Un gouvernement dispose d’une série de leviers pour piloter la mise en œuvre de sa SNCS. Comme nous le verrons dans la suite de ce module, deux de ces leviers sont la législation et la réglementation, mais ce ne sont pas les seuls. Les leviers qu’un gouvernement choisit d’utiliser, et la façon de procéder, dépendent des circonstances nationales et de l’approche de la politique.
Un gouvernement dispose des leviers suivants :
- Créer des normes et des outils liés à la cybersécurité pour favoriser la certitude et la facilité dans les activités de cybersécurité. Exemples : établissement d’un système de certification pour permettre aux entreprises de choisir plus facilement des fournisseurs sûrs ou compétents ; création d’un outil en ligne que toute entreprise, organisation ou agence peut utiliser pour confirmer la sécurité de son site Web ; création de mécanismes de partage d’informations et de communautés de confiance.
- Fournir des connaissances et une éducation aux organisations et aux citoyens. Exemples : campagnes de sensibilisation du public ; programmes d’enseignement ; remise de guides/boîtes à outils de cybersécurité aux petites entreprises ; diffusion par une CSIRT nationale ou un centre de cybersécurité d’alertes sur les vulnérabilités et les menaces.
- Fournir des récompenses ou des incitations pour une bonne cybersécurité. Exemples : utiliser la politique des marchés publics pour acheter des services informatiques auprès d’entreprises dotées de certificats de cybersécurité, en vue de les inciter à achever la certification.
- Le gouvernement montre l’exemple par la pratique de la cybersécurité. Exemples : le gouvernement peut commencer à déployer de meilleures approches de cybersécurité (par exemple, l’authentification à deux facteurs ou l’authentification par e-mail) en les adoptant d’abord dans les ministères puis en les faisant connaître à l’industrie.
- Exercer une pression sans criminaliser. Exemple : établir des listes de « mauvais élèves » concernant la mise en œuvre d’une pratique de cybersécurité recommandée spécifique qu’ils devraient mettre en œuvre ; ces listes pourraient être publiées ou partagées avec les seules entreprises concernées.
- Investissements publics et partenariats public-privé. Exemple pour lequel les gouvernements et le secteur privé partagent des informations sur les vulnérabilités de la CNI pour y remédier de manière adéquate par la collaboration.
- Financement de la recherche universitaire.
Outre les leviers susmentionnés, un gouvernement dispose d’une législation et d’une réglementation, qui se prêtent à de nombreuses utilisations, notamment :
- Conférer de nouveaux rôles, pouvoirs ou autorités à une agence gouvernementale ou à un organisme externe auquel le gouvernement a confié un rôle national en matière de cybersécurité ;
- Créer une nouvelle agence ou organisation ;
- Confier aux entreprises, aux autres organisations ou aux citoyens la responsabilité de certaines actions que le gouvernement souhaite promouvoir (par exemple, la protection des données d’une manière définie ou le signalement des violations) ; et
- Faire une infraction des actes que le gouvernement veut dissuader.
Les leviers à la disposition d’un gouvernement peuvent être considérés sur une échelle allant de l’encouragement fort (la « carotte »), à une extrémité, à la dissuasion forte (le « bâton »), à l’autre.
Étude de cas pour le levier de l’encouragement :
1.La boîte à outils pour les PME au Nigeri
2.Africa CERT est un bon exemple de collaboration entre les gouvernements et le secteur privé sur le continent africain.