1

Cadre institutionnel et réglementaire : un revue de l’expérience internationale

Atelier e-Sécurité – 19-20 juin 2006

Contenu

La Notion de CIIP

– Protection des infrastructures d’information critiques: Définitions et implications

Expériences internationales

The International CIIP Handbook 2006

20 pays couverts Australie, Autriche, Canada, Danemark, Finlande,

France, Allemagne, Irlande, Italie, Japon, Corée, Pays-Bas, Nouvelle Zélande, Norvège, Singapore, Espagne, Suède, Suisse, Angleterre, États-unis.

www.crn.ethz.ch

Terminologie et définition: CI/CII

• CI - Infrastructure Critique : systèmes dont la non disponibilité ou la destruction pourrait avoir un effet débilitant sur la sécurité nationale et sur le bien-être économique et social d’une nation

• CII - Infrastructure d’Information Critique : composante de l’infrastructure d’information globale ou nationale qui est essentielle afin d’assurer la continuité des services proposés par les infrastructure critiques

Les risques informatiques: stratégiques?

• Les sociétés modernes se reposent de plus en plus fortement sur les infrastructures, notamment les infrastructures d’informations

• Les infrastructures d’informations critiques font le lien avec les autres systèmes d’infrastructures et forment des interdépendances, avec comme impact– Les formes des menaces ainsi que leur capacité à faire des

dommages évoluent de manière rapide– De nouveaux systèmes d’interrelations émergent– Les risques augmente avec les nouvelles technologies et la

convergence

Terminologie et définitions: CI/CII (suite)

De fait, il s’agit bien des services bien plus que des infrastructures qui sont le centre d’attention.

De manière similaire, les services offerts par le e-gouvernement peuvent être classés par leur criticité

Notion stratégique de CIIP

La notion de protection des infrastructures d’informations critiques se trouvant à l’intersection des autres infrastructures critiques renforce le besoin d’un approche nationale stratégique de la e-sécurité.

Différents points de vues…

• La Protection d’Infrastructures (d’Information) Critiques peut être abordée de différents points de vue: – Système / technique

– (e-)business

– Legal-exécutif

– Militaire

– Sécurité Nationale

… les complications…

• Les points de vues n’ont pas de délimitations claires et se recoupent

• Divergences des différents acteurs sur les priorités et les besoins de protection

• Difficulté d’allouer des responsabilités et de s’accorder sur l’adoption de moyens politiques ou règlementaires appropriés

… les problèmes en résultant

• Le concept de Criticalité change en fonction de qui en parle

• Dans un contexte socio-politique: la notion de Criticalité est lié à la manière dont est perçue un dommage ou une interruption de service, et quel en est l’impact politique– Perte de confiance– Perte d’image

Questions Clés

• Politique e-sécurité :

– Quels sont les secteurs identifiés comme critiques

– Quelles sont les approches nationales en application et les outils institutionnels et réglementaires utilisés

Secteurs Critiques les plus cités

Parmi les 32 « secteurs » choisis, les plus souvent cités par les 20 pays étudiés sont:

– Banque et Finance (20)– (Télé-)Communication / TIC (20)– Énergie/Électricité (20)– Transport/Logistique/Distribution (18)– Santé (15)– Eau (distribution) (15) – Gouvernement Central / Services publics (12)– Service d’urgences et de secours (12)

Ces secteurs représentent le cœur de sociétés modernes, et potentiellement les domaines où une interruption de services de grande envergure serait le plus dévastateur.

Suisse – Secteurs critiques

1. Administration Publique2. Défense, service d’urgence et de secours3. (Tele-)communication4. Énergie5. Finance6. Industrie7. Media8. Santé9. Transport et logistique10.Eau

Suisse – Initiatives et politiques

• Exercice stratégique (SFU97). – Identifie les risques liées au systèmes d’information dans le contexte des

infrastructures du pays• Stratégie pour la société de l’information (1998)

– Mesures pour promouvoir une société de l’information• Rapport de politique de sécurité (2000)

– Reconnaît le concept de CII et ses implications• Information Assurance (2000)

– Recommande l’établissement d’un mécanisme de gestion de crise et la création d’un task force

• INFORMO 2001 – Revue des processus Info assurance

• Information Assurance Policy (2002)– Prévention, détection, gestion de crise, solutions techniques

• Analyse des risques (2002 -)– Analyse des risques et de l’interdépendance des secteurs critiques avec les

infrastructures d’information critique

Suisse – Aspects institutionnels

Agences publiques:– Unité stratégique nationale pour les TI (ISB)– Office fédéral des communications (OFCOM)– Office féderal de l’approvisionnement (NES)– Office fédéral des TI, Systèmes et telecom

(FOITT)– Unité de coordination pour le cyber crime

(CYCO)– Département de la Défense (DDPS)

Suisse – Aspects institutionnels (suite)

Partenariats Public-Privés et Association professionnelles– Association Infosurance (1999)– Office fédéral de l’approvisionnement– Club de la Sécurité Informatique Suisse (1989)– Information Systems Audit and Control

Association – filiale suisse

Suisse – Détection et prévention

• Centre d’analyse et de suivi pour l’intégrité des données (MELANI) – 2003

• Task force sur l’intégrité des données (SONIA) - 2003

• SWITCH CERT

Suisse – lois et législations

Un nombre d’articles du code pénal concerne la protection des données et autres aspects de e-sécurité:

• Article 143 (accès non-autorisé aux données)• Article 143bis (accès non-autorisé aux systèmes de traitement des

données)• Article 144 (dommage à la propriété)• Article 144bis (dommages aux données)

Article 147 (usage inapproprié d’un ordianteur)

La suisse a signé en 2001 la “Convention on Cybercrime of the Council of Europe”

De plus, le code pénal se conforme déjà avec les articles internationaux concernant la propriété intellectuelle, la fraude informatique, la pornographie, notamment.

Messages clés

• Les points de vues varient en ce qui concerne la protection des infrastructure d‘information critique

• Les vues divergentes des acteurs d‘un pays peuvent devenir un obstacle important

• Les partenariats avec le secteur privé sont cruciaux afin de profiter des compétences respectives

• Les programmes de détection (Early Warning systems) sont perçus comme important, mais souvent ne sont pas fonctionnels

Cas de la Tunisie

Questions