Les critères et le processus d’identification des infrastructures comme « essentielles » sont guidés par les dispositions de la stratégie, de la politique ou de la législation nationale. Le rôle de l’identification diffère d’un pays à l’autre et va du président, au ministre en passant par le chef de l’institution responsable de la protection des infrastructures essentielles.
Etude de cas : comment identifie-t-on les infrastructures essentielles ?
En Afrique du Sud, la loi 8 de 2019 sur la protection des infrastructures essentielles prévoit que le ministre responsable des services de police peut déclarer les infrastructures comme « essentielles » sur la base de la recommandation du Conseil des infrastructures essentielles, de la demande de déclaration des infrastructures en tant qu’infrastructures essentielles et de toute autre information pertinente.
Dans la loi tanzanienne de 2015 sur la cybercriminalité, le ministre peut désigner un système informatique comme infrastructure d’information essentielle, par ordonnance publiée dans la Gazette. L’ordonnance peut prescrire des lignes directrices ou des procédures pour l’enregistrement, la protection, la gestion des infrastructures d’information essentielles, la gestion et la conservation des données associées, les plans de reprise après sinistre et l’audit.
Dans la loi kényane de 2018 sur l’utilisation abusive de l’informatique et la cybercriminalité, le directeur, qui est le secrétaire du Comité national de coordination de l’informatique et de la cybercriminalité (NC4), identifie un système comme étant une infrastructure essentielle si elle répond à la définition des infrastructures essentielles et est conforme à un cadre d’infrastructures essentielles.
Dans la loi nigériane de 2015 sur la cybercriminalité (interdiction, prévention, etc.), le président peut, sur recommandation du conseiller à la sécurité nationale, par ordonnance publiée dans la Gazette fédérale, identifier certains systèmes informatiques et/ou réseaux comme constituant des infrastructures d’information nationales essentielles s’il le souhaite, lorsqu’ils sont inopérants ou détruits, lorsqu’ils affaiblissent la sécurité nationale ou économique, la santé publique et la sûreté.
Dans la loi nigériane de 2015 sur la cybercriminalité (interdiction, prévention, etc.), le président peut, sur recommandation du conseiller à la sécurité nationale, par ordonnance publiée dans la Gazette fédérale, identifier certains systèmes informatiques et/ou réseaux comme constituant des infrastructures d’information nationales essentielles s’il le souhaite, lorsqu’ils sont inopérants ou détruits, lorsqu’ils affaiblissent la sécurité nationale ou économique, la santé publique et la sûreté.
En ce qui concerne la définition, l’identification et la classification des IIE, un pays peut élaborer un registre national des infrastructures d’information essentielles. Un registre précis et à jour de tous les actifs et emplacements déclarés comme infrastructures essentielles devrait être tenu par l’entité chargée de la gestion et de la protection des infrastructures essentielles.
Étude de cas : Secteurs désignés de IIE
La loi ghanéenne de 2020 sur la cybersécurité (articles 35) a identifié 13 secteurs relatifs aux IIE : sécurité nationale et renseignement, technologies de l’information et de la communication (TIC), banque et finances, énergie, eau, transports, santé, services d’urgence, services administratifs, alimentation et agriculture, fabrication, mines et éducation.
La Stratégie nationale de cybersécurité du Botswana a identifié les secteurs suivants comme secteurs nationaux d’infrastructures essentielles en ce qui concerne la cybersécurité : finances, communications, énergie, eau, services d’urgence, alimentation, sécurité publique, santé, services publics et administration en ligne.
Le directeur du Comité national de coordination de l’informatique et de la cybercriminalité (NC4) du Kenya, dans un avis publié dans la Gazette (en vigueur le 20 janvier 2022), a identifié comme infrastructures essentielles les secteurs suivants : télécommunications, élection, justice, éducation, santé, alimentation, eau, terre, énergie, transports et industrie, banque, finance, défense, sécurité et sûreté publique
La Stratégie nationale de cybersécurité de Maurice identifie les secteurs essentiels tels que les services financiers, le tourisme, l’électricité, l’eau, les TIC et la radiodiffusion, la santé, les services administratifs, la fabrication, les transports et la logistique, le sucre et les douanes.
Ressource : Cybersécurité sous forme vidéo et protection des infrastructures essentielles
Discussions lors du webinaire de l’Université de Fairfax :
Ressource : Secteurs relatifs aux IIE dans d’autres pays
Les États-Unis d’Amérique comptent 16 secteurs d’IE : chimie ; installations commerciales ; communications ; fabrication essentielle ; barrages ; base industrielle de défense ; services d’urgence ; énergie ; services financiers ; alimentation et agriculture ; établissements administratifs ; soins de santé et santé publique ; technologie de l’information ; réacteurs, matières et déchets nucléaires ; systèmes de transport ; et systèmes d’approvisionnement en eau et de gestion des eaux usées.
La directive de l’Union européenne (UE) sur la sécurité des réseaux et des systèmes d’information (directive SRI) exige que les États membres adoptent une stratégie nationale sur la sécurité des réseaux et des systèmes d’information définissant les objectifs stratégiques et les mesures politiques et réglementaires appropriées couvrant au moins les sept secteurs relatifs aux IE : énergie, transports, banque, marché financier, santé, approvisionnement et distribution d’eau potable, et infrastructures numériques.
Le rapport de la Commission au Parlement européen et au Conseil évalue la cohérence des approches adoptées par les États membres pour identifier les opérateurs de services essentiels (OES) conformément à l’article 23, paragraphe 1, de la directive 2016/1148/UE relative à la sécurité des réseaux et des systèmes d’information.
La loi PCII en France adoptée en décembre 2013 et le cadre pour la « sécurité des activités d’importance vitale » établi en 1998 identifient plus de 200 opérateurs essentiels (appelés « opérateurs d’importance vitale ») dans 12 secteurs dont : l’alimentation, la santé, l’eau, les télécommunications et la radiodiffusion, l’espace et la recherche, l’industrie, l’énergie, les transports, les finances, l’administration civile, les activités militaires et la justice. En vertu de la loi, ces opérateurs sont tenus d’identifier leurs « systèmes d’information essentielles », c’est-à-dire les systèmes « dont l’indisponibilité pourrait fortement menacer le potentiel économique ou militaire, la sécurité ou la résilience de la nation ».
Le Centre for the Protection of National Infrastructure (CPNI) du Royaume-Uni a identifié 13 secteurs d’infrastructures nationales : produits chimiques, nucléaire civil, communications, défense, services d’urgence, énergie, finances, alimentation, administration, santé, espace, transports et eau. Plusieurs secteurs ont défini des « sous-secteurs » ; les services d’urgence, par exemple, peuvent être scindés en police, ambulance, services d’incendie et garde côtière.
Exercice :
Sur la base des exemples nationaux, régionaux et internationaux de définition, d’identification et de classification des infrastructures essentielles évoqués, en prenant exemple sur votre pays :