QUESTION 22-1/1 Sécurisation des réseaux d information et de communication: bonnes pratiques pour créer

Transcription

1 rapport FINAL UIT-D COMMISSION D études 1 QUESTION 22-1/1 Sécurisation des réseaux d information et de communication: bonnes pratiques pour créer une culture de la cybersécurité 5 e P É R I O D E D É T U D E S Secteur du développement des télécommunications

2 POUR NOUS CONTACTER Site web: La Librairie électronique de l UIT: Courriel: devsg@itu.int Téléphone:

3 QUESTION 22-1/1: Sécurisation des réseaux d'information et de communication: bonnes pratiques pour créer une culture de la cybersécurité

4 Les Commissions d'études de l'uit-d Pour appuyer les activités menées par le Bureau de développement des télécommunications dans les domaines du partage des connaissances et du renforcement des capacités, les Commissions d'études de l'uit-d aident les pays à atteindre leurs objectifs de développement. Parce qu'elles ont un rôle de catalyseur en créant, en partageant et en mettant en pratique des connaissances dans le domaine des TIC au service de la réduction de la pauvreté et du développement socio-économique, les Commissions d'études de l'uit-d contribuent à instaurer des conditions permettant aux pays d'utiliser les connaissances pour être mieux à même d'atteindre leurs objectifs de développement. Plate-forme de connaissances Les résultats des travaux des Commissions d'études de l'uit-d et les documents de référence connexes sont utilisés pour faciliter la mise en œuvre de politiques, stratégies, projets et initiatives spéciales dans les 193 Etats Membres de l'uit. Ces activités permettent en outre d'étoffer la base des connaissances partagées par les membres. Au cœur de l'échange d'information et du partage des connaissances Des réunions présentielles, le Forum électronique et des réunions offrant la possibilité de participer à distance permettent de faire part de sujets présentant un intérêt commun, dans une atmosphère propice à un débat ouvert et à l'échange d'informations. Base d'informations Des rapports, lignes directrices, bonnes pratiques et recommandations sont élaborés sur la base des contributions reçues et examinées par les membres des Commissions. Des données sont recueillies grâce à des enquêtes, contributions et études de cas, et mises à la disposition des membres, qui peuvent les consulter facilement en utilisant les outils de gestion de contenus et de publication web. Commission d'études 1 Pour la période d'études , la Commission d'études 1 s'est vu confier l'étude de neuf Questions relatives à l'environnement propice, à la cybersécurité, aux applications TIC et aux questions liées à l'internet. Les travaux ont porté essentiellement sur les politiques et stratégies nationales de télécommunication les mieux à même de permettre aux pays de tirer parti de l'élan imprimé par les télécommunications/tic en tant que moteur d'une croissance durable, de la création d'emplois et du développement économique, social et culturel, compte tenu des questions prioritaires pour les pays en développement. Les travaux ont porté, entre autres, sur les politiques d'accès aux télécommunications/tic, en particulier l'accès des personnes handicapées et des personnes ayant des besoins particuliers, ainsi que sur la sécurité des réseaux de télécommunication/tic. Ils ont également eu pour thèmes les politiques et modèles tarifaires applicables aux réseaux de prochaine génération, les questions de convergence, l'accès universel aux services fixes et mobiles large bande, l'analyse d'impact et l'application des principes relatifs aux coûts et des principes comptables, compte tenu des résultats des études effectuées par l'uit-t et l'uit-r et des priorités des pays en développement. Le présent rapport a été établi par un grand nombre de volontaires provenant d administrations et opérateurs différents. La mention de telle ou telle entreprise ou de tel ou tel produit n implique en aucune manière une approbation ou une recommandation de la part de l UIT. UIT 2014 Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, par quelque procédé que ce soit, sans l'accord écrit préalable de l'uit.

5 Table des matières Page 1 Introduction au rapport final sur la Question 22-1/1 concernant la cybersécurité Bonnes pratiques pour la cybersécurité - Guide pour la mise en place d'un système national de gestion de la cybersécurité Introduction Système national de gestion de la cybersécurité Cadre national pour la cybersécurité La matrice RACI Guide de mise en oeuvre NCSec Guide de mise en oeuvre Conclusion Partenariats public-privé à l'appui des buts et objectifs en matière de cybersécurité Introduction Les principes du partenariat Proposition de valeur Partenariats et gestion des risques en matière de sécurité Conclusion Etude de cas: partenariats public-privé aux Etats-Unis Etude de cas: quelques partenariats public-privé en matière de cybersécurité aux Etats-Unis Bonnes pratiques pour la cybersécurité nationale Développer la capacité nationale de gestion des incidents liés à la sécurité informatique Introduction L'importance d'une stratégie nationale de cybersécurité Les principales parties prenantes de la cybersécurité nationale Le rôle particulier des CIRT nationaux Analyser les incidents liés à la sécurité informatique afin d'identifier les ensembles d'intrusions Créer une culture de la cybersécurité Objectifs stratégiques et objectifs intermédiaires visant à créer une structure de gestion des incidents Conclusion iii

6 5 Bonnes pratiques pour la cybersécurité Gérer un CIRT national à l'aide des facteurs essentiels de réussite Introduction Facteurs essentiels de réussite (FER) Avantages d'une approche faisant appel aux facteurs essentiels de réussite Sources des facteurs essentiels de réussite Identifier les facteurs essentiels de réussite Définir le champ d'application Collecter les données: recueil de documents et entretiens Analyser les données Etablir les facteurs essentiels de réussite Appliquer les facteurs essentiels de réussite aux CIRT nationaux Développer la capacité nationale de gestion des incidents liés à la sécurité informatique Sélectionner les services des CIRT nationaux Identifier les priorités relatives aux critères et aux indicateurs d'évaluation Conclusion Bonnes pratiques pour la cybersécurité Protection des réseaux des fournisseurs de services Internet (ISP) Introduction Objectif, portée et méthodologie Analyse, résultats et recommandations Recommandations Conclusions Travaux futurs Bonnes Pratiques pour la cybersécurité Cours de formation sur la création et la gestion d'un CIRT Introduction ANNEXES Annex A: Best practices for Cybersecurity Planning and Establishing a National CIRT Annex B: Best practices for Cybersecurity Managing a National CIRT with Critical Success Factors 108 Annex C: Best practices for Cybersecurity Guide for the Establishment of a National Cybersecurity Management System Annex D: Best practices for Cybersecurity Internet Service Provider (ISP) Network Protection Best Practices iv

7 Annex E: Best practices for Cybersecurity Training Course on Building and Managing National Computer Incident Response Teams (CIRTs) Annex F: Best practices for Cybersecurity Survey on Measures Taken to Raise Awareness on Cybersecurity Annex G: Best practices for Cybersecurity Public-Private Partnerships in Support of Cybersecurity Goals and Objectives Annex H: Compendium on Cybersecurity Country Case Studies Figures Figure 1: Système national de gestion de la cybersécurité... 2 Figure 2: Modèle pour le Cadre NCSec... 5 Figure 3: Image radar utilisée pour évaluer le niveau de maturité Figure 4: Etapes du guide de mise en oeuvre Figure 5: Approche de résolution NCSecIG Figure 6: Cycle de vie de la gestion des risques Figure 7: Modèle de partenariat sectoriel du CIPAC Figure 8: Exemple: Trois objectifs du Plan stratégique du ministère de la Sécurité intérieure pour la période Figure 9: Des comparaisons sont établies entre des FER et des départementsd'une organisation fictive pour déterminer leurs relations Page Tableaux Page Tableau 1: Extraction des thèmes à partir de l'examen des documents Tableau 2: Questions à traiter pendant l'établissement d'un CIRT national Tableau 3: Matrice d'analyse d'affinité pour la sélection des services du CIRT national fictif Tableau 4: Exemples de critères d'évaluation à l'appui de la mission d'un CIRT national v

8

9 QUESTION 22-1/1 Sécurisation des réseaux d'information et de communication: bonnes pratiques pour créer une culture de la cybersécurité 1 Introduction au rapport final sur la Question 22-1/1 concernant la cybersécurité Dans le cadre de la Question 22-1/1 qui lui a été confiée, la Commission d études 1 de l'uit-d établit des rapports sur les bonnes pratiques concernant divers aspects de la cybersécurité. Il s'agit ici du rapport final sur les activités menées au titre de la Question 22-1/1 au cours du dernier cycle d'études de quatre ans, qui couvre la période Le programme de travail du Groupe du Rapporteur pour la Question 22-1/1 a été défini par la Conférence mondiale de développement des télécommunications (CMDT) lors de la réunion qui s'est tenue à Hyderabad (Inde) en Au cours des quatre dernières années, le Groupe du Rapporteur pour la Question 22-1/1 a traité toutes les questions mentionnées dans le programme de travail, de manière partielle ou complète. Le rapport final sur la Question 22-1/1 se compose de plusieurs rapports sur les bonnes pratiques concernant différents aspects de la cybersécurité, à savoir 1) un guide pour la mise en place d'un système national de gestion de la cybersécurité; 2) les bonnes pratiques relatives à la création de partenariats entre le secteur public et le secteur privé visant à appuyer les buts et objectifs en matière de cybersécurité; 3) développer la capacité nationale de gestion des incidents liés à la sécurité informatique; 4) gérer un CIRT national à l'aide des facteurs essentiels de réussite; et 5) les bonnes pratiques en matière de protection des réseaux des fournisseurs de services Internet (ISP). De plus, l'annexe E du présent rapport fournit des supports pour des cours de formation sur la création et la gestion d'un CIRT. En outre, une contribution décrivant un programme supplémentaire de cours en ligne pour les enfants a été présentée par la National Academy of Telecommunications A.S. Popov d'odessa dans le cadre de l'étude de la Question. Le Groupe a également reçu des informations présentées par le BDT sur ses activités menées aux niveaux mondial et régional. Le Groupe du Rapporteur pour la Question 22-1/1 continue de travailler sur plusieurs autres rapports, notamment un rapport sur les bonnes pratiques pour lutter contre le spam, une étude sur les programmes de sensibilisation dont font partie les Etats membres ainsi qu'un recueil de rapports auxquels ont contribué les pays en informant le Groupe du Rapporteur pour la Question 22-1/1 de leurs activités en matière de cybersécurité. Ces travaux devraient être achevés au cours du prochain cycle d'études. 2 Bonnes pratiques pour la cybersécurité - Guide pour la mise en place d'un système national de gestion de la cybersécurité 2.1 Introduction A une époque dominée par l'avancée des technologies numériques, l'on ne saurait trop insister sur l'importance de mettre en place un système national de gestion de la cybersécurité. Les pays sont confrontés à des risques réels ainsi qu'à des vulnérabilités dans les systèmes d'information essentiels qui sont susceptibles d'être exploitées par des adversaires. Aujourd'hui, le cyberespace est loin d'être sûr et il est urgent d'agir contre toute forme de cyberattaque, tant au niveau national qu'international. Il appartient aux pouvoirs publics de relever les défis en matière de sécurité informatique, lesquels sont exacerbés par l'absence de structures institutionnelles et organisationnelles adaptées pour traiter les 1

10 incidents. En conséquence, les secteurs et les principales institutions devraient évaluer la fiabilité et la vulnérabilité des infrastructures, ainsi que les menaces qui pèsent sur elles, et avoir recours à des mesures de protection et des solutions idoines pour les sauvegarder. L'UIT a déjà proposé un processus complet pour élaborer et mettre en oeuvre un plan national de cybersécurité. Cette proposition définit une méthodologie pour mettre en oeuvre une Feuille de route nationale de la gouvernance de la cybersécurité, notamment un cadre de bonnes pratiques et un modèle de maturité pour évaluer les différents aspects liés à la cybersécurité nationale. Les "Bonnes pratiques pour la cybersécurité Guide pour la mise en place d'un système national de gestion de la cybersécurité" ont pour objet de présenter le "Système national de gestion de la cybersécurité", le "NCSecMS", qui est un guide pour développer un système national de cybersécurité efficace. Il garantit la mise en oeuvre de la Feuille de route nationale de la gouvernance de la cybersécurité à travers les quatre composantes suivantes: Le "Cadre NCSec" propose cinq domaines et 34 processus pour traiter les principales questions liées à la cybersécurité à l'échelle nationale, comme l'iso pour les organisations. Le "Modèle de maturité NCSec" classifie les processus du "Cadre NCSec" en fonction de leur degré de maturité. Le "Diagramme RACI NCSec" permet de définir les rôles et les responsabilités des principales parties prenantes concernées par la cybersécurité dans un pays ou une région. Le "Guide de mise en oeuvre NCSec" est une généralisation des normes ISO et à l'échelle nationale. Il souligne les bonnes pratiques à adopter par les organisations pour mesurer leur état de préparation. 2.2 Système national de gestion de la cybersécurité Le système national de gestion de la cybersécurité, appelé "NCSecMS", peut être considéré comme un outil visant à faciliter la réalisation de la cybersécurité nationale, tant au niveau national que régional. Il comprend 4 étapes, avec les composantes suivantes: Figure 1: Système national de gestion de la cybersécurité 2

11 Etape 1: NCSecFR (Cadre) La proposition d'une pratique d'excellence pour la cybersécurité nationale, appelée "NCSecFR", correspond à un cadre global répondant aux besoins exprimés par l'uit dans son Programme mondial cybersécurité (GCA). S'appuyant entièrement sur la norme ISO , il s'agit d'un code de bonnes pratiques pour les structures organisationnelles et les politiques sur la cybersécurité au niveau national, comportant cinq domaines et 34 processus, afin de faciliter la mise en place d'une coopération régionale et internationale en matière de veille, d'alerte et d'intervention en cas d'incident. Etape 2: NCSecMM (Modèle de maturité) Grâce au modèle de maturité pour la cybersécurité nationale, il sera possible d'évaluer la sécurité d'un pays ou de toute une région, ce qui permettra d'établir des comparaisons entre pays et de souligner leurs forces et les menaces potentielles. Le modèle permettra aussi de déterminer le degré de maturité d'un pays, et ainsi de définir un objectif de maturité et de planifier son renforcement. Si tant est qu'un cadre national global pour la cybersécurité soit défini, le "NCSecMM" est associé à cette proposition de pratique d'excellence pour la cybersécurité nationale, appelée "NCSecFR". S'appuyant sur le modèle de maturité de Cobit, il contribuera à la mise en oeuvre du système national de gestion de la cybersécurité et permettra d'indiquer ce qu'il faut faire pour améliorer chaque processus, au niveau national et au niveau régional. Etape 3: NCSecRR (Rôles et responsabilités) La définition d'un diagramme des responsabilités est une technique qui permet d'identifier les domaines fonctionnels présentant des ambiguïtés au niveau des processus, de mettre en évidence les différences et de les résoudre par un effort de collaboration transversale. Un "diagramme RACI national", appelé "NCSecRR", est fourni et définit, parmi les parties prenantes, qui "Réalise" les activités, qui les "Approuve", qui est "Consulté" et qui est "Informé" pour chacun des 34 processus NCSec. Le "diagramme RACI" définit en détail les tâches qui doivent être déléguées, à qui elles doivent l'être et quel type de tâche sera attribué à une partie prenante plutôt qu'à une autre. Etape 4: NCSecIG (Guide de mise en oeuvre) Le guide de mise en oeuvre associé à la cybersécurité nationale, appelé "NCSecIG", offre un mécanisme efficace de contrôle des processus visant à garantir une bonne compréhension de l'interaction entre ces processus, d'après les approches décrites dans les normes ISO et ISO Approche de résolution L'approche de résolution, qui tient compte des orientations et des objectifs déjà définis par les instances de l'uit, est adoptée pour chacune des étapes décrites précédemment. Elle permet d'atteindre les objectifs correspondants de l'uit, qui consistent à élaborer des stratégies visant à la création de structures organisationnelles nationales et régionales et de politiques sur la cybersécurité, ainsi qu'à la création d'un cadre global de veille, d'alerte et d'intervention en cas d'incident. 1 2 Pour de plus amples information sur l'iso 27002, voir l'annexe 1 du Document sur le Maroc 1/45. Pour de plus amples informations sur l'iso et l'iso 27003, voir l'annexe 1 (Maroc 1/45). 3

12 Instaurer un cadre pour la cybersécurité nationale (NCSecFR) Au cours de cette étape, l'accent a été mis sur la documentation existante de l'uit et sur la méthode basée sur le processus de l'iso 27002: nous avons tenté d'adapter la méthode de l'iso afin de définir les principaux processus indispensables à la cybersécurité nationale en vue de produire un cadre pour la cybersécurité nationale. Etant donné que l'iso représente la norme internationale de sécurité des systèmes d'information de l'organisation, le cadre proposé pour la cybersécurité nationale est une généralisation de la norme ISO Modèle de maturité pour la cybersécurité nationale (NCSecMM) Le cadre "NCSec" (étape 1) ne suffit pas: il faut y associer un modèle de maturité afin d'appliquer la mise en oeuvre de la gouvernance de la cybersécurité nationale, nous indiquant ainsi la marche à suivre pour améliorer le processus. Modèle des rôles et responsabilités (NCSecRR) Lors de cette étape, il s'agit de recenser les domaines fonctionnels présentant des ambiguïtés au niveau des processus, de mettre en évidence les différences et de les résoudre par un effort de collaboration transversale. Il est primordial de définir en détail les tâches qui doivent être déléguées, à qui elles doivent l'être et quel type de responsabilité sera attribué à une partie prenante plutôt qu'à une autre. Ainsi, cela permettra aux organisations et aux équipes d'identifier les responsabilités en fonction des éléments spécifiques au niveau national, au niveau du processus du Cadre NCSec. Guide de mise en oeuvre (NCSecIG) Il faut en priorité structurer tous les aspects du Cadre NCSec. Il est important d'offrir un mécanisme efficace de contrôle des processus afin de garantir une bonne interaction entre ces processus. Le guide de mise en oeuvre permettra de structurer chaque processus grâce aux méthodes décrites dans les normes ISO et ISO 27001: l'iso apportera une aide et des conseils pratiques pour mettre en oeuvre un Système de gestion de la sécurité de l'information (ISMS), en privilégiant notamment la méthode PDCA, pour ce qui concerne la mise en place, la mise en oeuvre, la vérification et l'amélioration du système ISMS en lui-même. L'ISO 27001, grâce au modèle "Prévoir-faire-contrôler-agir" (PDCA), sera utilisée pour structurer chaque processus. La méthode PDCA sera automatiquement utilisée pendant l'ensemble du processus de mise en oeuvre du Cadre et du Modèle de maturité NCSec. 2.3 Cadre national pour la cybersécurité Adéquation du Cadre NCSec avec les besoins La gouvernance de la cybersécurité doit reposer essentiellement sur un Cadre national capable de résoudre et de gérer les problèmes de cybermenaces au plan national. Dans un cyberespace sans bornes, ce cadre devrait également pouvoir bénéficier de la coopération nécessaire aux niveaux régional et international, s'il veut atteindre ses objectifs. Un Cadre pour un Système national de gestion de la cybersécurité peut s'appuyer sur 3 : une base juridique nationale; des mesures techniques; 3 Pour de plus amples informations sur chacun de ces cinq éléments, voir l'annexe 1 (Maroc 1/45). 4

13 des structures organisationnelles; un renforcement des capacités; une coopération internationale. Ces éléments sont conformes aux grands objectifs établis par le Programme mondial cybersécurité (GCA), et à ses cinq piliers stratégiques (ou domaines de travail). Le cadre suggéré devrait être organisé de façon à répondre aux objectifs de l'initiative GCA et à résoudre les problèmes globaux liés aux cinq domaines de travail. Cadre NCSec Figure 2: Modèle pour le Cadre NCSec Cadre NCSec: cinq domaines 4 Le cadre national pour la cybersécurité (NCSecFR) se compose de 34 processus répartis en cinq domaines 5. Domaine 1: Stratégie et politiques (SP) En règle générale, ce domaine aborde les questions suivantes: Est-ce que la stratégie nationale pour la cybersécurité est définie? Est-ce que le gouvernement élabore des politiques efficaces pour la cybersécurité nationale? Est-ce que chaque partie prenante a compris les objectifs NCSec? Comment sont compris les processus de gestion des risques et comment sont-ils intégrés dans le cadre global, notamment pour la Protection des infrastructures essentielles de l'information (CIIP)? Est-ce que le niveau de préparation de chaque partie prenante sur le plan sécuritaire est approprié pour mettre en oeuvre la stratégie NCSec? 4 5 Pour de plus amples informations sur les cinq domaines, voir l'annexe 1 (Maroc 1/45). Pour plus d'informations concernant ces 34 processus, voir l'annexe 1 (Maroc 1/45). 5

14 Domaine 2: Mise en oeuvre et organisation (MO) En règle générale, ce domaine aborde les questions de gestion suivantes: Est-ce que les parties prenantes répondront correctement aux objectifs NCSec lors de la mise en oeuvre de la stratégie NCSec? Est-ce que les services NCSec sont fournis conformément à la stratégie NCSec, pour chaque secteur/partie prenante? Les coûts NCSec sont-ils optimisés? Est-ce que les parties prenantes peuvent utiliser les systèmes informatiques de façon productive et en toute sécurité? Est-ce que les nouvelles parties prenantes sont susceptibles de fournir des services répondant à la stratégie NCSec? Est-ce que les nouvelles parties prenantes sont susceptibles d'appliquer les politiques NCSec dans le temps imparti et dans les limites budgétaires? Domaine 3: Sensibilisation et communication (SC) En règle générale, ce domaine aborde les questions de gestion suivantes: Les dirigeants nationaux du gouvernement sont-ils convaincus de la nécessité d'une action nationale pour faire face aux menaces et aux vulnérabilités? Existe-t-il un programme de sensibilisation complet, promu à l'échelle nationale, permettant à tous les acteurs (les entreprises, la population active et le grand public) de sécuriser leurs propres parts du cyberespace? Comment sont mis en oeuvre les programmes et les initiatives de sensibilisation et de communication pour toutes les parties prenantes? Existe-t-il un soutien à la société civile, avec un intérêt particulier pour les besoins des enfants et des utilisateurs individuels? Domaine 4: Conformité et coordination (CC) En règle générale, le domaine 4 aborde les questions de gestion suivantes: Est-ce que les structures organisationnelles garantissent des contrôles efficaces? Est-ce que les contrôles de risques et la conformité sont respectés et présentés sous forme de rapports? Existe-t-il une garantie adéquate de confidentialité, d'intégrité et de disponibilité au sein des composantes du cadre? Domaine 5: Evaluation et suivi (ES) En règle générale, le domaine 5 aborde les questions de gestion suivantes: Est-ce que les résultats NCSec sont mesurés pour détecter les problèmes avant qu'il ne soit trop tard? Est-ce que les résultats NCSec peuvent être reliés aux objectifs stratégiques du Cadre NCSec global? 6

15 Est-ce que les risques, le contrôle, la conformité et les résultats sont mesurés et présentés sous forme de rapports? Les composantes clés du Cadre NCSec sont les suivantes 6 : Objectifs de contrôle de la gouvernance NCSec / domaines prioritaires. Structures organisationnelles NCSec/ressources. Parties prenantes NCSec. Informations NCSec, basées sur la classification hiérarchique des menaces 7. Modèle de maturité NCSec Modèle de maturité du cadre COBIT (source: ISACA ITGI) 8 Un cadre national pour la cybersécurité doit être mis au point afin d'apporter des améliorations et d'atteindre le niveau approprié de gestion et de contrôle. A long terme, cette approche permet de rétablir l'équilibre coûts-bénéfices et de répondre aux questions suivantes: Que font nos collègues du secteur et où nous situons-nous par rapport à eux? Quelles sont les bonnes pratiques acceptables dans le secteur et où en sommes-nous par rapport à ces pratiques? D'après ces comparaisons, pouvons-nous dire que nos actions suffisent? Comment pouvons-nous identifier les actions nécessaires pour atteindre un niveau de gestion et de contrôle adéquat de nos processus informatiques? Il est difficile d'apporter une réponse claire à ces questions. Les responsables des technologies de l'information sont en quête permanente d'outils d'autoévaluation et de comparaison qui pourraient leur indiquer une marche à suivre efficace. En partant des processus inscrits dans COBIT, un propriétaire de processus devrait pouvoir s'évaluer progressivement par rapport à cet objectif de contrôle. Cette démarche répond à trois besoins: Mesurer la situation de l'entreprise Décider efficacement de la direction à suivre Tout outil de mesure des progrès par rapport à l'objectif de modélisation de la maturité pour gérer et contrôler les processus en matière de technologies de l'information est fondé sur une méthode d'évaluation de l'organisation, qui peut être notée selon un niveau de maturité allant d'inexistant (0) à optimisé (5). Dans la norme COBIT, il existe une définition générique de l'échelle de maturité COBIT, similaire à celle de CMM, mais interprétée de façon à refléter la nature des processus de gestion des technologies de l'information de COBIT. A partir de cette échelle générique est fourni un modèle spécifique pour chacun des 34 processus de COBIT. Quel que soit le modèle, les échelles ne doivent pas être trop détaillées. Cela rendrait le système trop difficile à utiliser et apporterait une précision non justifiable car, en général, le Pour de plus amples informations sur les composantes clés du Cadre NCSec, voir l'annexe 1 (Maroc 1/45). Voir l'annexe 1 (Maroc 1/45) pour connaître les critères liés aux informations NCSec. Pour plus d'informations sur le modèle de maturité du cadre COBIT, voir l'annexe 1 (Maroc 1/45). 7

16 but consiste à identifier les problèmes et à établir des priorités en vue d'apporter des améliorations, et non pas à évaluer le niveau de respect des objectifs de contrôle. Grâce aux modèles de maturité conçus pour chacun des 34 processus informatiques de COBIT, les responsables peuvent identifier: La performance réelle de l'entreprise - où se situe l'entreprise aujourd'hui? L'état actuel du secteur - La comparaison L'objectif d'amélioration ciblé par l'entreprise - où l'entreprise veut-elle se positionner? Le parcours de croissance nécessaire entre "ce qui est" et "ce qui devrait être" Afin de faciliter l'utilisation de ces résultats durant les séances d'information où ils seront présentés en vue d'étayer les futurs plans d'action, une méthode de présentation graphique s'avère nécessaire 9. COBIT est un cadre conçu pour la gestion des processus informatiques et axé sur le contrôle. Les échelles utilisées doivent être pratiques à appliquer et relativement simples à comprendre. La question de la gestion des processus informatiques étant complexe et subjective, il est préférable de l'aborder grâce à des évaluations guidées qui éveillent les consciences, recueillent un large consensus et incitent à l'amélioration. Ces évaluations peuvent être effectuées soit par rapport à l'ensemble des descriptifs des niveaux de maturité, soit, de façon plus rigoureuse, par rapport à chaque descriptif individuel. Quelle que soit la démarche retenue, il convient de posséder une expertise du processus de l'entreprise en question. L'approche du modèle de maturité a l'avantage d'être suffisamment simple pour que les responsables puissent se positionner sur l'échelle proposée et sachent ce qu'il faut faire si les résultats ont besoin d'être améliorés. L'échelle comprend un niveau 0 car il est tout à fait possible qu'aucun processus n'existe. L'échelle de 0 à 5 s'appuie sur une échelle de maturité simple qui montre comment un processus évolue d'une capacité inexistante à une capacité optimisée. Cependant, la capacité de gestion des processus et la performance des processus sont deux choses distinctes. Il se peut que la capacité requise, déterminée par les objectifs commerciaux et informatiques, ne s'applique pas nécessairement au même niveau pour l'ensemble de l'environnement informatique, mais qu'elle s'applique, par exemple, de manière irrégulière ou seulement à un nombre limité de systèmes ou d'unités. La mesure de la performance, abordée dans les paragraphes suivants, est indispensable pour déterminer la performance réelle de l'entreprise en matière de processus informatiques. Bien qu'une capacité correctement appliquée réduise d'ores et déjà les risques, une entreprise se doit d'analyser les mécanismes de contrôle nécessaires pour garantir une diminution des risques et un gain de valeur proportionnel à son appétit du risque et à ses objectifs commerciaux. Ces contrôles sont guidés par les objectifs de contrôle de COBIT. Le modèle de maturité est une manière de mesurer la qualité de développement des processus de gestion, c'est-à-dire d'évaluer ce dont ils sont réellement capables. La qualité de leur développement ou leur capacité dépend essentiellement des objectifs informatiques et des besoins commerciaux sous-jacents qu'ils soutiennent. L'ampleur du déploiement de cette capacité dépend largement du rendement des investissements visé par l'entreprise. 9 Voir la Figure 1.2 de l'annexe 1 (Maroc 1/45) pour de plus amples informations. 8

17 C'est en examinant les normes internationales émergentes et les bonnes pratiques que l'on peut trouver un point de référence stratégique qui permettra à une entreprise d'améliorer la gestion et le contrôle de ses processus informatiques. Les pratiques émergentes d'aujourd'hui risquent de devenir le niveau de performance requis de demain, et elles peuvent donc servir à planifier la situation d'une entreprise dans le temps. Les modèles de maturité sont élaborés à partir du modèle qualitatif générique 10 auquel sont ajoutés, d'une manière croissante à travers les niveaux, les principes des attributs suivants: Sensibilisation et communication Politiques, plans et procédures Outils et automatisation Compétences et expertise Responsabilité et responsabilisation Détermination des objectifs et mesure Approche de résolution Le modèle NCSecMM consiste à relier la stratégie nationale de cybersécurité aux objectifs stratégiques nationaux, en fournissant des références de mesure et des niveaux de modèles de maturité qui permettent de mesurer la réalisation de ces objectifs et d'identifier les responsabilités correspondantes des parties prenantes, ainsi que le processus des objectifs de contrôle. Cette approche a été empruntée au modèle de maturité créé par le Software Engineering Institute (Institut d'ingénierie du logiciel) pour évaluer la maturité de la capacité de développement de logiciels. Le modèle NCSecMM proposé permet de déterminer la maturité d'un pays, et par conséquent de fixer un objectif de maturité et de planifier son renforcement. Il comprend les niveaux suivants: 0. Inexistant 1. Initial 2. Reproductible mais intuitif 3. Défini 4. Géré et mesurable 5. Optimisé Modèle de maturité par processus Chacun de ces cinq processus contient des conditions qui doivent être remplies afin de satisfaire l'un des cinq niveaux de maturité Voir la Figure 1.3 de l'annexe 1 (Maroc 1/45) pour de plus amples informations. Pour les conditions, voir la section "3.3 Modèle de maturité par processus", Annexe 1 (Maroc 1/45). 9

18 Evaluation par pays Afin d'évaluer le niveau de maturité d'un pays par rapport à sa stratégie nationale en matière de cybersécurité, nous proposons de retenir dix processus majeurs permettant de procéder à tout moment à un inventaire, comme le montre le "radar" ci-dessous. Il sera alors possible de comparer différents pays et d'évaluer l'évolution d'un pays entre deux dates données. Figure 3: Image radar utilisée pour évaluer le niveau de maturité Rôles et responsabilités NCSec Face au besoin global de définir une gouvernance nationale de la cybersécurité, il convient d'associer le diagramme RACI à un cadre global. Déjà utilisée dans COBIT, cette approche a fait ses preuves (IT Governance Institute 2005 Institut de gouvernance en matière d'informatique). 2.4 La matrice RACI Il est impératif de suivre une méthodologie efficace afin d'identifier les domaines fonctionnels présentant des ambiguïtés en termes de responsabilités au niveau national, de mettre en évidence les différences et de les résoudre par un effort de collaboration transversale. Le diagramme des responsabilités permet aux responsables appartenant à des niveaux organisationnels et à des programmes similaires ou différents de participer activement à des discussions ciblées et systématiques à propos de descriptifs d'actions liées aux processus. Ces actions doivent être accomplies pour garantir une bonne livraison du produit ou service final. Mais il n'existe aucun modèle de "Diagramme des responsabilités" dédié à la cybersécurité nationale. Le diagramme des responsabilités est un processus en cinq étapes (Smith and Erwin 2005): premièrement, il faut identifier les processus 12. Deuxièmement, il faut déterminer les parties prenantes, les ressources et les informations à inclure dans le diagramme. La matrice RACI peut alors être créée en complétant les cellules du diagramme. Les redondances doivent ainsi être éliminées. Pour finir, les lacunes devraient être comblées. Nous suivrons cette méthodologie pour créer et produire le diagramme RACI. 12 Voir "La matrice RACI par processus" dans l'annexe 1 (Maroc 1/45). 10

19 L'approche du diagramme RACI Le modèle RACI est un outil relativement simple, utilisé pour définir clairement les rôles, les responsabilités et les pouvoirs confiés aux parties prenantes impliquées dans la gestion ou l'exécution des processus, notamment durant un processus de changement organisationnel. Il est utile de décrire les tâches à accomplir et à qui elles incombent afin de réussir à mettre en place un processus de transformation (Kelly 2006). Un diagramme RACI est un tableau décrivant les rôles et responsabilités incombant à divers intervenants dans le déroulement d'un processus. Dans le contexte du Cadre NCSec, "le diagramme RACI" clarifiera les rôles et responsabilités des différentes parties prenantes au niveau national. Pour chacun des 34 processus inclus dans le cadre NCSec, il associera à la liste des parties prenantes des informations sur leurs rôles respectifs par rapport à ces processus. Pour chaque processus, une ou plusieurs lettres, issues de l'acronyme "RACI", seront attribuées à chaque intervenant, selon ses rôles et responsabilités. L'acronyme RACI se décompose ainsi: Réalisation (R): les R sont les équipes ou personnes qui réalisent l'action, y compris celles qui remplissent la fonction de soutien, et qui sont en charge de fournir les ressources nécessaires à la mise en oeuvre et à la réalisation du processus. Approbation (A): ce sont ceux qui doivent rendre des comptes sur la réalisation correcte de la tâche. Le A représente l'autorité donnant son approbation finale. L'autorité assumant cette responsabilité doit approuver l'avancement du projet confié aux équipes de réalisation. Il ne peut y avoir qu'un seul A par processus. Consultation (C): il s'agit des personnes ou entités qui donnent leur avis, par le biais d'un système de communication réciproque. Ces autorités consultées ont accès aux informations et/ou aux capacités indispensables à la réalisation de la tâche. Information (I): ce sont ceux qui sont informés de l'évolution du projet, par le biais d'un système de communication à sens unique. Il s'agit de l'autorité devant être informée du projet et de ses résultats sans pour autant avoir besoin d'être consultée. Il arrive souvent que le rôle d'"approbation" se double du rôle de "réalisation". Mais il est généralement recommandé d'assigner au plus un type de rôle participatoire à chaque responsabilité pour chaque processus. Si des rôles participatoires apparaissent en double dans le diagramme RACI, cela signifie que la répartition des responsabilités n'a pas vraiment été résolue. Il est alors impératif de clarifier la responsabilité de chacun en fonction de chaque tâche. Méthodologie RACI NCSec La méthodologie retenue dans le cas du diagramme RACI NCSec n'est pas très différente de la méthodologie classique. Elle consistera à compléter les cellules du diagramme après avoir identifié qui sera (R), (A), (C), (I) pour chaque processus. En règle générale, il est préférable que chaque processus comporte un seul (R). Dans le cas contraire, un processus dénué de (R) ferait apparaître une lacune, tandis que plusieurs parties prenantes assumant le rôle (R) pour un même processus donné engendreraient un doublon. Nous commencerons avec le (A). Les principes directeurs pour assigner les rôles sont les suivants: désigner un point (rôle, position) d'approbation (A) par processus; assigner une responsabilité de Réalisation (R) au niveau le plus proche de l'action ou de l'expertise requise pour la tâche. Vérifier que chaque responsabilité partagée est appropriée; s'assurer que des parties prenantes appropriées remplissent les rôles de Consultation (C) et d'information (I), mais limiter ces rôles au niveau de participation nécessaire. 11

20 2.5 Guide de mise en oeuvre NCSec Le guide de mise en oeuvre a pour objectif d'aider la ou les partie(s) prenante(s) du NCSec à mettre en place un système de traçabilité conforme au Cadre NCSec, au Modèle de maturité NCSec et au Diagramme des responsabilités NCSec. La ou les partie(s) prenante(s) du Cadre NCSec souhaitant mettre en oeuvre un système de traçabilité de la gouvernance de la cybersécurité nationale pourront utiliser ce guide d'exécution. Il peut s'agir par exemple des pouvoirs publics, du secteur privé, d'infrastructures essentielles, d'établissements universitaires et de la société civile. Ces lignes directrices s'adressent à toute personne appartenant aux parties prenantes décrites précédemment. En outre, ce guide peut être utilisé par les Etats Membres de l'uit pour soutenir les parties prenantes locales dans leurs efforts de mise en oeuvre, dans le cadre d'un processus d'autoévaluation. Principales étapes Le guide de mise en oeuvre comporte six étapes principales, basées sur l'approche Prévoir-faire-agircontrôler (PDCA): Figure 4: Etapes du guide de mise en oeuvre 12

21 Approche de résolution Figure 5: Approche de résolution NCSecIG 2.6 Guide de mise en oeuvre Approbation de la mise en oeuvre A Aperçu de l'approbation de la mise en oeuvre B Définir les objectifs et les exigences nationales en matière de cybersécurité C Définir la portée initiale de la gouvernance NCSec D Obtenir une approbation de la part des responsables de haut niveau Définir la portée et la stratégie A Aperçu de la définition du NCSecMS et de la stratégie B Définir les frontières nationales du cyberespace C Déterminer les limites de la portée du NCSecMS D Mettre au point la stratégie NCSec Procéder à une analyse du contexte national A Aperçu du processus d'analyse du contexte national B Définir les exigences en matière de sécurité informatique C Définir la Protection des infrastructures essentielles de l'information (CIIP) D Procéder à une évaluation de la sécurité informatique nationale 13

22 Créer un système de gestion NCSec A Aperçu de la conception du NCSecMS B Définir des structures organisationnelles C Concevoir les mécanismes de surveillance et de mesure D Créer le programme de mise en oeuvre du NCSecMS Mettre en oeuvre le système de gestion NCSec A Aperçu de la mise en oeuvre du NCSecMS B Etablir la mise en oeuvre du système de gestion C Exécuter les projets de mise en oeuvre D Documenter les procédures et le processus de contrôle 2.7 Conclusion Le système national de gestion de la cybersécurité proposé ci-dessus, applicable à la gouvernance de la cybersécurité aussi bien au niveau national que régional, permettra à un pays ou à une région entière de déterminer la façon dont est gérée sa cybersécurité grâce à une autoévaluation fondée sur un modèle de maturité bien défini. Le Cadre national de gestion de la cybersécurité permettra aux pays et aux régions d'atteindre des niveaux adéquats de gestion et de contrôle, grâce à une amélioration constante et à une prise en compte des coûts et avantages liés aux objectifs à court et à long terme. 3 Partenariats public-privé à l'appui des buts et objectifs en matière de cybersécurité 3.1 Introduction Le présent rapport sur les bonnes pratiques décrit l'efficacité des partenariats public-privé dans la résolution des problèmes complexes liés à la sécurité et à la gestion des risques en matière d'infrastructures essentielles de l'information (CII). La gestion des risques pesant sur les infrastructures essentielles est une entreprise à la fois extrêmement complexe et cruciale. La compromission ou l'exploitation des infrastructures essentielles à des fins malveillantes peut avoir de sérieuses répercussions au plan local, régional voire mondial. Les risques de cybersécurité liés aux infrastructures essentielles de l'information se sont progressivement amplifiés du fait que les pays, les industries et les personnes se fient de plus en plus aux systèmes et réseaux d'information pour soutenir les fonctions normales des infrastructures essentielles. Si les risques menaçant les systèmes et réseaux d'information ne sont pas atténués, ils peuvent entraîner de graves conséquences pour la sécurité nationale, la vitalité économique et le bien-être de la société. La gestion, à l'échelle nationale ou mondiale, des risques liés aux infrastructures essentielles présente un enjeu insoluble pour les gouvernements, notamment en matière de cybersécurité, un domaine qui présente des problèmes de sécurité des infrastructures à la fois physiques et logiques. Premièrement, les infrastructures essentielles sont omniprésentes. Les points de vulnérabilité et les opportunités d'introduire des risques sont nombreux. Deuxièmement, les menaces aux infrastructures sont innombrables. Les attaques terroristes ou d'intention criminelle, les dangers naturels, les accidents, les dépendances qui caractérisent ces infrastructures, les ruptures de la chaîne logistique et bien d'autres menaces constituent des facteurs légitimes d'inquiétude. Troisièmement, si les conséquences directes ou indirectes peuvent s'avérer dévastatrices, elles sont parfois difficiles à estimer et à anticiper avec précision. Quatrièmement, les efforts pour quantifier les risques, fixer des priorités dans la gestion de ces 14

23 risques et allouer des ressources limitées peuvent constituer un enjeu complexe et insurmontable, surtout à grande échelle (à un plan régional, national ou mondial). Cinquièmement, notre monde est de plus en plus interconnecté et les risques encourus par les infrastructures peuvent transcender les frontières géographiques et les juridictions légales. C'est notamment le cas pour les infrastructures essentielles de l'information. Des cyberattaques peuvent être lancées de pratiquement n'importe où et elles sont souvent juridiquement opaques. Enfin, tandis que la sécurité nationale a toujours été la responsabilité des pouvoirs publics, une grande partie de l'infrastructure mondiale est exploitée par le secteur privé, à qui elle appartient. De tels problèmes appellent non seulement des solutions novatrices en matière de gestion des risques, mais également un meilleur niveau de coopération, de coordination et de collaboration entre les nations, ainsi qu'entre les pouvoirs publics et les entreprises, les institutions universitaires, les organisations non gouvernementales, internationales et autres, investies dans la protection des infrastructures essentielles. En d'autres termes, les partenariats public-privé ont souvent plus de chances de réussir là où les efforts unilatéraux ont échoué. Nulle part ailleurs ce constat est-il aussi pertinent que dans le domaine des infrastructures essentielles de l'information (CII), où la cybercriminalité, la protection des données, la sécurité des systèmes de contrôle, la défense des réseaux, la riposte aux incidents informatiques et les problèmes de retour à la normale présentent des enjeux croissants tant pour les pouvoirs publics que pour les entreprises privées. Les gouvernements ou le secteur privé sont souvent incapables de gérer indépendamment la prise en charge de ces problèmes de cybersécurité. Afin de mieux servir les intérêts internationaux et nationaux, ainsi que les intérêts des entreprises et des individus, les secteurs public et privé (et la communauté internationale) doivent se partager la responsabilité du renforcement du dispositif de cybersécurité au niveau mondial. 3.2 Les principes du partenariat Caractéristiques clés des partenariats réussis Les solutions collaboratives pour résoudre des enjeux complexes et omniprésents ont prouvé leur efficacité à maintes reprises. Les pouvoirs publics et le secteur privé ont créé, avec succès, des partenariats visant à répondre à des problèmes très divers, qu'il s'agisse de questions d'ordre scientifique ou théorique, de défis d'ordre économique ou social, de conflits armés ou d'initiatives pour lutter contre le terrorisme. Un partenariat est une relation formée entre des individus ou des groupes dans l'intention d'atteindre un but spécifique. Les partenariats se caractérisent de façon plus large par un bénéfice mutuel, une collaboration, une responsabilité et une redevabilité partagées. La création de partenariats s'explique par le fait que leurs instigateurs y perçoivent une valeur et qu'ils espèrent en tirer un certain bénéfice. Les membres admettent qu'il serait plus difficile, voire impossible, d'atteindre l'objectif visé par un partenariat sans cette relation collaborative. Il existe plusieurs facteurs clés communs au succès des partenariats entre le secteur public et le secteur privé, leur importance variant en fonction de la nature et du contexte caractérisant le partenariat. En général, on retrouve les caractéristiques suivantes: Le partenariat est mutuellement bénéfique. Le partenariat est volontaire. Les partenaires ont une compréhension commune (et documentée) des objectifs et du cadre du partenariat. Les partenaires se sont accordés sur les actions prioritaires nécessaires pour réaliser ces objectifs. Les rôles et les responsabilités ont été clairement délimités. Le partenariat est large et inclusif, avec un minimum de restrictions d'accès. 15

24 Chaque membre apporte des compétences permettant au partenariat de progresser vers le but ou l'objectif partagé. Chaque partenaire est considéré comme indépendant et souverain - le partenariat est un rapport d'égalité et de confiance. Les partenaires oeuvrent ensemble avec efficacité. Il existe une transparence au sein du partenariat. Des ressources suffisantes sont mises à disposition pour satisfaire les fins visées par le partenariat. Les investissements des partenaires sont équitables, y compris le partage des coûts et des charges. Il est fréquent que plusieurs organisations gouvernementales se partagent la responsabilité de divers aspects de la sécurité en matière de CII, engendrant parfois des chevauchements. C'est pourquoi il est capital d'instaurer un système de communication continue au sein des gouvernements, dans le cadre d'initiatives de gestion des risques axées sur une collaboration entre les secteurs public et privé et de partenariats public-privé réussis. 3.3 Proposition de valeur Les gouvernements reconnaissent généralement que la protection de leurs citoyens face aux conséquences potentiellement dévastatrices d'une exploitation ou d'une interruption des infrastructures essentielles serait pratiquement impossible sans la vaste participation volontaire du secteur privé. Les entreprises privées possèdent, exploitent et maintiennent la plupart des infrastructures, y compris les CII, si bien que leur expertise, leur collaboration, leur coordination, leurs ressources et leur engagement global sont indispensables aux efforts de gestion des risques des infrastructures essentielles déployés par les gouvernements. La participation du secteur privé à des partenariats liés à la sécurité peut aussi s'expliquer par d'autres raisons. Les entreprises ont pour préoccupation première de protéger leur clientèle et de gérer les risques encourus par leurs organisations. Des sociétés pourraient se trouver dans l'incapacité d'atteindre leurs objectifs globaux en matière de gestion des risques commerciaux, souvent étroitement liés aux risques sécuritaires, sans l'assistance d'autres partenaires publics et/ou privés. Les intérêts de la sécurité publique sont souvent liés aux activités centrées sur la prévention de la détérioration de données, des dégâts matériels, des dommages causés aux produits et d'autres pertes pour les sociétés. De même, la continuité commerciale ainsi que la protection des employés et des investissements sont fréquemment associées à la sécurité. Les sociétés cotées en bourse doivent également rendre compte à leurs actionnaires qui exercent souvent des pressions sur les entreprises pour qu'elles interviennent en faveur de l'intérêt public face à certains problèmes, notamment sur les questions touchant à la sécurité et les sujets politiquement sensibles (comme le changement climatique). Les pressions peuvent aussi provenir de l'intérieur des entreprises dont les dirigeants ont un sens de la responsabilité civique. Si les entreprises font preuve de coopération et de bonne foi vis-à-vis des pouvoirs publics, elles peuvent bénéficier, en cas d'incident, d'une protection juridique et d'une assurance responsabilité, ainsi que de primes d'assurance réduites. Les partenariats volontaires présentent également une alternative intéressante à un environnement réglementé. Ce facteur, entre autres, pourrait inciter les entreprises privées à entretenir des relations avec les pouvoirs publics basées sur la coopération et la collaboration plutôt que sur l'adversité et la conformité. Des relations de travail étroites avec les pouvoirs publics pourraient offrir aux entreprises une transparence accrue vis-à-vis des politiques gouvernementales et leur permettre d'influencer la prise de décision au niveau gouvernemental afin de garantir des politiques acceptables, efficaces et viables. 16