8. Audits de sécurité des infrastructures et évaluations des vulnérabilités
Les audits des infrastructures et les évaluations de vulnérabilité, effectués périodiquement selon des normes minimales, sont essentiels pour la protection de la sécurité nationale. Les résultats des audits comprendraient un profil national des risques (PNR). La stratégie nationale de cybersécurité devrait définir les référentiels minimaux en matière de cybersécurité axés sur les résultats qui sont pertinents pour les opérateurs des IE et des IIE, sur la base des normes internationales et des meilleures pratiques répondant aux priorités de gestion des risques de haut niveau et à la conformité à des pratiques interopérables et cohérentes.
Recommandation : définition de référentiels de sécurité minimaux
Le Guide d’élaboration d’une stratégie nationale de cybersécurité recommande aux pays d’identifier et de suivre les bonnes pratiques qui soutiennent la vision et les objectifs de la Stratégie nationale de cybersécurité. La définition d’une stratégie minimale de cybersécurité figure parmi ces bonnes pratiques.
La législation ou la réglementation devrait définir les référentiels minimaux en matière de cybersécurité pour les opérateurs des IE et des IIE. Pour assurer l’uniformité, de meilleurs résultats, une plus grande efficacité et une plus grande interopérabilité, les référentiels de sécurité devraient être axés sur les résultats et faire référence à des normes et à des pratiques exemplaires reconnues à l’échelle internationale.
Les référentiels de sécurité portent sur :
- les priorités élevées en matière de gestion des risques
- les pratiques spécifiques en matière de cybersécurité
- l’identification des cyberrisques
- la mise en place de structures de gouvernance de gestion des risques
- les mesures de protection des données et des systèmes
- la surveillance de l’environnement numérique et la détection d’anomalies/événements
- l’intervention et la récupération après des incidents
- les exigences en matière d’approvisionnement
Etude de cas : audits des IIE par pays
La directive du Ghana pour la protection des infrastructures d’information essentielles (IIE) établit des mesures et des procédures d’audit pour assurer la conformité conformément à l’article 38 de la loi de 2020 sur la cybersécurité. L’audit des IIE identifiées est effectué par l’Autorité de cybersécurité (CSA) ou sa référence d’auditeur autorisé pour soumettre des rapports, un registre des risques et toute activité de cybersécurité menée. Les changements importants prévus dans la conception, la configuration, la sécurité ou le fonctionnement des IIE doivent être approuvés par l’Autorité.
Ressource : agence nationale de la sécurité des systèmes d’information (ANSSI) transsectorielle, règles de sécurité pour les opérateurs d’IIE et d’IE
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a défini des règles de sécurité transversales pour les opérateurs d’IIE et d’IE, basées sur l’expérience opérationnelle et les normes internationales existantes qui incluent principalement des mesures d’hygiène et appartiennent à 20 catégories :
- les politiques d’assurance de l’information
- l’accréditation de sécurité
- le mappage réseau
- la maintenance de la sécurité
- la consignation des bonnes pratiques
- la corrélation et l’analyse des journaux
- la détection
- la gestion des incidents de sécurité
- la gestion des alertes de sécurité
- la gestion de crise
- l’identification
- l’authentification
- le contrôle d’accès et la gestion des privilèges
- le contrôle des accès administratifs
- les systèmes d’administration
- la ségrégation dans les systèmes et les réseaux
- la surveillance et filtrage du trafic
- l’accès à distance
- les systèmes mis en place
- les indicateurs