Nouvelles de l'UIT

Pour en savoir plus sur l'évolution des télécommunications

中文  |  English  |  Español  |  Русский  |  download pdf
                     

Le SMSI cinq ans après
Etablir la confiance et la sécurité dans l'utilisation des technologies de l’information et de la communication
 
image
Photographe: Shutterstock
 

L’Internet est désormais partie intégrante des sociétés modernes, propulsant l’utilisateur final au premier plan des communications. Toutes sortes d’informations, en de nombreux formats, sont désormais disponibles. Mais quelle en est la part réellement authentique? L’information pourrait-elle être fausse ou induire en erreur? Ou, pis encore, peut-être est-elle malfaisante? La fraude, le vol, la contrefaçon, tout cela existe en ligne comme hors ligne. Pour que les utilisateurs puissent tirer pleinement profit de l’Internet, la confiance dans l’infrastructure est de la plus haute importance.

C’est pour cette raison que les dirigeants mondiaux participant à la deuxième phase du Sommet mondial sur la société de l’information (SMSI) à Tunis en novembre 2005 ont confié à l’UIT le rôle de coordonnateur des efforts internationaux visant à assurer la cybersécurité. Ils ont choisi l’UIT comme coordonnateur unique pour la grande orientation C5 du SMSI — établir la confiance et la sécurité dans l’utilisation des technologies de l’information et de la communication (TIC). C’est dans le cadre de cette évolution que les membres de l’UIT ont demandé à l’UIT de jouer un rôle plus conséquent dans les questions de cybersécurité en adoptant un train de résolutions, de décisions, de programmes et de recommandations. Depuis 2006, l’UIT a en effet mené un vaste éventail d’activités pour que les communications par les réseaux publics de télécommunication soient sécurisées, fiables et faciles à utiliser.

Le Programme mondial cybersécurité (GCA) de l’UIT, que le Secrétaire général Hamadoun I. Touré a lancé le 17 mai 2007, constitue un cadre de coopération internationale visant à renforcer la confiance et la sécurité dans la société de l’information. Le programme s’appuie sur cinq grands axes stratégiques: mesures légales; mesures techniques et de procédure; structures organisationnelles; renforcement des capacités et coopération internationale.

Programme mondial cybersécurité — dispositif en cinq parties
image
 

Le Secrétaire général a par ailleurs créé un groupe d’experts de haut niveau travaillant pour des pouvoirs publics, le secteur privé, des organisations internationales, des organismes de recherche et des établissements universitaires. Ce groupe s’est vu confier la tâche de proposer des stratégies en vue de trouver une riposte globale à l’évolution constante des cybermenaces et à la technicité croissante de la cybercriminalité. A l’issue de réunions tenues en octobre 2007 et mai 2008, le groupe a présenté ses propositions stratégiques au Secrétaire général de l’UIT dans le but d’aider les Etats Membres à promouvoir la cybersécurité.

Les propositions correspondant au mandat de l’UIT ont été prises en compte dans les programmes de travail du Secrétariat général et des trois secteurs: radiocommunications (UIT–R); normalisation des télécommunications (UIT–T); et développement des télécommunications (UIT–D).

Mesures légales

La création d’une infrastructure juridique appropriée est un volet intégral de toute stratégie nationale en matière de cybersécurité. Dans le cadre du Plan d’action de Doha de 2006, le Bureau de développement des télécommunications de l’UIT (BDT) aide les Etats Membres à comprendre les aspects juridiques de la cybersécurité dans l’optique d’harmoniser leurs cadres juridiques.

«Comprendre la cybercriminalité: Guide pour les pays en développement», publié en 2009, constitue un volet important de ce travail et se veut un outil permettant au monde en développement de mieux comprendre et mesurer les conséquences de l’accroissement des cybermenaces au plan national comme au plan international. Cette même année, le BDT a lancé un Kit pratique relatif à la législation sur la cybercriminalité, mis au point par un groupe d’experts pour donner aux Etats Membres des exemples de textes législatifs et de textes de référence généraux pour faciliter l’harmonisation des lois relatives à la cybercriminalité et les règles de procédure. Le BDT a également élaboré un document d’information intitulé «Cybercriminalité: le rôle et les responsabilités d’un régulateur efficace», qui a été présenté au Colloque mondial des régulateurs, tenu à Beyrouth (Liban) en novembre 2009.

Mesures techniques et de procédure

Les travaux menés par l’UIT dans le domaine de la sécurité couvrent tout un ensemble de thèmes, dont les cyberattaques, le déni de service, le vol d’identité, les interceptions illicites, la télébiométrique à des fins d’authentification, la sécurité pour les télécommunications d’urgence.

Les organismes chargés de l’élaboration de normes ont un rôle essentiel s’agissant de résoudre les problèmes de vulnérabilité dans le contexte de la sécurité des protocoles. L’UIT–T détient une position unique en son genre dans le domaine de la normalisation en ceci que les travaux qu’elle effectue regroupent le secteur privé et les pouvoirs publics pour coordonner l’action et favoriser l’harmonisation des politiques et des normes en matière de sécurité sur le plan international.

Parallèlement à de nombreuses recommandations-clés relatives à sécurité, l’UIT–T a établi un bilan des prescriptions de sécurité, établi des lignes directrices à l’intention des auteurs de protocoles et défini des spécifications pour les systèmes IP ainsi que des directives permettant d’identifier les cybermenaces et les parades permettant de réduire les risques. L’UIT–T offre également une plate-forme internationale pour l’élaboration de protocoles protégeant les réseaux actuels et les réseaux de prochaine génération (NGN).

Les travaux de l’UIT portent sur les aspects sécurité de l’architecture des NGN, la qualité des services, la gestion des réseaux, la mobilité, la facturation et les paiements. L’UIT examine également les améliorations à apporter aux spécifications de sécurité des systèmes mobiles de communication de données de bout en bout et étudie les exigences en matière de sécurité pour les services web et les protocoles d’application. De plus, elle s’intéresse désormais aux nouveaux domaines ayant trait à la sécurité, dont l’informatique dématérialisée et la sécurité des réseaux électriques intelligents.

Dans le cadre de la transition vers les services s’appuyant sur les protocoles Internet (IP), les Recommandations UIT de la série H.235.x sur la «Sécurité H.323» définissent l’infrastructure et les services de sécurité (y compris l’authentification et la confidentialité) à utiliser par les systèmes multimédia IP de la série H.300 (VoIP et vidéoconférence) dans les applications point à point et multipoints. Les normes H.235.x assurent la confidentialité aux fournisseurs de services et aux entreprises tout en assurant l’interopérabilité des produits multimédias. L’identité des utilisateurs communiquant sur des médias IP est authentifiée et autorisée au moyen des normes H.235.x, protégeant ainsi les communications contre diverses menaces graves contre la sécurité.

Le cryptage multimédia en temps réel ajoute une couche supplémentaire de sécurité et protège contre l’interception des appels. La norme de l’UIT J.170 «Spécification de la sécurité sur IPCablecom» définit les besoins en matière de sécurité pour l’architecture IPCablecom, permettant aux opérateurs de télévision par câble d’assurer une capacité bidirectionnelle pour la fourniture de services IP, y compris le VoIP.

La Recommandation UIT X.805 définit l’architecture de sécurité pour les systèmes assurant des communications de bout en bout. Cette recommandation permet aux opérateurs de détecter les points vulnérables dans un réseau et d’y remédier; le cadre de sécurité de l’UIT prolonge la recommandation par des lignes directrices sur la protection contre les cyberattaques.

La Recommandation UIT–T X.1205 «Aperçu général de la cybersécurité» établit une définition de la cybersécurité ainsi qu’une taxonomie des menaces contre la sécurité. Elle examine la nature de l’environnement et des risques, les stratégies éventuelles de protection des réseaux, les techniques de communication sécurisées et la capacité de survie des réseaux (même en situation d’attaque).

Toutes les commissions d’études de l’UIT mènent des activités ayant trait à la sécurité et examinent les questions de sécurité dans le cadre de leurs travaux. Mais c’est la Commission d’études 17 de l’UIT–T qui est la commission d’études privilégiée pour la sécurité des télécommunications et la gestion d’identité. La Commission a approuvé plus de 100 recommandations sur la sécurité des communications, principalement dans la série de recommandations X, soit seule soit conjointement avec l’Organisation internationale de normalisation (ISO) ou la Commission électrotechnique internationale (CEI) ou encore avec d’autres organisations pertinentes. La Commission met régulièrement à jour le manuel Sécurité dans les télécommunications et les technologies de l’information, aperçu général des questions ayant trait à la sécurité (dont la quatrième édition a été publiée en septembre 2009). Elle publie sur son site web un recueil électronique de questions relatives à la sécurité dans lequel on trouvera une liste des recommandations approuvées par l’UIT–T ayant trait à la sécurité, ainsi qu’un extrait des définitions de l’UIT–T et d’autres sources concernant les questions de sécurité.

La Commission d’études 17 de l'UIT–T a lancé la Feuille de route pour la normalisation de la sécurité des TIC afin de promouvoir la collaboration entre les différents organes internationaux chargés de l’élaboration de normes. Il s’agit d’un effort conjoint mené depuis janvier 2007, date à laquelle l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) et le Network and Information Security Steering Group (NISSG) ont rejoint l’initiative. La Feuille de route a pour mission de promouvoir l’élaboration de normes de sécurité; elle présente les normes existantes, ainsi que les travaux menés ou à mener par les différentes organisations d’élaboration de normes. Elle donne en outre aux utilisateurs une information sur les normes de sécurité.

La Commission d’études 17 de l’UIT–T a vu son rôle confirmé et renforcé par l’Assemblée mondiale de normalisation des télécommunications, qui s’est tenue à Johannesburg (Afrique du Sud) en 2008 (AMNT-08). La Résolution 50 sur la «Cybersécurité» guide les travaux de l’UIT–T visant à élaborer des recommandations suffisamment solides pour empêcher toute exploitation par des tiers malveillants. La Résolution 52, «Lutter contre et combattre le spam», invite à intégrer dans les travaux des commissions d’études de l’UIT–T les moyens techniques de lutte contre le spam. La Résolution 58 de l’AMNT-08, «Encourager la création d’équipes nationales d’intervention en cas d’incident informatique, en particulier pour les pays en développement», que la Commission d’études 17 de l’UIT–T est en train de mettre en oeuvre, a également été adoptée à l’occasion de l’AMNT-08.

Depuis septembre 2009, sept groupes de travail par correspondance sur divers thèmes ont été mis en place: coordination de la sécurité; cybersanté; informatique dématérialisée et sécurité des réseaux électriques intelligents; centres nationaux pour la sécurité des réseaux (NCNS); stratégie pour la sécurité des transactions en ligne; architecture décentralisée pour le système de résolution des noms de réseaux IP; et cadre d’échange d’informations sur la cybersécurité (CYBEX).

S’agissant des radiocommunications, les applications sans fil telles que le 3G (ou IMT-2000) sont désormais partie intégrante du quotidien; l’utilisation et la gestion au plan mondial des fréquences exigent un haut niveau de coopération internationale. La gestion mondiale des fréquences revêt en effet une importance de plus en plus grande s’agissant d’établir la confiance et la sécurité dans l’utilisation des TIC.

Tout ceci donne une certaine visibilité à la mission de l’UIT–R consistant d’une part à veiller à une utilisation rationnelle, équitable, efficace et économique du spectre radiofréquence par tous les services de radiocommunication — y compris ceux qui utilisent l’orbite des satellites — et, d’autre part, à effectuer des études et à adopter des recommandations sur les questions ayant trait aux radiocommunications.

Il importe au plus haut point de protéger la qualité du service contre la dégradation ou le déni de service pour assurer la sécurité des réseaux; bon nombre des recommandations les plus récentes de l’UIT–R sur les prescriptions génériques et la protection des radiocommunications contre les obstructions sont importantes pour la sécurité. Les travaux de l’UIT dans le domaine de la normalisation des radiocommunications se poursuivent, parallèlement à l’évolution constante des réseaux modernes de télécommunications.

L’UIT–R a approuvé des recommandations sur les principes et mécanismes de sécurité pour les réseaux 3G (en particulier la Recommandation UIT–R M.1078, mais aussi les Recommandations M.1223, M.1457 et M.1645). Elle a également publié la Recommandation UIT–R S.1250 sur l’architecture de réseau pour systèmes numériques à satellites faisant partie de réseaux de transport en hiérarchie numérique synchrone dans le service fixe par satellite et la Recommandation UIT-R S.1711 sur les améliorations des performances du protocole de commande de transmission sur les réseaux à satellite.

Dans le cadre de la collaboration entre l’UIT et IMPACT (Partenariat multilatéral international contre les cybermenaces), le Centre d’alerte mondial (GRC) joue un rôle fondamental dans la réalisation de l’objectif du GCA relatif à la mise en place de mesures techniques pour lutter contre les nouvelles formes de cybermenace, dont l’évolution est constante. Travaillant en collaboration avec ses partenaires des établissements universitaires et des pouvoirs publics, le Centre met à la disposition de la communauté mondiale un système d’alerte précoce en temps réel. Le BDT oeuvre conjointement avec IMPACT pour mettre cette ressource à la disposition des Etats Membres intéressés dans le cadre d’une stratégie plus large d’assistance à la lutte contre les cybermenaces.

Le GRC propose deux services essentiels: un Système global d’alerte avancé (Network Early Warning System – NEWS); et, pour les spécialistes de la cybersécurité habilités, accès à des outils spécialisés leur permettant de réagir immédiatement aux cybermenaces (Electronically Secure Collaboration Application Platform for Experts – ESCAPE). Le système NEWS est destiné à aider les pays à identifier les cybermenaces dès les premiers stades et donne des consignes essentielles sur les mesures à prendre pour en réduire les effets. Le système ESCAPE est un outil électronique qui permet aux spécialistes habilités de regrouper leurs ressources et de collaborer entre eux à distance, dans un cadre sécurisé auquel ils peuvent se fier. En mobilisant rapidement les ressources et les expertises de nombreux pays, ESCAPE permet aux différents pays et à la communauté mondiale de réagir immédiatement aux cybermenaces, en particulier en temps de crise.

image
Photographe: AFP/ MKU
 

Structures institutionnelles

L’absence de structures institutionnelles pour faire face aux cyberincidents (cyberattaques, fraudes, destruction d’information, diffusion de contenus inappropriés) pose un réel problème dans la lutte contre les cybermenaces. Le BDT, en collaboration avec IMPACT, déploie des capacités pour renforcer les compétences aux niveaux national et régional. Une coordination est en train de se mettre en place avec plusieurs Etats Membres de l’UIT concernant principalement la fourniture d’une assistance spécifique pour la création d’équipes nationales d’intervention en cas d’incident informatique (CIRT).

Grâce à l’appui du gouvernement australien et en partenariat avec d’autres organisations (dont par exemple AusCERT et IMPACT), l’UIT aide les pays insulaires du Pacifique à constituer une équipe d’intervention en cas d’urgence informatique pour le Pacifique (CERT). En coopération avec IMPACT, l’UIT aide également l’Afghanistan à effectuer une étude de faisabilité sur la création d’une équipe CERT nationale.

Renforcement des capacités

Ce sont les individus qui constituent le maillon faible. La sensibilisation des utilisateurs directs est donc un des principaux défis à relever. Il est en effet impératif pour l’utilisateur final de comprendre les enjeux et d’être sensibilisé aux dangers potentiels pour qu’il puisse tirer profit des TIC en toute sécurité.

C’est là une question qui intéresse toutes les parties prenantes, depuis les pouvoirs publics et les entreprises jusqu’aux personnes chargées de l’éducation, en milieu scolaire comme dans la famille. Il est impératif de sensibiliser les gens aux possibilités qu’offre un cyberenvironnement sécurisé mais aussi aux menaces inhérentes au cyberespace. Il importe de mettre en place des programmes visant à sensibiliser les utilisateurs et à renforcer les capacités à tous les niveaux, y compris sur le plan international.

Pour aider les Etats Membres souhaitant élaborer une approche nationale de la cybersécurité et de la protection des infrastructures essentielles de l’information (CIIP), le BDT a conçu l’Outil d’autoévaluation de la cybersécurité/CIIP sur le plan national, et met actuellement à jour la version la plus récente. Le BDT a également mis au point le kit pratique UIT pour atténuer les effets des botnet, qui doit permettre effectivement d’en atténuer les effets, en mettant l’accent sur les problèmes que rencontrent tout particulièrement les économies Internet émergentes.

Le BDT organise des forums régionaux sur la cybersécurité pour toutes les régions de l’UIT, mettant ces occasions à profit pour renforcer les capacités au titre de ses différents programmes et activités et pour constituer la plate-forme opérationnelle pour la coopération aux niveaux régional et international.

Afin de renforcer les capacités, le BDT, par le biais du Centre de formation et de développement des compétences d’IMPACT, dirige des séances d’information de haut niveau destinées à des représentants des Etats Membres, au cours desquelles il offre des connaissances précieuses et fait connaître le point de vue privilégié du secteur privé sur les dernières tendances, les menaces potentielles et les technologies nouvelles.

Coopération internationale

L’Internet et les TIC ont permis une interconnexion entre pays, autrefois inconcevable. Les pays ne peuvent facilement ni choisir de fermer leurs frontières aux cybermenaces venues de l’extérieur ni maîtriser celles venues de l’intérieur. Il importe de tenter de résoudre ces problèmes aux niveaux national et régional, mais étant donné que la cybersécurité est elle aussi mondiale et a une portée aussi vaste que l’Internet, il faut trouver des solutions harmonisées dépassant les frontières. Il faut donc obligatoirement instaurer une coopération internationale, au niveau non seulement des pouvoirs publics mais mobilisant également les entreprises, les organisations non gouvernementales et internationales.

Partenariat multilatéral international contre les cybermenaces (IMPACT)

En mars 2009, le Secrétaire-général de l’UIT, Hamadoun I. Touré, et Dato' Seri Abdullah Haji Ahmad Badawi, alors Premier ministre de la Malaisie, ont inauguré un centre d’avant-garde à Cyberjaya (Malaisie) accueillant les ressources, les installations et les experts permettant de s’attaquer aux cybermenaces les plus graves qui se posent dans le monde. Ce centre, baptisé UIT-IMPACT, est un partenariat mondial public-privé qui compte plusieurs parties prenantes et accueille, concrètement et opérationnellement, le Programme mondial cybersécurité de l’UIT. Dès août 2010, plus de 50 Etats Membres s’étaient formellement engagés à participer aux services proposés par l’UIT-IMPACT. L’UIT garde à Genève une «vitrine virtuelle» du système d’alerte précoce, de la gestion des crises et de l’analyse en temps réel des cybermenaces mondiales.

Passerelle de cybersécurité de l’UIT

La passerelle de cybersécurité de l’UIT a été remaniée en 2009 dans l’optique d’améliorer l’accès à l’information, la diffusion et la collaboration en ligne entre les parties prenantes travaillant dans le secteur de la cybersécurité, en intégrant à la passerelle la possibilité pour les utilisateurs de faire part de leurs réactions.

Protection en ligne des enfants

Dans le cadre du Programme mondial cybersécurité, l’UIT, en collaboration avec des organismes des Nations Unies et d’autres partenaires, a lancé en novembre 2008 l’Initiative pour la protection en ligne des enfants (COP), réseau de collaboration internationale visant à promouvoir la protection en ligne des enfants et des jeunes en leur donnant des consignes sur la manière de se comporter en ligne en toute sécurité. Plusieurs manifestations ont été organisées, dont un Dialogue stratégique sur l’environnement sécurisé pour les enfants en ligne, tenu en juin 2009 à Tokyo (Japon) et un Forum ouvert sur la protection en ligne des enfants, organisé à l’occasion du quatrième Forum sur la gouvernance de l’Internet en novembre 2009. Des lignes directrices pour la protection en ligne des enfants ont été élaborées à l’intention des décideurs, des entreprises, des enseignants, des parents et tuteurs et des enfants eux-mêmes. Elles ont été établies par l’UIT en collaboration étroite avec de nombreuses organisations, dont l’Institut interrégional de recherche des Nations Unies sur la criminalité et la justice (UNICRI), le Fonds des Nations Unies pour les enfants (UNICEF), l’Office des Nations Unies contre la drogue et le crime (ONUDC), l’Institut des Nations Unies pour la recherche sur le désarmement (UNIDIR), INTERPOL et l’Agence européenne chargée de la sécurité des réseaux et de l’information.

L’Initiative COP, annoncée le 17 novembre 2010 par Laura Chinchilla, présidente d’honneur du COP et Présidente du Costa Rica et par le Secrétaire-général de l’UIT, Hamadoun Touré, à l’occasion d’une cérémonie tenue à San José (Costa Rica), constituera un cadre permettant de coordonner les efforts déployés actuellement au plan mondial et de mettre en place une série de formations à la sécurité et d’actions de prévention. Cette nouvelle phase de l’Initiative va permettre au COP de passer de l’élaboration de lignes directrices à la mise en place de codes de conduite à l’intention des entreprises, à la création de numéros de téléphone d’urgence au niveau national et à l’élaboration de feuilles de route et de kits législatifs propres à chaque pays.

Enseignements retenus

Outre les cybercriminels, d’autres menaces pèsent sur l’Internet. Les points vulnérables des TIC sont une tentation pour les activités potentiellement plus nuisibles, dont l’espionnage. La cyberguerre et le cyberespionnage ont en effet fait leur apparition et peuvent constituer une menace grave pour l’infrastructure essentielle de l’information.

Malgré les mesures prises à l’échelle nationale, les cybermenaces restent un problème international. Les failles qui existent dans les structures juridiques sont exploitées par les criminels; l’harmonisation des lois existantes est en outre loin d’être satisfaisante. Ces problèmes, auxquels s’ajoute l’absence de structures organisationnelles appropriées, constituent un réel problème s’agissant de trouver une parade aux cybermenaces.

Et ce n’est là même pas tenir compte de l’évolution constante et de la sophistication de plus en plus poussée de ces menaces et des points vulnérables des logiciels et — depuis peu de temps — du matériel. La croissance phénoménale du mobile et les nouvelles évolutions telles que l’informatique dématérialisée vont porter les cybermenaces à un niveau sans précédent.

Les cybermenaces sont mondiales; les solutions se doivent elles aussi d’être mondiales. Il est donc impératif que tous les pays perçoivent de la même manière la cybersécurité afin d’assurer la protection contre l’accès non autorisé, la manipulation et la destruction de ressources essentielles.

L’UIT est convaincue que la stratégie visant à mettre en place une solution doit faire une place à l’identification des initiatives nationales et régionales existantes afin de fixer des priorités et de travailler efficacement avec tous les acteurs pertinents. Forte de ses 192 Etats Membres et de plus de 700 entreprises et associés du secteur privé, l’UIT constitue un excellent forum pour les actions et les interventions visant à promouvoir la cybersécurité et à lutter contre la cybercriminalité. Parmi ses membres on compte aussi bien des pays moins développés, des pays en développement et des économies émergentes que des pays développés.

On a déjà beaucoup fait, mais la cybersécurité est un défi en devenir constant dont il faut tenir compte en permanence, et ce du fait de l’évolution constante des TIC. L’UIT va oeuvrer sans relâche pour établir la confiance et créer un cyberenvironnement sécurisé pour tous.

 

  Page précédente Version imprimable Début de page Envoyer ce lien à un ami Page suivante © Droits d'auteur pour les Nouvelles de l'UIT 2014
Deni de responsabilité - Protection des données privées