Question 22-1/1 : Sécurisation des réseaux d'information et de communication: meilleures pratiques pour créer une culture de la cybersécurité
 

1 Exposé de la situation

1.1 Constatant       

  1. la généralisation accélérée de l'application et de l'utilisation des réseaux des technologies de l'information et de la communication (TIC);

  2. que les attaques criminelles contre la cybersécurité se multiplient et qu'aucune mesure ne permet de les stopper efficacement;

  3. la nécessité d'assurer la sécurité de ces infrastructures interconnectées à l'échelle mondiale, si l'on veut que soit réalisé le potentiel de la société de l'information;       

  4. la prise de conscience de plus en plus nette, aux niveaux national, régional et international, de la nécessité d'élaborer et de promouvoir des meilleures pratiques, normes, directives techniques et procédures propres à rendre les réseaux TIC moins vulnérables et moins menacés;

  5. la nécessité d'agir à l'échelle nationale et de coopérer à l'échelle régionale et internationale pour créer une culture mondiale de la cybersécurité      englobant une coordination et des infrastructures législatives nationales appropriées, des capacités de veille, d'alerte et de rétablissement, des   partenariats entre le secteur public et l'industrie, et enfin l'inclusion de la société civile et des consommateurs;

  6. la nécessité d'une approche multi-parties prenantes, pour utiliser effectivement les divers moyens disponibles pour instaurer la confiance dans l'utilisation des réseaux TIC;

  7. que, par sa Résolution 57/239 intitulée "Création d'une culture mondiale de la cybersécurité", l'Assemblée générale des Nations Unies invite ses Etats Membres à "créer au sein de leur société une culture de la cybersécurité dans l'application et l'utilisation des technologies de l'information";

  8. que les bonnes pratiques en matière de cybersécurité doivent protéger et respecter le droit à la protection de la vie privée et la liberté d'expression tels qu'énoncés dans les parties pertinentes de la Déclaration universelle des droits de l'homme, de la Déclaration de principes de Genève et d'autres instruments internationaux pertinents relatifs aux droits de l'homme;

  9. que la Déclaration de principes de Genève indique qu'"une culture globale de la cybersécurité doit être encouragée, développée et mise en oeuvre en coopération avec tous les partenaires et tous les organismes internationaux compétents", que le Plan d'action de Genève préconise le partage des meilleures pratiques en la matière et que l'Agenda de Tunis réaffirme la nécessité d'une culture mondiale de la cybersécurité, en particulier la grande orientation C5 (Créer la confiance et la sécurité dans l'utilisation des TIC);

  10. que l'UIT a été désignée par le SMSI (Tunis, 2005), dans le cadre de son programme de mise en oeuvre et de suivi, coordonnateur/modérateur pour la grande orientation C5 "Etablir la confiance et la sécurité dans l'utilisation des TIC"; l'UIT-T, l'UIT-R, l'UIT-D et le Secrétariat général, compte tenu de cette responsabilité et en réponse aux Résolutions pertinentes adoptées par la CMDT (Doha, 2006) - dans l'attente de leur mise à jour à Hyderabad cette année (2010) - par la PP-06 (Antalya, 2006) ainsi que par l'AMNT-08 (Johannesburg, 2008), ont réalisé de nombreuses études visant à améliorer la cybersécurité;

  11. que le SMSI, dans ses conclusions adoptées à Genève, en 2003, et à Tunis, en 2005, invite à établir la confiance et la sécurité dans l'utilisation des TIC;

  12. que la Résolution 45 [(Hyderabad, 2010)] de la Conférence mondiale de développement des télécommunications préconise d'améliorer la cybersécurité entre les Etats Membres intéressés;

  13. que, conformément à son mandat, l'UIT devrait contribuer à rassembler les Etats Membres, les Membres de Secteur et d'autres spécialistes, afin de comparer les données d'expérience et de mettre en commun les compétences en vue de sécuriser les réseaux TIC;

  14. que les excellents résultats obtenus au titre de la Question 22/1 et présentés dans le Rapport final pour la période 2006-2009, intitulé "Rapport sur les bonnes pratiques pour une approche nationale de la cybersécurité: éléments de base pour l'organisation d'activités nationales en matière de cybersécurité" (Document 1/249(Rév.1)), justifient la poursuite de l'étude de cette Question au cours d'un nouveau cycle, suivant des axes de travail différents, eu égard aux besoins des pays en développement;

  15. que divers efforts ont été faits pour contribuer à améliorer la sécurité des réseaux, travaux des Etats Membres et des Membres de Secteur dans le cadre des activités de normalisation de l'UIT‑T, élaboration de rapports sur les bonnes pratiques à l'UIT-D, participation du Secrétariat de l'UIT au Programme mondial cybersécurité (GCA), activités du Secteur du développement de l'UIT en matière de renforcement des capacités au titre de son Programme 3;

  16. que les gouvernements, les fournisseurs de services et les utilisateurs finals des pays en développement sont confrontés à des problèmes spécifiques en ce qui concerne l'élaboration de politiques et d'approches relatives à la sécurité adaptées à leurs conditions;

  17. que les Etats Membres et les opérateurs d'infrastructures tireraient profit de rapports additionnels décrivant de façon détaillée, d'une part, les diverses ressources, stratégies et outils disponibles pour instaurer la confiance dans l'utilisation des réseaux TIC et, d'autre part, le rôle de la coopération internationale à cet égard.

2 Question ou thèmes à étudier

  1. Mettre à jour les conclusions du cycle d'études précédent en tenant compte des besoins des pays en développement et en reflétant les résultats obtenus par l'UIT dans son ensemble (résultats pertinents des Commissions d'études 17/T et 13/T de l'UIT-T et du programme spécial du BDT consacré à la cybersécurité, activités menées par le Secrétariat général pour donner suite à la grande orientation C5 et conclusions du Groupe d'experts de haut niveau (HLEG), qui a reçu le soutien de tous les experts des pays en développement) ainsi que les progrès accomplis en la matière par l'ISO et la CEI. Cette révision prendra également en compte les progrès réalisés par le projet IMPACT, FIRST, ainsi que d'autres projets analogues auxquels de nombreux pays en développement participent en tant que membres.

  2. Pendant la prochaine période d'études, étoffer les informations figurant dans le Rapport sur les bonnes pratiques (Phase I) et relatives à: 1) l'élaboration d'une stratégie nationale en matière de cybersécurité; 2) la création de partenariats public-privé; 3) la création, au niveau national, de structures de gestion des cyberincidents et la mise au point de mécanismes de surveillance, d'alerte, d'intervention et de retour à la normale en cas d'incident; 4) la création d'une culture de sensibilisation; et 5) la recherche de bonnes pratiques en matière de protection contre le spam, les logiciels malveillants et d'autres cybermenaces.

  1. En ce qui concerne l'élaboration d'une stratégie nationale en matière de cybersécurité, a) élaborer des modèles nationaux de gestion de la cybersécurité; b) identifier les modèles structurels qu'ont suivis les pays ainsi que les techniques qu'ils ont utilisées pour élaborer une stratégie nationale; indiquer également les enseignements tirés, en particulier de l'utilisation de tels modèles au sein de l'OCDE, ou de l'utilisation d'un modèle recommandé par l'Europe dans son ensemble.

  2. En ce qui concerne les partenariats public-privé, donner des précisions sur les éléments suivants: 1) les principes à suivre pour l'établissement de partenariats public-privé solides; 2) les divers modèles structurels à utiliser pour parvenir à des partenariats public-privé solides; et 3) la notion d'atténuation des risques en ce qui concerne les partenariats public-privé, ainsi que sur le rôle relatif de chacun de ces éléments.

  3. En ce qui concerne la création, au niveau national, de structures de gestion des cyberincidents, donner plus de précisions en ce qui concerne la mise au point des mécanismes de veille, d'alerte d'intervention et de retour à la normale en cas d'incident ainsi que sur la création d'équipes nationales d'intervention en cas d'incident relatif à la sécurité informatique.

  4. Tenir compte des études réalisées actuellement par la Commission d'études 17 de l'UIT‑T sur l'extension de ces Centres nationaux en vue de couvrir toutes les questions de cybersécurité sans se limiter à l'internet, ainsi que des résultats des différents programmes de l'UIT-D relatifs aux CIRT, en répondant de préférence aux besoins des six régions existantes du BDT tout en gardant à l'esprit que l'adoption d'un seul modèle pour tous les pays en développement peut être la meilleure pratique dans ce domaine2.

  5. En ce qui concerne la création d'une culture de sensibilisation à la cybersécurité, recueillir des idées, quelles que soient les sources, sur la façon dont les pays, les entreprises et les groupes d'experts sensibilisent les particuliers et les entités à la question de la cybersécurité et les incitent à s'y intéresser, ainsi qu'à la question de la protection en ligne des enfants et des besoins des personnes handicapées en matière de cybersécurité.

  6. Pour ce qui est de l'identification des bonnes pratiques et des stratégies de lutte contre le spam et les logiciels malveillants: 1) identifier et examiner les efforts déployés au niveau national pour sensibiliser les particuliers et les entreprises au problème afin de gagner la confiance des utilisateurs en prévenant le spam et les logiciels malveillants et en atténuant leurs effets; 2) examiner le rôle que les gouvernements et les organisations non gouvernementales jouent en ce qui concerne la promotion de la prévention du spam et des logiciels malveillants, et plus particulièrement leurs bonnes pratiques, lignes directrices et codes de conduite en la matière; 3) examiner les méthodes utilisées pour sensibiliser les utilisateurs finals aux risques associés à l'usurpation d'identité, aux réseaux zombies (botnets), aux virus et autres contenus malveillants contenus dans les spams ainsi que les mesures de prévention mises en oeuvre; et 4) examiner les perspectives concernant les mécanismes utilisés pour améliorer la cybersécurité et identifier les informations, les capacités, les outils et les mécanismes dont disposent les entreprises et d'autres utilisateurs finals.

  7. Procéder, au besoin, à des études dans les domaines susmentionnés afin de déterminer les mesures prises par les pays, les entreprises et d'autres organismes spécialisés.

  8. A l'issue de ces études, élaborer un recueil de toutes les pratiques nationales ou régionales pertinentes dans le domaine, incluant toutes les réponses et les informations utiles.

  9. Réaliser une étude comparative ou un bilan pour fournir aux Etats Membres des informations leur permettant de différencier et de comparer les différentes politiques en vigueur dans les autres Etats Membres de l'UIT.

  10.  Examiner toutes les informations provenant de différentes sources notamment les parties prenantes intéressées, qui sont disponibles sur ces sujets.

  1. Utiliser le Rapport sur les bonnes pratiques ainsi que d'autres documents pertinents pour élaborer des matériels didactiques sur les thèmes visés aux points 2) b) i) à v) ci-dessus afin de faciliter l'analyse des stratégies nationales en matière de cybersécurité et de planifier des programmes de formation pratiques. Ces matériels didactiques pourraient être utilisés individuellement ou dans le cadre d'ateliers pour spécialistes ou d'autres forums.

  2. Sur la base des contributions soumises, compiler, pour information, les monographies de pays décrivant la situation actuelle des différents pays en ce qui concerne la cybersécurité et leurs politiques en la matière.

  3. Etablir un cadre, à appliquer et mettre en œuvre au titre du programme 2 du BDT, pour sensibiliser davantage les pays en développement à la cybersécurité, à tous les niveaux (national, régional et international), et notamment: au rôle des Etats, notamment du Centre national pour la cybersécurité; au rôle des groupes intergouvernementaux aux niveaux national, régional et international; au rôle des groupes non gouvernementaux aux niveaux national, régional et international; etc.; afin de permettre au BDT d'appliquer un plan d'action destiné pour renforcer la sensibilisation à la cybersécurité, à tous les niveaux, dans les pays en développement.

  4. La présente Question pourrait contribuer à la mise en œuvre de la nouvelle Résolution révisée3.

3 Résultats attendus

  1. Des rapports, à l'intention des Membres, sur les questions visées aux paragraphes 2) b) i) à v) ci‑dessus. Ces rapports feront ressortir que des réseaux d'information et de communication sécurisés font partie intégrante de l'édification de la société de l'information et du développement socio-économique de tous les pays. Les problèmes liés à la cybersécurité sont notamment les suivants: éventuellement accès non autorisé aux informations transmises sur des réseaux TIC, destruction et modification de ces informations. Toutefois, il est possible d'atténuer les conséquences de ces problèmes en sensibilisant davantage l'opinion aux questions de cybersécurité, en faisant connaître les bonnes pratiques utilisées par les décideurs et les entreprises et en collaborant avec les autres parties prenantes. En outre, une culture de la cybersécurité peut promouvoir la confiance des utilisateurs dans ces réseaux, favoriser une utilisation sécurisée, garantir la protection des données et de la vie privée tout en améliorant l'accès à ces réseaux et les opérations commerciales en ligne et permettre ainsi aux pays de mieux tirer parti des avantages socio-économiques de la société de l'information.

  2. Matériels didactiques qui pourront être utilisés dans le cadre d'ateliers, de séminaires, etc.

4 Echéance

Il est proposé que cette étude dure quatre ans et que des rapports d'activité préliminaires sur l'avancement des travaux soient élaborés après un délai de 12, 24 et 36 mois.

5 Auteurs de la proposition

Commission d'études 1 de l'UIT-D, CITEL, Etats arabes.

6 Origine des contributions

  1. Contributions des Etats Membres et des Membres de Secteur.

  2. Travaux pertinents des Commissions d'études de l'UIT-T et de l'UIT-R.

  3. Documents pertinents d'organisations internationales et d'organisations régionales compétentes, notamment l'ISO et l'OCDE.

  4. Organisations non gouvernementales compétentes s'occupant de la promotion de la cybersécurité et d'une culture de la sécurité.

  5. Enquêtes, ressources en ligne.

  6. Autres sources, éventuellement.

7 Destinataires de l'étude

 

Pays développés

Pays en  développement[1]

Décideurs en matière de télécommunication

Oui

Oui

Régulateurs des télécommunications

Oui

Oui

Fournisseurs de services/opérateurs

Oui

Oui

Constructeurs

Oui

Oui

a) Destinataires de l'étude

Décideurs à l'échelle nationale et Membres de Secteur, autres parties prenantes intervenant dans les activités en matière de cybersécurité ou responsables de ces activités, en particulier les parties prenantes des pays en développement.

b) Méthodes proposées pour la mise en oeuvre des résultats

Le programme d'étude vise avant tout à recueillir des informations ainsi que des bonnes pratiques. Il est censé avoir un caractère purement informatif et pourra être utilisé pour sensibiliser les Etats Membres et les Membres de Secteur aux questions de cybersécurité et pour attirer l'attention sur les informations, les outils et les bonnes pratiques disponibles; les résultats pourront être utilisés dans le cadre de séminaires et d'ateliers organisés par le BDT.

8 Méthodes proposées pour traiter la Question ou le thème

La Question sera traitée au sein d'une Commission d'études pendant la période de quatre ans (avec soumission de résultats préliminaires) et sera gérée par un Rapporteur et des Vice-Rapporteurs. Les Etats Membres et les Membres de Secteur pourront ainsi faire part de leur expérience et des enseignements qu'ils ont tirés en ce qui concerne la cybersécurité.

9 Coordination

Coordination avec l'UIT-T, en particulier avec la Commission d'études 17 ou la Commission d'études qui lui succèdera. Compte tenu des compétences techniques de la Commission d'études 17 de l'UIT-T sur la question, tous les documents (questionnaires, rapports intérimaires, projets de rapport final, etc.) devraient lui être communiqués pour observations et soumission de contributions, avant d'être présentés à l'ensemble des membres de la Commission d'études de l'UIT‑D pour observations et approbation.

10 Liaison avec les programmes du BDT

Programme 2 de l'UIT-D.

 

______________

1  Par pays en développement, on entend aussi les pays les moins avancés (PMA), les petits Etats insulaires en développement (PEID), les pays en développement sans littoral et les pays dont l'économie est en transition.

2   Sous réserve de l'approbation par la CMDT (Hyderabad, 2010) de la proposition de nouvelle Résolution par laquelle les pays en développement sont encouragés à créer des équipes nationales d'intervention en cas d'incident informatique (CIRT), la présente Question contribuera à donner effet à cette Résolution, si elle est approuvée.

3   En fonction de la décision de la CMDT (Hyderabad, 2010) au sujet des révisions apportées à la Résolution 45.