Les audits des infrastructures et les évaluations de vulnérabilité, effectués périodiquement selon des normes minimales, sont essentiels pour la protection de la sécurité nationale. Les résultats des audits comprendraient un profil national des risques (PNR). La stratégie nationale de cybersécurité devrait définir les référentiels minimaux en matière de cybersécurité axés sur les résultats qui sont pertinents pour les opérateurs des IE et des IIE, sur la base des normes internationales et des meilleures pratiques répondant aux priorités de gestion des risques de haut niveau et à la conformité à des pratiques interopérables et cohérentes.
Recommandation : définition de référentiels de sécurité minimaux
Le Guide d’élaboration d’une stratégie nationale de cybersécurité recommande aux pays d’identifier et de suivre les bonnes pratiques qui soutiennent la vision et les objectifs de la Stratégie nationale de cybersécurité. La définition d’une stratégie minimale de cybersécurité figure parmi ces bonnes pratiques.
La législation ou la réglementation devrait définir les référentiels minimaux en matière de cybersécurité pour les opérateurs des IE et des IIE. Pour assurer l’uniformité, de meilleurs résultats, une plus grande efficacité et une plus grande interopérabilité, les référentiels de sécurité devraient être axés sur les résultats et faire référence à des normes et à des pratiques exemplaires reconnues à l’échelle internationale.
Les référentiels de sécurité portent sur :
Etude de cas : audits des IIE par pays
La directive du Ghana pour la protection des infrastructures d’information essentielles (IIE) établit des mesures et des procédures d’audit pour assurer la conformité conformément à l’article 38 de la loi de 2020 sur la cybersécurité. L’audit des IIE identifiées est effectué par l’Autorité de cybersécurité (CSA) ou sa référence d’auditeur autorisé pour soumettre des rapports, un registre des risques et toute activité de cybersécurité menée. Les changements importants prévus dans la conception, la configuration, la sécurité ou le fonctionnement des IIE doivent être approuvés par l’Autorité.
Ressource : agence nationale de la sécurité des systèmes d’information (ANSSI) transsectorielle, règles de sécurité pour les opérateurs d’IIE et d’IE
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a défini des règles de sécurité transversales pour les opérateurs d’IIE et d’IE, basées sur l’expérience opérationnelle et les normes internationales existantes qui incluent principalement des mesures d’hygiène et appartiennent à 20 catégories :