mercredi 23 février 2011

National Cyber Security Strategy...pour la Hollande.

A son tour donc, les Pays-Bas dévoilent leur stratégie de Cyber Sécurité dans un document court mais intéressant. Il est notoire que les documents de stratégie finissent par se ressembler et celui-ci ne fait pas exception à la règle puisqu’il commence par établir la liste des raisons qui poussent le pays à développer de telles capacités :

=> Le caractère désormais incontournable des ICT. A noter que le document ne fait pas un usage extensif du terme « cyberespace » et lui préfère la notion, presque désuète, de ICT pour Informations & Communications Technologies…So web 1.0 !

Mais peut-être un peu plus « bon sens rassis ». La définition qui en est donnée accréditerait plutôt cette seconde thèse : « ICT is the entirety of digital information, information infrastructures, computers, systems, applications and the interaction between information technology and the physical world regarding which there is communication and information exchange. ». La Hollande leur attribue d’ailleurs environ 50% de la croissance annuelle en Europe et souhaite également devenir un leader dans les sociétés intégrant les ICT.

=> Comme il est d’usage, ce document reconnait également la vulnérabilité des sociétés aux risques induit par une utilisation grandissante de ces technologies. A cet égard, les exemples citées sont Stuxnet et le duo botnet/ver dénommé Bredolab.

En particulier, le second est intéressant car il a vu l’intervention de plusieurs forces de police de différents pays afin de mettre fin à ses activités alors qu’il était contrôlé depuis l’Arménie.

=> On retiendra également une définition de la cyber-sécurité, nouveau terme à la mode : « Cyber security is to be free from danger or damage caused by disruption or fall-out of ICT or abuse of ICT. The danger or the damage due to abuse, disruption or fall-out can be comprised of a limitation of the availability and reliability of the ICT, breach of the confidentiality of information stored in ICT or damage to the integrity of that information. »

J’avoue préférer la vision française qui semble donner à cette donner un contenu de protection des citoyens comme une forme de « sécurité routière » dans le cyberespace.

=> Caractère global : le document reconnait le caractère transnational à la fois des ICT mais également des menaces et des conséquences de la réalisation des risques. Les auteurs reconnaissent ainsi le caractère incertain de la provenance des cyber attaques mais également le fait que les mêmes « armes » servent différents intérêts et acteurs.

A cet égard, il met en avant l’indiscutable besoin de coopération entre pays mais également, il parait s’agir d’un des rares documents à avoir été rédigé directement en coopération avec des acteurs tiers, notamment dans le secteur privé… « This is why the cabinet presents the National Cyber Security Strategy which has been prepared with contributions from a broad range of public and private parties, knowledge institutes and social organisations »

Conséquemment, cette stratégie propose divers moyens de résoudre ces challenges et, une fois, encore, les points abordés en premier sont surprenants :

- Renforcer la coopération entre les initiatives de protection et de sécurité par, pour et sur Internet

- Établir un modèle pour le partenariat public-privé

- Responsabilité individuelle : cette notion est fondamentale. Toutes les autres stratégies parlent de protéger la société et les individus mais peu reconnaissent que l’individu détermine une part indéniable de son propre niveau de sécurité.

- Autre point intéressant : la nécessité de régulation est associée tout d’abord à un objectif d’autorégulation avant l’action législative et la régulation nationale. De plus, les mesures devront être prises avec un le respect d’un principe d’équilibre entre la sécurité et les droits préexistants et notamment les droits dits « fondamentaux ». Ici encore, c’est surprenant mais cela peut s’expliquer très bien par le caractère profondément libéral de ce pays.

- Enfin, le document établit le besoin d’une coopération internationale renforcée avec le développement de l’action de la Convention sur la Cybercriminalité.

Parmi les moyens dont compte se doter le pays :

- Un « Cyber Security Board » associant toutes les parties prenantes : business et secteur public notamment autour d’une même table avec des droits équivalents pour faire avancer les sujets

- Un « National Cyber Security Centre » pour développer et consolider les besoins d’expertise.

- Plusieurs éléments sur la protection des infrastructures vitales, en particulier les télécoms, et des nécessaires modifications législatives et réglementaires

- Préparation et publication d’un National Cyber Crisis Plan associé à la création d’un ICT Response Board (IRB) dont la composition sera mixte.

- Enfin, des efforts sur la lutte contre la cybercriminalité et l’inclusion des aspects cybers dans les missions des agences de lutte contre le terrorisme

En conclusion, cette stratégie reste comme une approche globale, claire et concise, qui écarte les problématiques sémantiques ou conceptuelles au profit d’une approche qui parait très pragmatique. Ce pragmatisme, s’il s’inscrit notamment dans la coopération extensive avec le secteur privé qui serait apte à nous donner quelques leçons (à d’autres aussi…) n’oublie pourtant pas ses valeurs. En effet, pas de sacrifice au profit de la sécurité comme d’autres pays y sont habitués : la préservation des droits civiques et des libertés est autant un enjeu qu’une priorité dans la mise en place d’un écosystème de sécurité…Une « petite » cybestratégie donc mais non des moindres !

Aucun commentaire:

Enregistrer un commentaire