Face à la montée des cyber-risques, les Etats ont depuis plusieurs années publié leur stratégie concernant la cybersécurité. Cette démarche est bien entendu également valable pour le monde privé car elle permet déjà (1) de démontrer la prise de conscience de la haute direction et (2) de communiquer et expliquer les mesures prévues pour gérer ces risques et avec quels moyens.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Habituellement, la structure typique d’une stratégie s’organise de la manière suivante:
- une introduction
- une présentation des objectifs et du périmètre
- une description de l’existant en intégrant un paysage des risques et des menaces auxquelles la stratégie doit répondre
- les stratégies de réponses aux risques et menaces précitées
- une feuille de route globale permettant de clarifier les principes, les échéances de mise en oeuvre ainsi que les métriques permettant de mesurer l’efficacité de leur implémentation
Rien ne vaut des exemples et voici donc une sélection de 6 stratégie nationale de cybersécurité parmi les quelques 70 référencées plus bas dans cette article:
Exemple 1. National Cyber Security Strategy – UK
Une structure claire. Un très bon exemple de cyber-stratégie.
https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/567242/national_cyber_security_strategy_2016.pdf
Exemple 2. Cyber Strategy – USA (DoD Department of Defense)
S’appuyant sur le principe de gestion des risques, de protection des données et d’organisation en cas de conflit.
https://www.defense.gov/Portals/1/features/2015/0415_cyber-strategy/Final_2015_DoD_CYBER_STRATEGY_for_web.pdf
Exemple 3. Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace
Une série de principes à haut-niveau présentant les objectifs stratégiques et les responsabilités au sein de l’Europe pour gérer les cyber-risques et combattre le cyber-crime.
https://dcod.ch/wp-content/uploads/2017/01/1CybersecurityStrategyoftheEuropeanUnionAnOpenSafeandSecureCyberspace-JOIN20131final-722013-1.pdf
Exemple 4. Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC)
Organisée en 7 champs d’action.
https://dcod.ch/wp-content/uploads/2017/01/Strategie_zum_Schutz_der_Schweiz_vor_Cyber-Risiken_k-FR.pdf
Exemple 5. La Stratégie nationale pour la sécurité du numérique – France
Structurée selon 5 objectifs stratégiques
https://www.ssi.gouv.fr/uploads/2015/10/strategie_nationale_securite_numerique_fr.pdf
A noter également la stratégie complémentaire traitant de la sécurité des systèmes d’information:
https://www.ssi.gouv.fr/uploads/IMG/pdf/2011-02-15_Defense_et_securite_des_systemes_d_information_strategie_de_la_France.pdf
Exemple 6. Singapore’s Cybersecurity Strategy
Une approche s’appuyant sur la sécurité de l’infrastructure et la résilience dans le cyber-espace, sans oublier l’importance d’une collaboration internationale
https://dcod.ch/wp-content/uploads/2017/01/SingaporeCybersecurityStrategy.pdf
Pour plus de stratégies
Pour poursuivre l’analyse, voici deux repertoires regroupant des liens vers plus de 70 stratégies de sécurité:
Celui de l’ITU (United Nations specialized agency for information and communication technologies – ICTs):
http://www.itu.int/en/ITU-D/Cybersecurity/Pages/National-Strategies-repository.aspx
Celui de l’Otan:
https://ccdcoe.org/cyber-security-strategy-documents.html
A lire également sur ce sujet:
https://dcod.ch/wp-content/uploads/2017/01/Developing_a_National_Strategy_for_Cybersecurity.pdf
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
