La Stratégie nationale de sécurité du cyberespace

Extraits d'un rapport de la Maison-Blanche

La cybersécurité telle qu'elle est conçue dans la stratégie nationale formulée par le gouvernement Bush est une composante essentielle de la sécurité intérieure.

En février 2003, la Maison-Blanche a publié un document de 76 pages intitulé « Stratégie nationale de sécurité du cyberespace, prévoyant l'application d'une approche à plusieurs volets afin de protéger les technologies de communications vitales pour la nation. La stratégie a été élaborée après plusieurs années de consultations intensives auprès de milliers de personnes, de responsables à tous les niveaux du gouvernement, d'experts du secteur privé et de citoyens intéressés. Les extraits présentés ci-après reflètent les moyens que les États-Unis mettent en œuvre pour protéger les réseaux informatiques complexes et interconnectés indispensables à la société actuelle.

Priorités fondamentales pour la sécurité du cyberespace

La Stratégie nationale de sécurité du cyberespace définit cinq grandes priorités nationales :

I. Adopter un mécanisme national d'intervention pour protéger la sécurité du cyberespace ;

II. Mettre en place un programme national visant à atténuer les menaces à la sécurité et la vulnérabilité du cyberespace ;

III. Prévoir un programme national de sensibilisation et de formation à la sécurité du cyberespace ;

IV. Garantir la sécurité du cyberespace des institutions gouvernementales ;

V. Coopérer aux plans national et international en matière de sécurité du cyberespace.

La première priorité vise à améliorer nos ripostes en cas de cyberincidents et à réduire les dommages que ceux-ci sont susceptibles de causer. Les deuxième, troisième et quatrième priorités ont pour but de réduire les menaces et d'atténuer notre vulnérabilité aux cyberattaques. La cinquième priorité consiste à prévenir les cyberattaques pouvant porter atteinte aux éléments de la sécurité nationale et à améliorer la façon dont les pays réagissent à telles attaques.

Priorité I - Adopter un mécanisme national d'intervention pour protéger la sécurité du cyberespace

L'identification rapide d'une menace, l'échange d'informations et l'application de solutions dans les meilleurs délais peuvent souvent limiter les dommages causés par les actions mal intentionnées des cybercriminels. Pour que ces activités soient efficaces au niveau national, il faut établir un partenariat entre le gouvernement des États-Unis et le secteur privé, de façon à procéder à des analyses, publier des avertissements et coordonner les mesures de riposte. La vie privée et les libertés civiles doivent être protégées dans ce processus. Par ailleurs, étant donné qu'aucun plan visant à assurer la sécurité du cyberespace ne peut résister aux attaques menées de façon intelligente et concertée, les systèmes d'information doivent pouvoir continuer à fonctionner au cours de telles attaques et être suffisamment solides pour rétablir rapidement toutes leurs opérations.

La Stratégie nationale de sécurité du cyberespace définit huit importantes mesures et initiatives pour appuyer la sécurité du cyberespace :

1. Etablir une architecture publique-privée pour réagir face aux cyberincidents de niveau national ;

2. Prévoir l'analyse tactique et stratégique des cyberattaques et évaluer les éventuelles points faibles ;

3. Encourager le développement de capacités au sein du secteur privé afin d'apprécier de manière synoptique l'état de santé du cyberespace ;

4. Etendre le réseau de cyberalerte et d'information pour appuyer les interventions du ministère de la sécurité intérieure lorsqu'il s'agit de coordonner la gestion des crises en matière de cybersécurité ;

5. Améliorer, au plan national, la gestion des incidents ;

6. Coordonner les processus sous-tendant une participation volontaire à l'élaboration de plans nationaux impliquant les secteurs public et privé afin d'assurer la continuité et parer à toute éventualité ;

7. Instituer des plans visant à maintenir la sécurité du cyberespace pour les systèmes fédéraux ;

8. Améliorer et renforcer la communication d'informations entre le secteur public et le secteur privé concernant les cyberattaques, les menaces et les vulnérabilités.

Priorité II - Mettre en place un programme national visant à atténuer les menaces à la sécurité et la vulnérabilité du cyberespace

Les attaques organisées peuvent, en exploitant les vulnérabilités de nos cybersystèmes, mettre en danger la sécurité des infrastructures essentielles de la nation. Les vulnérabilités les plus graves se situent au niveau des moyens informatiques des entreprises sur lesquelles reposent ces infrastructures et à celui de leurs structures d'appui extérieur, l'internet en étant un exemple. Les sites dont la sécurité est moins rigoureuse présentent aussi des failles significatives et sont exposés aux cyberattaques. On peut imputer les vulnérabilités à des points faibles de la technologie ou à la mauvaise mise en œuvre et vérification des produits technologiques.

La Stratégie nationale de sécurité du cyberespace a mis à jour huit grandes recommandations afin de réduire les menaces et les vulnérabilités correspondantes :

1. Renforcer les capacités des autorités policières en matière de prévention des cyberattaques et de poursuites judiciaires de leurs auteurs ;

2. Etablir un processus d'évaluations nationales de la vulnérabilité afin de mieux comprendre les conséquences possibles des menaces et des insuffisances ;

3. Assurer la sécurité des mécanismes de l'internet en améliorant les protocoles et l'acheminement ;

4. Encourager l'utilisation de systèmes fiables de contrôle numérique et d'acquisition de données ;

5. Réduire la vulnérabilité des logiciels et y remédier ;

6. Comprendre les interdépendances des infrastructures et améliorer la sécurité matérielle des systèmes informatiques et des télécommunications ;

7. Assigner une priorité aux projets du gouvernement en ce qui concerne la recherche et le développement dans le domaine de la cybersécurité ;

8. Evaluer les nouveaux systèmes et garantir leur sécurité.

Priorité III - Prévoir un programme national de sensibilisation et de formation à la sécurité du cyberespace ;

Souvent, les vulnérabilités aux cyberattaques sont un fait parce que les utilisateurs d'ordinateurs, les administrateurs de systèmes, les ingénieurs, les responsables des achats, les vérificateurs, les responsables de l'information, les présidents-directeurs généraux et les conseils d'administration des entreprises ne sont pas sensibilisés aux problèmes de sécurité. Ces vulnérabilités dues à un manque de connaissances font toujours courir de graves dangers aux infrastructures critiques. Le manque de personnel qualifié et l'absence de programmes reconnus de certification à divers niveaux de compétences des professionnels de la cybersécurité viennent encore compliquer la tâche lorsqu'il s'agit d'éliminer les vulnérabilités informatiques.

La Stratégie nationale de sécurité du cyberespace recommande quatre lignes d'action visant la sensibilisation, l'éducation et la formation :

1. Engager une vaste campagne nationale de sensibilisation qui permettra à tous les Américains, les entreprises, les salariés et le grand public, d'assurer eux-mêmes la sécurité des régions du cyberespace où ils évoluent ;

2. Encourager la création de programmes de formation et d'éducation appropriés pour répondre aux besoins nationaux en matière de cybersécurité ;

3. Renforcer l'efficacité des programmes fédéraux de formation en matière de cybersécurité ;

4. Promouvoir un appui du secteur privé pour mettre en place un système bien coordonné et largement reconnu de certification de professionnels de la cybersécurité.

Priorité IV - Garantir la sécurité du cyberespace des institutions gouvernementales.

Bien que les instances gouvernementales n'administrent qu'une petite partie de l'infrastructure informatique critique de la nation, les entités officielles, à tous les niveaux, fournissent par le truchement de l'internet des services essentiels dans de multiples domaines : agriculture, alimentation, eau, santé publique, services d'urgence, défense, services sociaux, information et télécommunications, énergie, transports, banques et finances, produits chimiques, postes et messageries. Les instances gouvernementales peuvent donner l'exemple en matière de sécurité du cyberespace, notamment en encourageant par leurs achats la création d'un marché commercial proposant des technologies plus sûres.

La Stratégie nationale de sécurité du cyberespace identifie cinq lignes d'action pour assurer la sécurité du cyberespace gouvernemental :

1. Evaluer en continu les menaces pesant sur les systèmes informatiques fédéraux et les vulnérabilités de ces systèmes ;

2. Authentifier les usagers autorisés des systèmes informatiques fédéraux et vérifier la validité de leur autorisation ;

3. Assurer la sécurité des réseaux locaux sans fil des organismes fédéraux ;

4. Améliorer la sécurité des opérations de sous-traitance et de passation de marchés par les instances gouvernementales ;

5. Encourager les instances gouvernementales des États et les administrations locales à établir des programmes de sécurité informatique et à participer à des activités collectives d'échange et d'analyse des informations avec leurs homologues.

Priorité V - Coopérer aux plans national et international en matière de sécurité du cyberespace.

Le cyberespace américain relie les États-Unis au reste du monde. Un réseau de réseaux couvre toute la planète, ce qui permet à des acteurs malveillants d'un continent de s'attaquer à des systèmes informatiques d'un autre continent à des milliers de kilomètres. Les cyberattaques passent les frontières à la vitesse de la lumière et il est difficile de repérer la source des activités néfastes. L'Amérique doit être capable de protéger et de défendre ses systèmes et ses réseaux critiques. Pour ce faire, il faut un mécanisme de coopération internationale de manière à faciliter le partage de l'information, réduire les vulnérabilités et dissuader les acteurs malveillants.

La Stratégie nationale de sécurité du cyberespace recommande six lignes d'action pour renforcer la sécurité nationale des États-Unis et la coopération internationale :

1. Intensifier les activités de contre-espionnage liées au cyberespace ;

2. Accroître les moyens permettant de trouver les auteurs des attaques et de riposter ;

3. Améliorer la coordination entre les organes fédéraux chargés de la sécurité nationale pour riposter aux cyberattaques ;

4. Œuvrer avec l'industrie et par l'entremise des organisations internationales pour faciliter, au niveau international, l'instauration entre le secteur public et le secteur privé de dialogues et de partenariats axés sur la protection des infrastructures de l'information et la promotion d'une « culture de la sécurité » mondiale ;

5. Encourager l'établissement de réseaux nationaux et internationaux de veille et d'avertissement pour détecter et bloquer les cyberattaques dès qu'elles se font jour ;

6. Encourager les autres nations à adhérer à la Convention du Conseil de l'Europe sur la cybercriminalité, ou à faire en sorte que leurs dispositions juridiques et procédurales soient au moins équivalentes.

Le texte complet de la Stratégie nationale de sécurité du cyberespace est disponible (en anglais) à : www.whitehouse.gov/pcipb.