Le guide de bonnes pratiques GFCE-MERIDIAN définit la protection des infrastructures d’information essentielles (PCII) comme suit : « Toutes les activités visant à assurer la fonctionnalité, la continuité et l’intégrité des IIE afin de dissuader, d’atténuer et de neutraliser une menace, un risque ou une vulnérabilité ou de minimiser l’impact d’un incident ».
La PCII est un élément essentiel de la cybersécurité et fait partie intégrante de la stratégie nationale de cybersécurité. Un pays peut envisager d’élaborer une politique de PCII pour établir la cohérence et la coordination des activités, des ressources et des initiatives nécessaires afin de protéger les infrastructures essentielles contre les catastrophes naturelles et les incidents cybernétiques.
Une politique nationale de protection des IE et des IIE est guidée par un ensemble de principes déterminés par le gouvernement et est influencée par les conventions, les normes et les meilleures pratiques internationales et régionales. L’objectif de cette politique est d’établir un cadre national pour l’harmonisation et la coordination de la protection des infrastructures essentielles.
Les Lignes directrices sur les infrastructures Internet pour l’Afrique recommandent aux décideurs d’utiliser quatre principes essentiels comme guide dans l’élaboration de stratégies et de politiques pour la sécurité des infrastructures Internet. Ces principes sont les suivants :
Recommandation : principes du G8 pour la protection des infrastructures d’information essentielles
Les Principes du G8 pour la protection des infrastructures d’information essentielles comprennent la coordination et la collaboration nationales, régionales et internationales, l’échange d’information, l’identification des interdépendances, la détermination des rôles et des responsabilités des intervenants, l’amélioration des capacités, la fourniture juridique adéquate, la recherche et le développement, et l’application de normes certifiées à l’échelle internationale.
Les étapes de base de l’élaboration et du maintien d’une politique actuelle de la PCII sont les suivantes :
Étape 1. Faire de la PCII une priorité nationale : une politique de PCII est plus efficace si elle est intégrée au Profil national des risques (PNR) et à la Stratégie nationale de cybersécurité et mise en œuvre par un comité composé d’une représentation multisectorielle des intervenants de haut niveau.
Étape 2. Identification des infrastructures d’information essentielles : les infrastructures essentielles peuvent être identifiées à l’aide des quatre piliers méthodologiques inspirés de la directive européenne sur les infrastructures essentielles (EC2008). Les quatre piliers sont les suivants :
Étape 3. Élaboration d’une politique de protection des infrastructures d’information essentielles, notamment :
Recommandation : adopter une approche multi-agences et commencer à partager les informations
Les gouvernements devraient adopter une approche multi-organismes pour faire face aux risques et à la complexité associés à la PCII aux niveaux stratégique, tactique, opérationnel et technique.
Il faudrait envisager de réunir régulièrement les intervenants sélectionnés en fonction de leur mandat légal, de la propriété et de l’exploitation des infrastructures essentielles. Ces intervenants comprennent les ministères et organismes gouvernementaux, la sécurité nationale, la défense et la police, l’équipe nationale d’intervention d’urgence en matière de sécurité informatique ainsi que les propriétaires et exploitants d’infrastructures essentielles du secteur privé.
D’autres recommandations en matière de réseautage et de partage d’information sont les suivantes :
Source : Chapitre 7 Guide de bonnes pratiques GFCE-MERIDIAN sur la protection des infrastructures d’information essentielles à l’intention des décideurs
Étape 4. Suivi et amélioration continue
La mise en œuvre réussie de la politique dépend du suivi et de l’évaluation périodiques (S&E). La surveillance comprend le suivi des interventions, des initiatives et des ressources proposées par rapport aux résultats escomptés des politiques, tandis que l’évaluation implique la détermination de la valeur de la mise en œuvre et des réalisations de la politique. Les résultats du S&E sont mis à la disposition des parties prenantes et des commentaires sont fournis pour améliorer les initiatives futures.