L’élaboration et la mise en œuvre d’une politique et d’une stratégie nationales de cybersécurité comportent plusieurs phases et activités. C’est ce que nous appelons le cycle de vie de la politique et de la stratégie. Le guide de la SNC recommande le modèle suivant pour les étapes du cycle de vie d’une politique et d’une stratégie
Lorsqu’un pays envisage de développer une SNC, il peut bénéficier de diverses opportunités d’assistance internationale tout au long du cycle de vie de la stratégie. Le GFCE a illustré les différents types d’assistance auxquels un pays peut faire appel dans son Catalogue des options de projet pour le cycle de la stratégie nationale de cybersécurité (SNC) Ce catalogue offre des exemples de 20 activités qui pourraient s’inscrire dans un projet soutenant le cycle de la SNC d’un pays. Nous recommandons d’utiliser le catalogue comme un document de référence afin de comprendre le soutien disponible pour les pays, offrant des exemples fournis par des études de cas.
Avant ou pendant l’initiation d’une stratégie nationale, un pays peut bénéficier d’examens des capacités/compétences couvrant la situation nationale globale et/ou se concentrant sur des capacités spécifiques telles que la réponse nationale aux incidents.
Une fois que le processus de développement de la stratégie a été initié (souvent par l’orientation politique d’un ministre), la phase d’inventaire et d’analyse commence. L’un des principaux facteurs qu’un pays doit explorer dans cette phase relève des cyberrisques auxquels il est confronté, ainsi que des menaces et des vulnérabilités qui contribuent à ces risques. Il est possible de solliciter l’assistance de partenaires internationaux pour bien comprendre ces risques. Les projets peuvent notamment fournir des conseils sur le paysage stratégique des risques, les données de renseignement sur les menaces, les données sur les vulnérabilités nationales en matière de cybersécurité ou les méthodologies d’évaluation du cyberrisque pour les infrastructures nationales essentielles. Ce bilan peut rassembler bon nombre de données et d’évaluations. Les pays peuvent donc demander de l’aide pour regrouper toutes ces informations, les hiérarchiser et les utiliser pour en tirer des enseignements qui serviront à rédiger la stratégie.
Si ce n’est déjà fait, la phase de bilan et d’analyse est le moment idéal pour que les gouvernements entreprennent ou renforcent leur communication et leur collaboration avec les parties prenantes externes de la SNCS. Ces parties prenantes comprennent généralement le secteur privé, les universités, les groupes de réflexion, les ONG, les médias et, enfin, le public du pays. L’assistance internationale peut offrir des conseils sur la manière d’impliquer ces parties prenantes dans le cycle de vie de la stratégie et mener les événements avec les parties prenantes pour discuter de la stratégie.
Après avoir recueilli et analysé les informations, et commencé à consulter les parties prenantes, un pays peut passer à la phase de production de la stratégie nationale. Afin de bénéficier de l’aide internationale au moment d’entamer cette phase, l’un des moyens les plus rapides consiste à lire les guides de bonnes pratiques et d’enseignements concernant l’élaboration de la stratégie/politique nationale. Le Guide pour l’élaboration d’une stratégie nationale de cybersécurité est une source qui a déjà été mentionnée, mais il en existe d’autres comme les Stratégies nationales de cybersécurité : réflexions et enseignements tirés des Amériques et d’autres régions de l’Organisation des États américains. Le portail Cybil propose un référentiel de ces guides.
Outre la lecture de guides de bonnes pratiques, il peut également être utile de discuter avec les responsables d’autres pays qui ont eux-mêmes élaboré des stratégies nationales. Cette démarche présente un avantage supplémentaire dans la mesure où elle peut créer ou renforcer entre les pays des réseaux de travail qui peuvent se révéler utiles lors de la mise en œuvre de la stratégie. Ces conversations peuvent avoir lieu à distance, mais elles peuvent aussi être menées en personne lors de visites dans d’autres pays.
Diverses options permettent un apprentissage et un partage des connaissances plus poussés sur le développement de la stratégie, qui vont au-delà des conversations et des visites. L’une de ces options consiste à envoyer des responsables suivre des cours de formation portant sur la stratégie et la politique de cybersécurité ou sur des questions clés de la stratégie, telles que les technologies émergentes. Une autre solution consiste à faire appel à des experts internationaux ou locaux pour fournir des conseils indépendants et un soutien à l’élaboration de la stratégie. Si ce n’est pas une bonne pratique de demander à ces experts de rédiger la stratégie, il est courant de solliciter l’assistance d’experts extérieurs au gouvernement. Ces experts peuvent également contribuer à renforcer la coordination et la collaboration au sein du gouvernement pour élaborer la stratégie, par exemple en animant des ateliers interministériels.
Une fois que les responsables ont préparé un projet de stratégie, ou des chapitres de cette stratégie, ils peuvent inviter des experts indépendants à leur faire part de leurs commentaires en toute confidentialité. Après avoir pris en compte les commentaires des experts et les consultations des parties prenantes, les responsables modifieront le projet afin qu’il soit prêt à être examiné par les ministres, puis approuvé et adopté.
Une bonne pratique veut qu’une SNCS soit accompagnée d’un plan d’action qui guidera sa mise en œuvre. Un plan d’action présente de façon détaillée les actions requises par la stratégie, les responsables, le moment où elles seront exécutées et les indicateurs qui seront utilisés pour vérifier que l’action a été menée à bien.
Le cycle de vie d’une stratégie ne se termine pas avec son adoption. Les phases suivantes consistent à mettre en œuvre la stratégie, puis à en assurer le suivi et l’évaluation. Après quelques années, une actualisation de la stratégie est généralement lancée et le cycle recommence.
Pendant la mise en œuvre de la stratégie, une assistance internationale permet de soutenir le renforcement des cybercapacités dans différents domaines, notamment : la réponse aux incidents, la protection de la CNI et des infrastructures d’information critiques, la lutte contre la cybercriminalité, la sensibilisation du public, les compétences de la main-d’œuvre, les normes et la cyberdiplomatie. Les responsables peuvent également obtenir de l’aide pour élaborer les politiques nationales en matière de cybersécurité et de cybercriminalité qui relèvent de la stratégie.