1 Exposé de la situation
1.1 Constatant
-
la généralisation accélérée de l'application et de
l'utilisation des réseaux des technologies de l'information
et de la communication (TIC);
-
que les attaques criminelles contre la cybersécurité se
multiplient et qu'aucune mesure ne permet de les stopper
efficacement;
-
la nécessité d'assurer la sécurité de ces infrastructures
interconnectées à l'échelle mondiale, si l'on veut que soit
réalisé le potentiel de la société de l'information;
-
la prise de conscience de plus en plus nette, aux niveaux
national, régional et international, de la nécessité
d'élaborer et de promouvoir des meilleures pratiques,
normes, directives techniques et procédures propres à rendre
les réseaux TIC moins vulnérables et moins menacés;
-
la nécessité d'agir à l'échelle nationale et de coopérer à
l'échelle régionale et internationale pour créer une culture
mondiale de la cybersécurité
englobant une coordination et des infrastructures
législatives nationales appropriées, des capacités de
veille, d'alerte et de rétablissement, des
partenariats entre le secteur public et l'industrie, et
enfin l'inclusion de la société civile et des consommateurs;
-
la nécessité d'une approche multi-parties prenantes, pour
utiliser effectivement les divers moyens disponibles pour
instaurer la confiance dans l'utilisation des réseaux TIC;
-
que, par sa Résolution 57/239 intitulée "Création d'une
culture mondiale de la cybersécurité", l'Assemblée générale
des Nations Unies invite ses Etats Membres à "créer au sein
de leur société une culture de la cybersécurité dans
l'application et l'utilisation des technologies de
l'information";
-
que les bonnes pratiques en matière de cybersécurité doivent
protéger et respecter le droit à la protection de la vie
privée et la liberté d'expression tels qu'énoncés dans les
parties pertinentes de la Déclaration universelle des droits
de l'homme, de la Déclaration de principes de Genève et
d'autres instruments internationaux pertinents relatifs aux
droits de l'homme;
-
que la Déclaration de principes de Genève indique qu'"une
culture globale de la cybersécurité doit être encouragée,
développée et mise en oeuvre en coopération avec tous les
partenaires et tous les organismes internationaux
compétents", que le Plan d'action de Genève préconise le
partage des meilleures pratiques en la matière et que
l'Agenda de Tunis réaffirme la nécessité d'une culture
mondiale de la cybersécurité, en particulier la grande
orientation C5 (Créer la confiance et la sécurité dans
l'utilisation des TIC);
-
que l'UIT a été désignée par le SMSI (Tunis, 2005), dans le
cadre de son programme de mise en oeuvre et de suivi,
coordonnateur/modérateur pour la grande orientation C5 "Etablir
la confiance et la sécurité dans l'utilisation des TIC";
l'UIT-T, l'UIT-R, l'UIT-D et le Secrétariat général, compte
tenu de cette responsabilité et en réponse aux Résolutions
pertinentes adoptées par la CMDT (Doha, 2006) - dans
l'attente de leur mise à jour à Hyderabad cette année (2010)
- par la PP-06 (Antalya, 2006) ainsi que par l'AMNT-08
(Johannesburg, 2008), ont réalisé de nombreuses études
visant à améliorer la cybersécurité;
-
que le SMSI, dans ses conclusions adoptées à Genève,
en 2003, et à Tunis, en 2005, invite à établir la confiance
et la sécurité dans l'utilisation des TIC;
-
que la Résolution 45 [(Hyderabad, 2010)] de la Conférence
mondiale de développement des télécommunications préconise
d'améliorer la cybersécurité entre les Etats Membres
intéressés;
-
que, conformément à son mandat, l'UIT devrait contribuer à
rassembler les Etats Membres, les Membres de Secteur et
d'autres spécialistes, afin de comparer les données
d'expérience et de mettre en commun les compétences en vue
de sécuriser les réseaux TIC;
-
que les excellents résultats obtenus au titre de la
Question 22/1 et présentés dans le Rapport final pour la
période 2006-2009, intitulé "Rapport sur les bonnes
pratiques pour une approche nationale de la cybersécurité:
éléments de base pour l'organisation d'activités nationales
en matière de cybersécurité" (Document 1/249(Rév.1)),
justifient la poursuite de l'étude de cette Question au
cours d'un nouveau cycle, suivant des axes de travail
différents, eu égard aux besoins des pays en développement;
-
que divers efforts ont été faits pour contribuer à améliorer
la sécurité des réseaux, travaux des Etats Membres et des
Membres de Secteur dans le cadre des activités de
normalisation de l'UIT‑T, élaboration de rapports sur les
bonnes pratiques à l'UIT-D, participation du Secrétariat de
l'UIT au Programme mondial cybersécurité (GCA), activités du
Secteur du développement de l'UIT en matière de renforcement
des capacités au titre de son Programme 3;
-
que les gouvernements, les fournisseurs de services et les
utilisateurs finals des pays en développement sont
confrontés à des problèmes spécifiques en ce qui concerne
l'élaboration de politiques et d'approches relatives à la
sécurité adaptées à leurs conditions;
-
que les Etats Membres et les opérateurs d'infrastructures
tireraient profit de rapports additionnels décrivant de
façon détaillée, d'une part, les diverses ressources,
stratégies et outils disponibles pour instaurer la confiance
dans l'utilisation des réseaux TIC et, d'autre part, le rôle
de la coopération internationale à cet égard.
2 Question ou thèmes à étudier
-
Mettre à jour les conclusions du cycle d'études précédent en
tenant compte des besoins des pays en développement et en
reflétant les résultats obtenus par l'UIT dans son ensemble
(résultats pertinents des Commissions d'études 17/T et 13/T
de l'UIT-T et du programme spécial du BDT consacré à la
cybersécurité, activités menées par le Secrétariat général
pour donner suite à la grande orientation C5 et conclusions
du Groupe d'experts de haut niveau (HLEG), qui a reçu le
soutien de tous les experts des pays en développement) ainsi
que les progrès accomplis en la matière par l'ISO et la CEI.
Cette révision prendra également en compte les progrès
réalisés par le projet IMPACT, FIRST, ainsi que d'autres
projets analogues auxquels de nombreux pays en développement
participent en tant que membres.
-
Pendant la prochaine période d'études, étoffer les
informations figurant dans le Rapport sur les bonnes
pratiques (Phase I) et relatives à: 1) l'élaboration d'une
stratégie nationale en matière de cybersécurité; 2) la
création de partenariats public-privé; 3) la création, au
niveau national, de structures de gestion des cyberincidents
et la mise au point de mécanismes de surveillance, d'alerte,
d'intervention et de retour à la normale en cas d'incident;
4) la création d'une culture de sensibilisation; et 5) la
recherche de bonnes pratiques en matière de protection
contre le spam, les logiciels malveillants et d'autres
cybermenaces.
-
En ce qui concerne l'élaboration d'une stratégie
nationale en matière de cybersécurité, a) élaborer des
modèles nationaux de gestion de la cybersécurité; b)
identifier les modèles structurels qu'ont suivis les
pays ainsi que les techniques qu'ils ont utilisées pour
élaborer une stratégie nationale; indiquer également les
enseignements tirés, en particulier de l'utilisation de
tels modèles au sein de l'OCDE, ou de l'utilisation d'un
modèle recommandé par l'Europe dans son ensemble.
-
En ce qui concerne les partenariats public-privé, donner
des précisions sur les éléments suivants: 1) les
principes à suivre pour l'établissement de partenariats
public-privé solides; 2) les divers modèles structurels
à utiliser pour parvenir à des partenariats public-privé
solides; et 3) la notion d'atténuation des risques en ce
qui concerne les partenariats public-privé, ainsi que
sur le rôle relatif de chacun de ces éléments.
-
En ce qui concerne la création, au niveau national, de
structures de gestion des cyberincidents, donner plus de
précisions en ce qui concerne la mise au point des
mécanismes de veille, d'alerte d'intervention et de
retour à la normale en cas d'incident ainsi que sur la
création d'équipes nationales d'intervention en cas
d'incident relatif à la sécurité informatique.
-
Tenir compte des études réalisées actuellement par la
Commission d'études 17 de l'UIT‑T sur l'extension de ces
Centres nationaux en vue de couvrir toutes les questions
de cybersécurité sans se limiter à l'internet, ainsi que
des résultats des différents programmes de l'UIT-D
relatifs aux CIRT, en répondant de préférence aux
besoins des six régions existantes du BDT tout en
gardant à l'esprit que l'adoption d'un seul modèle pour
tous les pays en développement peut être la meilleure
pratique dans ce domaine.
-
En ce qui concerne la création d'une culture de
sensibilisation à la cybersécurité, recueillir des
idées, quelles que soient les sources, sur la façon dont
les pays, les entreprises et les groupes d'experts
sensibilisent les particuliers et les entités à la
question de la cybersécurité et les incitent à s'y
intéresser, ainsi qu'à la question de la protection en
ligne des enfants et des besoins des personnes
handicapées en matière de cybersécurité.
-
Pour ce qui est de l'identification des bonnes pratiques
et des stratégies de lutte contre le spam et les
logiciels malveillants: 1) identifier et examiner les
efforts déployés au niveau national pour sensibiliser
les particuliers et les entreprises au problème afin de
gagner la confiance des utilisateurs en prévenant le
spam et les logiciels malveillants et en atténuant leurs
effets; 2) examiner le rôle que les gouvernements et les
organisations non gouvernementales jouent en ce qui
concerne la promotion de la prévention du spam et des
logiciels malveillants, et plus particulièrement leurs
bonnes pratiques, lignes directrices et codes de
conduite en la matière; 3) examiner les méthodes
utilisées pour sensibiliser les utilisateurs finals aux
risques associés à l'usurpation d'identité, aux réseaux
zombies (botnets), aux virus et autres contenus
malveillants contenus dans les spams ainsi que les
mesures de prévention mises en oeuvre; et 4) examiner
les perspectives concernant les mécanismes utilisés pour
améliorer la cybersécurité et identifier les
informations, les capacités, les outils et les
mécanismes dont disposent les entreprises et d'autres
utilisateurs finals.
-
Procéder, au besoin, à des études dans les domaines
susmentionnés afin de déterminer les mesures prises par
les pays, les entreprises et d'autres organismes
spécialisés.
-
A l'issue de ces études, élaborer un recueil de toutes
les pratiques nationales ou régionales pertinentes dans
le domaine, incluant toutes les réponses et les
informations utiles.
-
Réaliser une étude comparative ou un bilan pour fournir
aux Etats Membres des informations leur permettant de
différencier et de comparer les différentes politiques
en vigueur dans les autres Etats Membres de l'UIT.
-
Examiner
toutes les informations provenant de différentes sources
notamment les parties prenantes intéressées, qui sont
disponibles sur ces sujets.
-
Utiliser le Rapport sur les bonnes pratiques ainsi que
d'autres documents pertinents pour élaborer des matériels
didactiques sur les thèmes visés aux points 2) b) i) à v)
ci-dessus afin de faciliter l'analyse des stratégies
nationales en matière de cybersécurité et de planifier des
programmes de formation pratiques. Ces matériels didactiques
pourraient être utilisés individuellement ou dans le cadre
d'ateliers pour spécialistes ou d'autres forums.
-
Sur la base des contributions soumises, compiler, pour
information, les monographies de pays décrivant la situation
actuelle des différents pays en ce qui concerne la
cybersécurité et leurs politiques en la matière.
-
Etablir un cadre, à appliquer et mettre en œuvre au titre du
programme 2 du BDT, pour sensibiliser davantage les pays en
développement à la cybersécurité, à tous les niveaux
(national, régional et international), et notamment: au rôle
des Etats, notamment du Centre national pour la
cybersécurité; au rôle des groupes intergouvernementaux aux
niveaux national, régional et international; au rôle des
groupes non gouvernementaux aux niveaux national, régional
et international;
etc.;
afin de permettre au BDT d'appliquer un plan d'action
destiné pour renforcer la sensibilisation à la cybersécurité,
à tous les niveaux, dans les pays en développement.
-
La présente Question pourrait contribuer à la mise en œuvre
de la nouvelle Résolution révisée.
3 Résultats attendus
-
Des rapports, à l'intention des Membres, sur les questions
visées aux paragraphes 2) b) i) à v) ci‑dessus. Ces rapports
feront ressortir que des réseaux d'information et de
communication sécurisés font partie intégrante de
l'édification de la société de l'information et du
développement socio-économique de tous les pays. Les
problèmes liés à la cybersécurité sont notamment les
suivants: éventuellement accès non autorisé aux informations
transmises sur des réseaux TIC, destruction et modification
de ces informations. Toutefois, il est possible d'atténuer
les conséquences de ces problèmes en sensibilisant davantage
l'opinion aux questions de cybersécurité, en faisant
connaître les bonnes pratiques utilisées par les décideurs
et les entreprises et en collaborant avec les autres parties
prenantes. En outre, une culture de la cybersécurité peut
promouvoir la confiance des utilisateurs dans ces réseaux,
favoriser une utilisation sécurisée, garantir la protection
des données et de la vie privée tout en améliorant l'accès à
ces réseaux et les opérations commerciales en ligne et
permettre ainsi aux pays de mieux tirer parti des avantages
socio-économiques de la société de l'information.
-
Matériels didactiques qui pourront être utilisés dans le
cadre d'ateliers, de séminaires, etc.
4 Echéance
Il est proposé que cette étude dure quatre ans et que des
rapports d'activité préliminaires sur l'avancement des travaux
soient élaborés après un délai de 12, 24 et 36 mois.
5 Auteurs de la proposition
Commission d'études 1 de l'UIT-D, CITEL, Etats arabes.
6 Origine des contributions
-
Contributions des Etats Membres et des Membres de Secteur.
-
Travaux pertinents des
Commissions d'études
de l'UIT-T et de l'UIT-R.
-
Documents pertinents d'organisations internationales et
d'organisations régionales compétentes, notamment l'ISO et
l'OCDE.
-
Organisations non gouvernementales compétentes s'occupant de
la promotion de la cybersécurité et d'une culture de la
sécurité.
-
Enquêtes, ressources en ligne.
-
Autres sources, éventuellement.
7 Destinataires de l'étude
|
Pays développés |
Pays en développement |
Décideurs en matière de télécommunication |
Oui |
Oui |
Régulateurs des télécommunications |
Oui |
Oui |
Fournisseurs de services/opérateurs |
Oui |
Oui |
Constructeurs |
Oui |
Oui |
a) Destinataires de l'étude
Décideurs à l'échelle nationale et Membres de Secteur, autres
parties prenantes intervenant dans les activités en matière de
cybersécurité ou responsables de ces activités, en particulier
les parties prenantes des pays en développement.
b) Méthodes proposées pour la mise en oeuvre des résultats
Le programme d'étude vise avant tout à recueillir des
informations ainsi que des bonnes pratiques. Il est censé avoir
un caractère purement informatif et pourra être utilisé pour
sensibiliser les Etats Membres et les Membres de Secteur aux
questions de cybersécurité et pour attirer l'attention sur
les informations, les outils et les bonnes pratiques
disponibles; les résultats pourront être utilisés dans le cadre
de séminaires et d'ateliers organisés par le BDT.
8 Méthodes proposées pour traiter la Question ou le thème
La Question sera traitée au sein d'une
Commission d'études
pendant la période de quatre ans (avec soumission de résultats
préliminaires) et sera gérée par un Rapporteur et des
Vice-Rapporteurs. Les Etats Membres et les Membres de Secteur
pourront ainsi faire part de leur expérience et des
enseignements qu'ils ont tirés en ce qui concerne la
cybersécurité.
9 Coordination
Coordination avec l'UIT-T, en particulier avec la Commission
d'études 17 ou la
Commission d'études
qui lui succèdera. Compte tenu des compétences techniques de la
Commission d'études 17
de l'UIT-T sur la question, tous les documents (questionnaires,
rapports intérimaires, projets de rapport final, etc.) devraient
lui être communiqués pour observations et soumission de
contributions, avant d'être présentés à l'ensemble des membres
de la Commission d'études de l'UIT‑D pour observations et
approbation.
10 Liaison avec les programmes du BDT
Programme 2 de l'UIT-D.
______________
1
Par pays en développement,
on entend aussi les pays les moins avancés (PMA), les petits
Etats insulaires en développement (PEID), les pays en
développement sans littoral et les pays dont l'économie est en
transition.
|