Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

GUIDE P R ATI Q U E GUIDE PRATIQUE DE LA CYBERSÉCURITÉ ET DE LA CYBERDÉFENSE La

GUIDE P R ATI Q U E GUIDE PRATIQUE DE LA CYBERSÉCURITÉ ET DE LA CYBERDÉFENSE La cybersécurité et la cyberdéfense GUIDE PRATIQUE L ’Organisation internationale de la Francophonie souhaite remercier Madame la professeure Solange Ghernaouti de l’université de Lausanne pour sa contribution majeure à l’élaboration de ce document, comme experte princi- pale qui a dirigé l’équipe de rédaction du Guide, et à M. Jacques P. Houngbo d’AfricaCERT qui a proposé le pre- mier jet, ainsi que tous les participants à la Conférence in- ternationale sur le renforcement de la cybersécurité et de la cyberdéfense dans l’espace francophone (Grand-Bas- sam, Côte d’Ivoire, 8 au 10 février 2016). « » 5 PRÉFACE 7 RÉSUMÉ 9 INTRODUCTION 11 NÉCESSITÉ D’ACTION 13 Principaux impacts des cyberrisques sur les personnes 13 Principaux impacts des cyberrisques sur les organisations 14 Principaux impacts des cyberrisques pour l’État 15 Plan d’action 17 ANALYSE DES RISQUES ET MESURES DE SÉCURITÉ 19 Principes fondamentaux 19 Du diagnostic aux mesures de sécurité 21 Mesures stratégiques et opérationnelles de sécurité 24 ASPECTS JURIDIQUES 29 Cadre législatif 29 Cyberespace et droits fondamentaux 31 Protection des données à caractère personnel 34 FACTEURS DE SUCCÈS DE LA LUTTE CONTRE LA CYBERCRIMINALITÉ 37 Sommaire 6 STRATÉGIE NATIONALE 39 Justification 39 Démarche 39 Cybersécurité et cyberrésilience 40 CYBERDÉFENSE 43 Cyberespace : un terrain d’opérations militaires 43 Internet et le code informatique au service du pouvoir 44 Cas particuliers 45 Cyberpaix — Cyberstabilité 45 Complémentarité des stratégies nationales de cybersécurité et de cyberdéfense 47 LE CYBERSPACE : UN ESPACE COMMUN À PARTAGER ET À RÉGULER* 51 RENFORCEMENT DES CAPACITÉS ET CAPITAL HUMAIN 53 DÉFIS ACTUELS ET FUTURS 57 Construire la confiance 57 Générer de la sûreté et de fiabilité 57 Mettre des limites à des potentiels illimités 58 CONCLUSION 61 GLOSSAIRE 63 7 Préface Les chefs d’État et de gouvernement, réunis au XVIe Sommet de la Francophonie à Antananarivo (Madagascar), les 26 et 27 novembre 2016 ont, dans leur Déclaration finale, salué les actions entreprises par la Secrétaire générale dans le cadre de la mise en œuvre de la Stratégie numérique (Kinshasa, 2012). Les États et gouvernements de la Francophonie ont encouragé l’Organisation internationale de la Francophonie (OIF) à « poursuivre ses efforts pour accompagner les États et gouvernements membres dans leur volonté d’ins- taurer un environnement de confiance numérique, dans le respect des droits fondamentaux des personnes, notamment le respect de la vie privée, de la liberté d’expression et la protec- tion des données à caractère personnel ». Le Guide pratique de la cybersécurité et de la cyberdéfense, que vous avez entre les mains, est une première réponse à cette exhortation des chefs d’État et de gouvernement qui ré- affirme la vision de la Francophonie dans le domaine de la sécurité numérique. Cette vision exprime sans ambages l’attachement de la Francophonie à un équilibre entre la liberté et la sécurité dans un contexte de construction d’un écosystème de confiance, et avec l’objectif de favoriser le développement de l’économie numérique et l’épanouissement de la diversité culturelle et linguistique. Imprégné de cette vision, ce Guide propose de prendre en considération les principaux im- pacts des cyberrisques sur les personnes, les entreprises et l’État avant d’établir un plan d’action. Ce plan doit partir de l’analyse les risques et mesures de sécurité dans le respect des droits fondamentaux de la protection des données à caractère personnel et d’un cadre juridique encadrant l’intervention des différents acteurs de la cybersécurité pour générer une stratégie nationale de cybersécurité et de cyberdéfense. Il en ressort un continuum entre la cybersécurité et la cyberdéfense que les pays doivent prendre en compte pour assurer l’effi- cacité de leur action. Mais, cette action ne peut produire des effets profitables que si la ques- tion centrale du renforcement des capacités et du capital humain est réglée de façon durable. PRÉFACE 8 Ce guide se décline donc comme une boîte à outils que l’OIF propose aux États et gouverne- ments pour les accompagner dans leurs efforts pour répondre aux menaces et vulnérabilités des technologies de l’information et de la communication dont toutes nos sociétés et nos économies sont de plus en plus dépendantes. En proposant un tel instrument, l’OIF met en œuvre l’une des conclusions de la Confé- rence sur le renforcement de la cybersécurité et la cyberdéfense dans l’espace francophone (Grand-Bassam, Côte d’Ivoire, 8-10 février 2016). Je tiens à remercier Madame la profes- seure Solange Ghernaouti, de l’université de Lausanne pour sa contribution majeure à l’éla- boration de ce document, comme experte principale qui a dirigé l’équipe de rédaction du Guide, ainsi que Monsieur Jacques Houngbo d’AfricaCERT qui a esquissé le document de base de la conférence de la Grand-Bassam. Je forme le vœu que ce Guide pratique puisse constituer une boussole pour notre action commune à toutes et tous en faveur du renforcement de la cybersécurité et de la cyberdé- fense au sein de la Francophonie. Adama OUANE Administrateur de l’Organisation internationale de la Francophonie 9 Résumé Les technologies de l’information et de la communication deviennent indissociables de toutes nos activités et sont en passe de devenir des facteurs structurants civilisationnels. Toutefois, les infrastructures et services issus du numérique, ainsi que les caractéristiques d’Internet, favorisent l’expression de la criminalité et étendent les possibilités et les opportunités criminelles. Ces dernières années ont été le témoin de l’essor de cyberincidents affectant, à divers degrés, tout un chacun. Qu’il s’agisse d’incivilité, de harcèlement, d’escroquerie, de fraude, de vol, de destruction, de dysfonctionnement, de surveillance, d’espionnage, d’activisme ou encore par exemple de terrorisme ou de désinformation, toute forme de délit, de violence ou de conflictualité se matérialise via l’Internet. Comprendre les risques auxquels est exposé l’individu, l’organisation publique et privée, l’État et plus généralement la société permet d’agir. Pour ne pas rester démunis et passifs au regard des problèmes engendrés par des cyberattaques ou le détournement des technologies, les dirigeants politiques et économiques se doivent de s’approprier les fondamentaux de la cybersécurité né- cessaire à la maîtrise des risques et au développement harmonieux de l’écosystème numérique. Toute réponse pragmatique aux besoins de sécurité, de protection et de réaction aux problèmes générés par le numérique, par nos interactions et notre dépendance aux systèmes d’information, au cyberespace et à Internet, se base sur une approche stratégique, qui fixe le cadre d’un plan d’action. Cette vision stratégique est nécessaire pour gouverner, piloter et assurer la cohérence et la complémentarité des mesures stratégiques et opérationnelles. Cela autorise également leur efficacité et efficience. Assurer la cybersécurité d’un pays, c’est aussi appréhender les enjeux et les impacts de l’évolu- tion numérique dans le secteur militaire, de la défense et de l’armée. Le cyberespace est désor- mais considéré comme le cinquième champ de bataille. Il est un terrain d’opérations militaires au même titre que la terre, la mer, l’air et l’espace. Le monde civil et le monde militaire sont appelés à maîtriser les cyber risques, que cela soit à des fins économiques, de lutte contre la cybercriminalité, soit dans un but de sécurité et de défense nationales. La transversalité d’Internet, la prégnance des technologies informatiques, les com- pétences nécessaires à la maîtrise des infrastructures numériques et à leur sécurité, les besoins d’efficacité et de synergie, contribuent à faire émerger des approches globales et systémiques que reflète la notion de continuum de cybersécurité et de cyberdéfense. La dimension internationale d’Internet et du cybercrime, le monde globalisé et interconnecté dans lequel nous vivons, constituent également de nouveaux défis à la maîtrise des cyber risques, qui RÉSUMÉ 10 deviennent de plus en plus complexes et globaux et dont les effets en cascade peuvent avoir des impacts immédiats ou différés, parfois loin de leur origine géographique. Toutes ces raisons accroissent la nécessité de collaboration et de coopération aux niveaux national et international. Maîtriser les cyber risques ne se limite pas à la mise en place de « rustines technologiques » pour pallier les vulnérabilités des produits conçus sans prise en compte des besoins de sécurité et de protection des données. En effet, il s’agit d’être en mesure de maîtriser toutes les dimensions du risque que fait porter l’usage extensif des technologies de l’information et de la communication sur la société. Lutter efficacement contre la cybercriminalité passe par une approche préventive qui consiste à rendre le cyberespace moins favorable à l’expression de la criminalité et à réduire les opportunités criminelles. Il faut élever le seuil de difficulté de réalisation des cyberattaques (augmenter les coûts en termes de compétences et de ressources pour le malveillant et diminuer les profits attendus) et accroître les risques pris par les criminels d’être identifiés, localisés et poursuivis. Il est dès lors nécessaire et urgent de contribuer à : • la réduction du nombre de vulnérabilités techniques, organisationnelles, juridiques et hu- maines exploitées à des fins malveillantes ; • la robustesse et à la résilience des infrastructures informatiques par des mesures de sécurité technologiques, procédurales et managériales cohérentes et complémentaires ; • développer une réelle capacité d’adaptation des moyens de cybersécurité et de cyberdé- fense pour répondre à une situation en constante évolution ; • disposer de moyens pour uploads/S4/ ciber.pdf