité et gérées de manière transparente. Sans la confiance numérique, l’e-Administration n’est pas viable.

Les institutions publiques traitent et stockent les données personnelles des citoyens et ont donc besoin de sauvegarder ces informations dans de grandes bases de données, convoitées par les cybercriminels.

Actions pour le gouvernement et les institutions publiques

Le gouvernement et les administrations publiques doivent bénéficier d’un niveau élevé de protection contre les cybermenaces. Les raisons de cela se fondent sur les considérations suivantes :


Outre les informations personnelles, le gouvernement gère des informations hautement stratégiques pour les intérêts nationaux. Celles-ci nécessitent des mesures supplémentaires de protection.

Définir un cadre national de cybersécurité pour les administrations publiques qui puisse leur servir de référence et permette d’unifier les critères entre le gouvernement national, les gouvernements régionaux ou des États, les communes et les administrations locales. Le cadre national devrait inclure les politiques, les procédures, les normes techniques, les lignes de référence, les méthodologies et les outils. Cela devrait permettre d’améliorer la protection des services publics, de l’information, des systèmes d’information et des communications qu’il utilise. Chaque nation devrait adopter un cadre industriel comme base (ISO, NIST, etc.) puis, orienter sur la façon dont s’appliquera ce cadre dans le pays. Il serait très difficile pour les entreprises et les fournisseurs de services de s’aligner sur le cadre et les normes spécifiques de chaque pays et ceci limitera ceux qui pourront les utiliser. Les cadres communs en matière de cybersécurité, gestion des risques, contrôles de la sécurité, etc... profiteront au secteur commercial et au gouvernement.

Développer des accords multinationaux ou des accords commerciaux qui facilitent le partage et la coordination/coopération des pays qui luttent contre les cybermenaces.

Mettre en place des programmes de formation et de sensibilisation destinés aux fonctionnaires publics afin de leur montrer quelles sont les menaces spécifiques qui pèsent sur la cybersécurité des services publics et leur inculquer des schémas de comportement en matière d’« hygiène cybernétique ».

Développer et mettre en œuvre des capacités horizontales en matière de cybersécurité qui unifient au maximum la prévention, détection et réponse aux incidents cybernétiques pour les administrations centrales, régionales et locales. Ces capacités horizontales ont l’avantage d’unifier et de normaliser le service de cybersécurité dans toutes les institutions publiques. Elles apportent efficacité en se fondant sur les économies d’échelle et permettent d’obtenir une vision globale qui apporte des renseignements et des informations précieuses.

Élaborer un schéma de cybersécurité visant à faciliter l’évaluation formelle et la certification des produits et systèmes qui feront partie des infrastructures technologiques sur lesquelles sont pris en charge les services essentiels de l’administration. Profiter des normes internationales et de l’industrie existantes telles que SOC, ISO, PCI, NIST, etc.... au lieu de créer des normes uniques qui peuvent être très difficiles, voire impossibles à appliquer.

Outre ces activités pour la défense des réseaux et des systèmes qui prennent en charge les services publics, les gouvernements devraient développer leurs capacités en matière de cyberdefense et de lutte contre la cybercriminalité.

Les mesures que les gouvernements pourraient promouvoir sont les suivantes :

Le cyberespace offre un nouveau théâtre d’opérations et cela signifie que, dans un conflit armé, les actions militaires pourraient potentiellement affecter l’information, les services et les systèmes critiques. Il est donc nécessaire que les forces armées disposent d’unités spécialisées pour la défense des intérêts nationaux dans le cyberespace.

Protection des technologies publiques

La cyberdéfense


Les gouvernements pourraient promouvoir les actions suivantes pour le développement des capacités en matière de cyberdéfense :

Élaborer des programmes spécifiques de spécialisation et formation dans le domaine. Ceci permettra aux armées de compter sur les effectifs nécessaires.

Définir un modèle de collaboration avec des entreprises spécialisées et des experts en cybersécurité pour renforcer les capacités des forces armées dans les cas convenus.

Promouvoir des exercices réguliers de cyberdéfense qui facilitent la formation continue sur des scénarios réels.

Développer des connaissances et expériences en matière de menaces et vulnérabilités liées à la cyberdéfense et aux méthodes d’attaque, en partageant les informations au niveau national et international.

Établir une coopération avec les principales institutions académiques et de R & D pour développer des besoins spécifiques dans le domaine de la cyberdéfense.

Le front juridique, en créant des lois spécifiques et en adaptant celles existantes pour pourvoir lutter contre la cybercriminalité.

Développer des compétences en fournissant des ressources spécialisées aux institutions responsables, chargées de veiller au respect de la loi : les juges, les procureurs et les unités d’enquête de police.

Adapter le cadre juridique national aux nouveaux types de délits et adapter les types existants à la réalité numérique.

Sur le plan international, participer à l’élaboration d’accords et traités pour la lutte contre la cybercriminalité et les ratifier une fois approuvés.

Créer des unités spécialisées dans la cybercriminalité (de police et judiciaires) et mettre en place des programmes de formation continue.

Améliorer les capacités des organismes compétents et assurer la coordination par l’échange d’informations et de renseignements.

Renforcer la coopération policière internationale et la participation dans les instances et organisations internationales dédiées à la lutte contre la cybercriminalité.

Lutte contre les crimes cybernétiques

La lutte contre le cyberterrorisme et la cybercriminalité doit prendre en compte deux aspects, le cyberespace en tant qu’outil qui permet le développement de ces activités criminelles et le cyberespace en tant qu’objectif final de l’action. Ainsi, la collaboration des différents acteurs est nécessaire et doit être abordée de manière globale. Pour ce faire, le gouvernement pourrait agir sur deux fronts :

À cet égard, les gouvernements pourraient entreprendre de mettre en œuvre les actions suivantes :


Développer les connaissances et expériences sur les menaces et vulnérabilités liées à la cybercriminalité.

Instaurer une coopération avec les principales institutions universitaires et de R & D sur les nouvelles techniques d’enquête policière.

Établir une coopération entre les parties prenantes du secteur public et privé afin d’identifier et répondre rapidement aux problèmes de cybercriminalité.

Créer un canal dédié aux citoyens et aux entreprises pour dénoncer les possibles crimes cybernétiques.

Développer et mettre en œuvre des actions spécifiques de détection et poursuite des cybercrimes impliquant des mineurs.

La construction d’un modèle national de cybersécurité exige que le gouvernement, les administrations publiques et le secteur privé compte sur un nombre suffisant de professionnels ayant les connaissances et l’expertise nécessaire en matière de cybersécurité. La demande de professionnels croit progressivement. En effet, avec la croissante dépendance des technologies de l’information et du cyberespace, les processus de transformation numérique provoquent une augmentation des services de cybersécurité. D’autre part, les universités et les centres de formation n’arrivent pas à absorber cette augmentation de la demande et ne génèrent pas un nombre suffisant de professionnels. De plus, les programmes de formation actuels ne fournissent pas le haut degré de spécialisation requis.

Autres actions gouvernementales

Talents

LE CYCLE DE DEVELOPPEMENT DES TALENTS

SCOLAIREPRÉ-

UNIVERSITAIRE UNIVERSITAIRE3ÈME CYCLE

UNIVERSITAIRE/DOCTORAT

PROFESSIONNEL

Conférencesdans les écoles

Gaming

Formation dansles écoles

ConcoursFCT

Formationdegré

Bourse(stages)

Masters

ConcoursFCT

Bourse(spécialisation)

Masters

MOOCs

Read TeamBlue Team

AGIR À TOUS LES NIVEAUX DE

FORMATION PROFESSIONNELLE


Voici quelques-unes des mesures que le gouvernement pourrait mettre en place pour améliorer cette situation :

Nous faisons face, régulièrement, à de nouvelles formes d’attaques qui emploient des techniques et méthodes différentes à celles connues. Ceci combiné à l’évolution continue des technologies et de leur application dans l’industrie et la société, implique que les gouvernements soient confrontés à un contexte où les menaces sont chaque fois plus sophistiquées et innovantes. Les outils et produits actuels en matière de cybersécurité ne sont plus utiles face à ces nouveaux contextes qui ne peuvent être gérés qu’avec de nouvelles approches. La recherche, le développement et l’innovation sont nécessaires pour trouver des solutions efficaces qui répondent aux nouveaux types d’attaques.

Pour atteindre cet objectif, les gouvernements devraient assumer les fonctions de leader et coordinateur de toutes les parties prenantes :

Ci-après, les actions que les gouvernements pourraient mettre en place pour créer un écosystème d’entrepreneuriat en matière de cybersécurité :

Déterminer les besoins en talents nécessaires au secteur privé et public ainsi que les connaissances et degré d’expertise requis.

Définir un catalogue général des fonctions professionnelles incluant les capacités et compétences adaptés à l’innovation technologique.

Participer au dialogue avec les universités et autres institutions éducatives afin de développer de nouveaux programmes ou de les adapter aux besoins du marché du travail.

Promouvoir dans les écoles et centres éducatifs des ateliers et autres activités pour stimuler l’intérêt et la curiosité en matière de cybersécurité.

Organiser des événements de cybersécurité qui permettent d’identifier les experts nationaux.

La demande sophistiquée, c’est-à-dire celle qui émane des secteurs (gouvernement, banques, énergie etc...) qui, soit par le degré de pénétration du numérique dans leurs entreprises, soit par le type de menace qui les touchent, ont besoin de solutions innovantes.

Les universités et les centres d’innovation qui consacrent des ressources à la recherche scientifique et technique.

Les entrepreneurs et les startups aux idées et projets qui puissent aider à fournir une réponse à ces besoins.

Grâce à des forums et groupes de travail, et une demande sophistiquée, déterminer les besoins actuels et futurs en produits et services de cybersécurité. Puis, inscrire ces besoins dans un programme national de recherche qui se convertisse en la feuille de route de la recherche et l’entrepreneuriat.

Créer un programme de recherche pour éviter des chevauchements entre les activités de recherche menées par les différentes institutions.

Entrepreneuriat


Affecter des fonds spécifiques aux programmes de recherche en matière de cybersécurité.

Prévoir des mécanismes qui assurent le transfert des connaissances à l’industrie.

Promouvoir la culture entrepreneuriale chez les jeunes grâce à un plan d’action qui comprenne des activités d’éducation et orientation.

Dans le prolongement du programme de recherche, organiser des concours d’idées où les jeunes entrepreneurs présentent leurs projets et prototypes pour la résolution des problèmes soulevés.

Attribuer des subventions aux entrepreneurs dans les premières étapes du cycle entrepreneurial.

Organiser des événements facilitant les contacts entre entrepreneurs et investisseurs privés.

Promouvoir la mise en œuvre des programmes d’incubation et accélération des startups (entreprises émergentes à fort potentiel de croissance).


6CONCLUSIONS

Le cyberespace et les technologies sont un moteur de croissance pour l’économie ainsi que pour le développement industriel et ont révolutionné notre mode de vie. Nos relations avec les autres, la façon dont nous achetons ou nous faisons des affaires est en train de changer avec les processus de transformation numérique actuels. Ceux-ci continueront de changer avec les processus de transformation futurs. Ce scénario d’énormes opportunités n’est pas sans risques et menaces, comme cela été le cas au cours de l’histoire de l’humanité lors de grandes avancées. Les gouvernements doivent définir les conditions d’utilisation raisonnablement sûres du cyberespace et des technologies de la même manière qu’ils ont agi pour assurer la sécurité publique contre la criminalité traditionnelle et la sécurité juridique dans les relations entre différents partis.

Cet effort de la part des gouvernements doit se fonder sur une collaboration et coopération, ainsi que sur une participation dans les instances internationales par l’adoption d’accords internationaux et par la mise en place d’axes de coopération bilatérale avec d’autres pays. À l’intérieur des frontières, cet effort doit se fonder sur une coordination efficace avec tous les acteurs publics et privés, afin de comprendre et de faire face aux risques et menaces auxquels chaque pays est confronté.

Le gouvernement doit comprendre le rôle fondamental des citoyens et en particulier des jeunes dans la sécurité du cyberespace. Il est donc nécessaire de promouvoir une culture mondiale de la cybersécurité qui conduise à des comportements d’« hygiène cybernétique ».

Finalement, le gouvernement doit catalyser la création de nouveaux talents et entreprises car ces activités sont non seulement essentielles pour la construction du modèle de cybersécurité national mais également parce qu’il s’agit d’une formidable opportunité de croissance.

Pour cela, la première étape d’un gouvernement consiste à définir une stratégie nationale de cybersécurité.

CARTE CONCEPTUELLE DE LA CYBERSÉCURITÉ

Protège

Normes

Gouvernement etadministrations

Opérateurs desinfrastructures critiques

Citoyens et entreprises

Stratégie Nationalede Cybersécurité

Lois et normes

Accordsinternationaux

A besoin Capacités

Cyberdéfense

Lutte contre lacybercriminalité

CERTs Publics

Qui se construisent

avec

Quicréent

Fournisseurs

Talents

Entrepreneuriat

Investissement

Coopération

Produits

Services

Faire faceaux menaces

Cybercrime

Autres pays

Cyberterrorisme

Qui engendrentdes risques

pour

Alerte Précoce

Réponse auxincidents

Éducation

Exercices Cybernétiques

Normes etbonnes pratiques

Services

Information

Technologies

Crée desservices

CYBERSÉCURITÉNATIONALE


7RÉFÉRENCES

Publications

Amazon Web Services Risk and Compliance 2017

National Cyber Security Strategy Good Practice Guide-ENISA

Cybersecurity Capacity Maturity Model for Nations (CMM) Global Cyber Security Capacity Centre. University of Oxford

Cybersecurity-Are-We-Prepared-in-Latin-America-and-the-Caribbean. -OAS 2016

Microsoft National Strategies EN 2013

OCDE cybersecurity policy making

National Initiative for Education-NIST 800 181

United States- The National Security Strategy 2017

Estonian National Cyber Security Strategy 2014 to 2017

UK National Cyber Security Strategy 2016 to 2021

Estrategia de Ciberseguridad Nacional de España 2013

2017 Global Information Security Workforce Study Benchmarking Workforce Capacity and Response to Cyber Risk. Center for Cyber Safety and Education (ISC2)

Cyber Security Trends: Aiming Ahead of the Target to Increase Security in 2017.- Sans Institute

General Data Protection Regulation (GDPR) (EU) 2016/679 of the European Parliament and of the Council

Directiva de Seguridad en Redes e Información (UE) 2016/1148 Del Parlamento Europeo y del Consejo

Rapport 2018 sur les risques mondiaux du Forum Économique Mondial (WEF Global Risks Report 2018)


Sites internet

www.oas.org

www.incibe.es/cybercamp

www.dhs.gov/national-cyber-security-awareness-month

www.staysafeonline.org/ncsam

www.cyberspark.org.il

www.cyberseek.org

www.europeancybersecuritychallenge.eu

www.renic.es

www.stopthinkconnect.org

www.oxfordmartin.ox.ac.uk/cybersecurity

www.aws.amazon.com/whitepapers/overview-of-risk-and-compliance

www.thebestvpn.com/cyber-security-statistics-2018

www.eugdpr.org

White paper seriesPublication 1

2018

POUR PROTÉGER LES

LE SECTEUR PRIVÉET LES GOUVERNEMENTS

UN APPEL À L’ACTION

CITOYENS

CITOYENS LE SECTEUR PRIVÉ ET LES GOUVERNEMENTS · La cybersécurité requiert d’innovations et...

Documents

Transcript of CITOYENS LE SECTEUR PRIVÉ ET LES GOUVERNEMENTS · La cybersécurité requiert d’innovations et...