6. Comment élaborer une politique de protection des infrastructures essentielles et des infrastructures d’information essentielles
Le guide de bonnes pratiques GFCE-MERIDIAN définit la protection des infrastructures d’information essentielles (PCII) comme suit : « Toutes les activités visant à assurer la fonctionnalité, la continuité et l’intégrité des IIE afin de dissuader, d’atténuer et de neutraliser une menace, un risque ou une vulnérabilité ou de minimiser l’impact d’un incident ».
La PCII est un élément essentiel de la cybersécurité et fait partie intégrante de la stratégie nationale de cybersécurité. Un pays peut envisager d’élaborer une politique de PCII pour établir la cohérence et la coordination des activités, des ressources et des initiatives nécessaires afin de protéger les infrastructures essentielles contre les catastrophes naturelles et les incidents cybernétiques.
Une politique nationale de protection des IE et des IIE est guidée par un ensemble de principes déterminés par le gouvernement et est influencée par les conventions, les normes et les meilleures pratiques internationales et régionales. L’objectif de cette politique est d’établir un cadre national pour l’harmonisation et la coordination de la protection des infrastructures essentielles.
Les Lignes directrices sur les infrastructures Internet pour l’Afrique recommandent aux décideurs d’utiliser quatre principes essentiels comme guide dans l’élaboration de stratégies et de politiques pour la sécurité des infrastructures Internet. Ces principes sont les suivants :
- Sensibilisation : une compréhension des risques de sécurité, de leur impact sur l’écosystème des infrastructures Internet.
- Responsabilité : responsabilisation des intervenants et compréhension des répercussions potentielles de leurs actions ou de leur inaction.
- Coopération : dialogue pour encourager la coopération et la responsabilité collective entre toutes les parties prenantes.
- Droits fondamentaux et propriétés de l’Internet : respect de la transparence et non-violation des propriétés fondamentales de l’internet : collaboration volontaire, normes ouvertes, blocs de construction technologiques réutilisables, intégrité, innovation sans autorisation et portée mondiale.
Recommandation : principes du G8 pour la protection des infrastructures d’information essentielles
Les Principes du G8 pour la protection des infrastructures d’information essentielles comprennent la coordination et la collaboration nationales, régionales et internationales, l’échange d’information, l’identification des interdépendances, la détermination des rôles et des responsabilités des intervenants, l’amélioration des capacités, la fourniture juridique adéquate, la recherche et le développement, et l’application de normes certifiées à l’échelle internationale.
Les étapes de base de l’élaboration et du maintien d’une politique actuelle de la PCII sont les suivantes :
Étape 1. Faire de la PCII une priorité nationale : une politique de PCII est plus efficace si elle est intégrée au Profil national des risques (PNR) et à la Stratégie nationale de cybersécurité et mise en œuvre par un comité composé d’une représentation multisectorielle des intervenants de haut niveau.
Étape 2. Identification des infrastructures d’information essentielles : les infrastructures essentielles peuvent être identifiées à l’aide des quatre piliers méthodologiques inspirés de la directive européenne sur les infrastructures essentielles (EC2008). Les quatre piliers sont les suivants :
- appliquer des critères sectoriels
- évaluer la criticité
- évaluer les dépendances
- appliquer des critères transversaux.
Étape 3. Élaboration d’une politique de protection des infrastructures d’information essentielles, notamment :
- une approche fondée sur les risques (par rapport à une approche ad hoc); Consulter la section 4
- l’intégration d’une PCII dans la gestion nationale des crises; Consulter la section 7
- le soutien à la mise en réseau et au partage des informations; La protection des infrastructures essentielles repose sur une communication fiable, sécurisée et efficace entre les différentes parties prenantes.
Recommandation : adopter une approche multi-agences et commencer à partager les informations
Les gouvernements devraient adopter une approche multi-organismes pour faire face aux risques et à la complexité associés à la PCII aux niveaux stratégique, tactique, opérationnel et technique.
Il faudrait envisager de réunir régulièrement les intervenants sélectionnés en fonction de leur mandat légal, de la propriété et de l’exploitation des infrastructures essentielles. Ces intervenants comprennent les ministères et organismes gouvernementaux, la sécurité nationale, la défense et la police, l’équipe nationale d’intervention d’urgence en matière de sécurité informatique ainsi que les propriétaires et exploitants d’infrastructures essentielles du secteur privé.
D’autres recommandations en matière de réseautage et de partage d’information sont les suivantes :
- Stimuler le partage d’informations liées à la cybersécurité
- Établir des rôles clairs au sein de la PCII dans le cadre du partage des initiatives
- Être informé des normes d’échange d’informations
- Prenez note du guide de partage d’informations sur les cybermenaces
- Le système de jumelage
- Diverses formes d’organisation des partenariats public-privé pour la PCI/PCII
- Conseil de la cybersécurité au niveau national
- Protocole des feux de signalisation (TLP)
Source : Chapitre 7 Guide de bonnes pratiques GFCE-MERIDIAN sur la protection des infrastructures d’information essentielles à l’intention des décideurs
Étape 4. Suivi et amélioration continue
La mise en œuvre réussie de la politique dépend du suivi et de l’évaluation périodiques (S&E). La surveillance comprend le suivi des interventions, des initiatives et des ressources proposées par rapport aux résultats escomptés des politiques, tandis que l’évaluation implique la détermination de la valeur de la mise en œuvre et des réalisations de la politique. Les résultats du S&E sont mis à la disposition des parties prenantes et des commentaires sont fournis pour améliorer les initiatives futures.