Ouagadougou, Hôtel Palm Beach, 03 Mai 2013 Serge R. SANOU Arcep / CIRT-BF Serge.sanou@arcep.bf 1
Environnement des TICs Aspects règlementaires Définition de la cybersécurité Caractérisation du cyberespace du Burkina Faso : Statistiques sur la cybersécurité Plan national de Cybersécurité Mise en œuvre du CIRT-BF Projet de création de l ANSSI Autres grands Projets IT nationaux 2
3
Caractérisé par des mutations technologiques rapides Une économie numérique régie par les transactions électroniques en utilisation croissante Applications variées : E-commerce Télémédecine E-Administration Télé-enseignement (TICE) Etc. 4
Une offre Internet à travers diverses technologies en évolution 5
Une accessibilité Internet insuffisante pour les Pays enclavés Ex : BURKINA 6
Gouvernance TICs International : ICANN, IETF, ISOC, SMSI, UIT, Gouvernements, Groupes de sociétés, Réseaux sociaux, Associations, Etc, National : Le gouvernement dans son rôle de protection des secteurs critiques du pays doit appuyer les initiatives de développement des TICs Participation effective de tous les Acteurs au développement des TICs : Public, Privé, Utilisateurs c est-à-dire l Etat, le secteur privé et la société civile 7
Sécurité : Nécessité de sécuriser les réseaux et des données (information): 8
La stratégie de Sécurité et de développement des TICs dépendra des principes ci-après : Un effort national Protection de la vie privée et des libertés individuelles Régulation du marché Définition des rôles et responsabilités des acteurs Flexibilité de la stratégie Révision continuelle 9
10
Les lois qui permettent de définir et encadrer les communications électroniques sont les suivantes : La Loi n 061-2008/AN du 27 novembre 2008 portant réglementation générale des réseaux et services de communications électroniques au Burkina Faso. La Loi N 045-2009/AN portant réglementation des services et des transactions électroniques au Burkina Faso La Loi N 011-2010/AN portant réglementation de la gestion des noms de domaine sous le domaine de premier niveau.bf La Loi N 010-2004/AN portant protection des données à caractère personnel 11
12
Cyberespace Espace de communication constitué par l interconnexion mondiale d équipements de traitement automatisé de données numériques. Cybersécurité Etat recherché pour un système d information lui permettant de résister à des évènements issus du cyberespace susceptibles de compromettre la disponibilité, l intégrité ou la confidentialité des données stockées, traitées ou transmises à des services connexes que ces systèmes offrent ou qu ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d information et s appuie sur la lutte contre la cybercriminalité et sur la mise en place d une cyberdéfense. 13
Cybersécurité (Recommandation UIT T X.1205,résolution 181, Guadalajara 2010) «On entend par cybersécurité l'ensemble des outils, politiques, concepts de sécurité, mécanismes de sécurité, lignes directrices, méthodes de gestion des risques, actions, formations, bonnes pratiques, garanties et technologies qui peuvent être utilisés pour protéger le cyberenvironnement et les actifs des organisations et des utilisateurs. Les actifs des organisations et des utilisateurs comprennent les dispositifs informatiques connectés, le personnel, l'infrastructure, les applications, les services, les systèmes de télécommunication, et la totalité des informations transmises et/ou stockées dans le cyberenvironnement. La cybersécurité cherche à garantir que les propriétés de sécurité des actifs des organisations et des utilisateurs sont assurées et maintenues par rapport aux risques affectant la sécurité dans le cyberenvironnement. Les objectifs généraux en matière de sécurité sont les suivants: Disponibilité; Intégrité, qui peut englober l'authenticité et la non-répudiation; Confidentialité.» 14
Cybercriminalité Actes contrevenants aux traités internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes d information comme moyens de réalisation d un délit ou d un crime, ou les ayant pour cible. Cyberdéfense Ensemble de mesures techniques ou non techniques permettant à un Etat de défendre dans le cyberespace les systèmes d information jugés essentiels. 15
16
Extraits de l étude réalisée en 2010 par l ARCEP en partenariat avec l UIT sur l état de la cybersécurité au Burkina Faso (36/50) : Le budget IT : le budget IT alloué aux fonctions de sécurité et aux campagnes de formation et de sensibilisation est faible : 44% des répondants indiquent que 0% du budget IT est alloué aux campagnes de formation et de sensibilisation du personnel pendant que 53% des répondants soulignent que leur structure consacre au plus 10% du budget IT à la formation et à la sensibilisation de son effectif. Le taux des non répondants est élevé au niveau de l évaluation du chiffre d affaire (63,89%) et du budget IT (61,11%) 17
Les Logiciels libres : L utilisation des logiciels libres est très faible. Les structures sondées utilisent dans une très grande proportion les logiciels commerciaux et propriétaires. 25% n utilisent pas de logiciels libres alors que pour 72% les logiciels libres représentent moins de 10% de l arsenal logiciel. Les incidents de sécurité : les virus occupent 72% pour les types d attaques et abus détectés par les structures, Ils constituent la première source d incidents devant les abus internes de l accès réseau ou de la messagerie, le vol d ordinateur, la pénétration du système par un inconnu, fraudes financière, etc. 18
Adressage IPv4/IPv6 : La quasi-totalité des structures (100% des répondants) utilisent un adressage IPv4, mais ne disposent d adresses IPv6. Ce qui montre l inexistence d infrastructures IPv6 même en état embryonnaire. Le taux de disponibilité et d utilisation des adresses IPv4 publiques est très faible et indique une utilisation abusive de techniques de translation d adresses (NAT). 22% ne disposent pas d adresses IPv4 publiques, 36% disposent de blocs d adresses inférieurs ou égal à /29. Seulement 3% disposent de blocs d adresses supérieurs à /24. 19
Les types d attaques et abus détectés sur les 24 derniers mois 20
Les mesures prises après un incident Les raisons pour lesquelles les incidents n ont pas été signalés en dehors de l organisation 21
Les solutions techniques de sécurité utilisées 22
Les Résultats de l étude (1/2): Une inefficacité des solutions techniques utilisées. Absence d information sur les vulnérabilités, failles de sécurité et leurs solutions. Les incidents de sécurité ne sont pas analysés, pour en tirer les leçons et les conséquences. Bien que l analyse et la gestion des risques indiquent un niveau élevé d impact des incidents de sécurité, le niveau de préparation à faire face aux incidents de sécurité est jugé moyen. Les risques résiduels de cybersécurité ne sont pas dans la plupart des cas couverts par une police d assurance. 23
Les Résultats de l étude (2/2): La majorité des fonctions de sécurité sont déclarées être gérées en interne alors que les ressources humaines qualifiées n existent pas Manque de culture de cybersécurité. Le manque de législations spécifiques en matière de procédure et de sanctions des infractions informatiques réduit à néant les efforts de ces structures. De nombreux projets IT sont envisagés pour les prochaines années et introduiront de nouveaux risques qui pourraient accentuer les problèmes de sécurité rencontrés aujourd'hui. 24
25
Objectif : Avoir un référenciel commun en matière de cybersécurité Se doter d une feuille de route pour la protection du cyberespace du Burkina Définir une stratégie de sécurisation des TICs à court, moyen et long terme Le Plan a été élaboré en 2010 en partenariat avec l UIT 26
L étude pour l élaboration du plan national de cybersécurité a permis de caractériser le cyberespace du Burkina Faso La caractérisation a révélé des insuffisances sur la gestion de la sécurité de ce cyberespace Les principaux axes de ces recommandations constituent les priorités pour la sécurisation du cyberespace autour desquelles s articule le Plan National de Cybersécurite 27
Trois (3) priorités sont définis dans le Plan national pour une meilleure gestion de la sécurité du cyberespace : Priorité 1 : Réduction de la vulnérabilité du cyberespace Priorité 2 : Gestion des incidents Priorité 3 : Renforcement de la culture de cybersécurité 28
Identifier et corriger les vulnérabilités existantes qui peuvent créer des dommages aux infrastructures critiques si elles sont exploitées; Développer les nouveaux systèmes avec moins de vulnérabilités et évaluer les technologies émergentes pour les vulnérabilités; Réduire les menaces et décourager les pirates à travers un programme d identification et de sanctions 29
Mettre en place un système national de gestion des incidents; Le système national de gestion des incidents doit être une architecture multi-acteurs (public, privé,...), coordonné par une structure spécialisée Encourager la mise en place d Unités d Analyse et de Gestion des Incidents (UAGI) au niveau des organisations, des groupes sectoriels et industriels, et encourager la collaboration et le partage d informations entre elles; Mettre en place un centre de coordination de la gestion des incidents. 30
Sensibilisation Les utilisateurs finaux et les petites structures Les grandes structures Le partenariat public-privé pour la dissémination des bonnes pratiques de cybersécurité Formation Spécialistes Sécurité dans le curriculum Projets de recherche sur la cybersécurité 31
Certification - homologation Des certifications proposées de façon systématique par les vendeurs de solutions Des programmes de certification en sécurité Des programmes de certification des auditeurs Homologation des équipements de sécurité informatique 32
33
Objectif : fournir une assistance de gestion de crise en réponse aux menaces ou attaques sur les infrastructures critiques; coordonner avec les UAGI sectorielles et autres organisations du public, du privé et les citoyens pour fournir les informations d alerte spécifiques et des mesures de protection appropriées à mettre en place; coordonner les actions de réponse avec les organisations sœurs au niveau régional et international. 34
ITU : International Telecommunication Union www.itu.int 3 Engineers 3 Engineers IMPACT: International Multilateral Partnership Against Cyber Thread www.impactalliance.org (IMPACT, GRC, FIRST, ESCAPE, ETC.) Au total : 13 personnes 35
36
37
ENJEU : Structure dédiée à la sécurité des systèmes d information et du réseau Internet du Burkina Faso L ANSSI après sa création sera la structure de rattachement du CIRT-BF 38
Elle aura pour missions entre autres de : Gérer le CIRT-BF Veiller à l'exécution des orientations nationales et de la stratégie générale de sécurité des systèmes d information Suivre l'exécution des plans et des programmes relatifs à la sécurité des systèmes d information et assurer la coordination entre les intervenants dans ce domaine Assurer la veille technologique dans le domaine de la sécurité des systèmes d information 39
Elle aura pour missions entre autres de : Etablir des normes spécifiques à la sécurité des systèmes d information et élaborer des guides techniques en l'objet et procéder à leur publication ; Œuvrer pour encourager le développement de solutions nationales dans le domaine de la sécurité des systèmes d information et à les promouvoir conformément aux priorités et aux programmes qui seront fixés par l'agence ; Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité des systèmes d information ; Veiller à l'exécution des missions d'audit périodique de la sécurité des systèmes informatiques des Administrations et Sociétés. 40
Relations des entités nationales avec l ANSSI GOUVERNEMENT SECTEURS CRITIQUES Les Finances, la Communication, les Transports, Energie, Eau, les Services d urgence, les Services de santé, les Services publics, la Défense nationale,... ANSSI Associations Professionnelles, Associations des Consommateurs, ONG de promotion des TICs,... Coordination régionale et internationale UAGI sectorielles ou locales Entreprises et utilisateurs finaux 41
42
La mise en œuvre d une plateforme automatisée de Registre complet des noms de domaine.bf La mise en œuvre d un Root Server L Anycast La mise en œuvre d un Point d Echange Internet (IXP) La mise en œuvre d un Point d Atterissement Virtuel Le Projet de réalisation d un Backbone national FO La migration des réseaux IPv4 vers IPv6 Point d Echange Internet (IXP) Nouvelle Plateforme sécurisée DNS Projet Root Server F Anycast Migration IPv4 vers IPv6 43
CIRT-BF : www.cirt.bf ARCEP : www.arcep.bf 44