L'ENISA nous propose un document intéressant qui fait un
état des lieux des documents assimilables à des stratégies relatives à la cyber-défense ou des acceptions proches.
L'institution en profite pour inventer un concept, le "NCSS" pour
National Cyber Security Strategy et expose les travaux de ses rédacteurs selon deux axes : les pays européens et non-européens ayant publié une NCSS. A terme, l'ENISA devrait publier un
guide de recommandations et de bonnes pratiques afin d'aider les pays à produire ce genre de document et à établir une démarche idoine.
Parmi les pays européens à avoir produit ce type de document : Estonie, Finlande, Slovaquie, République Tchèque, France, Allemagne, Lituanie, Luxembourg, Hollande, Grande-Bretagne. En gras, les pays ayant publié en 2008 et en italique, ceux l'ayant fait en 2011.
Pour les autres pays : Etats-Unis, Canada, Japon,India, Australia, New Zealand and Colombia...Le document n'est cependant pas exhaustif et s'intéresse à l'approche des 3 premiers.
Les travaux de l'ENISA sont à comprendre comme les résultats préliminaires d'un projet plus global visant justement à produire ce guide de bonnes pratiques. Ils apportent cependant une analyse intéressante et transversale des caractéristiques principales des stratégies des pays analysés.
Voici un petit résumé de la manière dont l'ENISA a perçu les composants essentiels des stratégies nationales étudiées :
A noter que les critères choisis par votre serviteur sont notamment :
- Global : pour déterminer une vision globale, une approche générale du cyberespace en dehors des intérêts stricts du pays
- Militaire : lorsque la stratégique évoque défense ou intègre un aspect militaire
- Economie : Intégration de l'approche et des questions économiques
- SSI et Systèmes infos : sécurité des SI et approche "techniques" diverses
- Civil : par opposition à une approche militaire
- Education : si la stratégie détermine le besoin de former
- Echanges : si la stratégie évoque le besoin d'alliances ou d'approches internationales
- CIIP : Critical Information Infrastructure Protection
On peut émettre quelques réflexions à la lecture de ce document. L'approche militaire et/ou "défense" des choses semblent être marginales (ou l'ENISA l'a compris comme telle) et peu de pays, sauf ceux ayant une vocation militaire encore forte et "déterminée" semblent en avoir pris le parti. A contrario, l'aspect "civil" est bien plus présent : les documents se fondent souvent sur une approche de protections des organisations, institutions et populations au travers des systèmes informatiques.
De même, on trouve généralement des aspects "techniques" : la protection de l'information intègre une dimension informatique bien comprise et qui n'est jamais complètement écartée.
Enfin, le concept de CIIP ne semble pas non plus un franc succès même si l'analyse de l'ENISA n'est que partielle et qu'il faut ajouter ma vision biaisée à ceci. Notons que souvent, pour avoir lu d'autres stratégies, on trouve des aspects relevant de cette vision des systèmes d'information mais plus rarement le concept initial.
On conclura par un aspect intéressant : la nécessité des échanges internationaux ne semble pas être une mesure nécessaires pour toutes les stratégies. L'ENISA peut également ne pas l'avoir retenu car on en trouve trace dans le document français sans que l'étude en fasse mention. Pour ces auteurs, peut-être était-il nécessaire de trouver une approche plus volontariste en la matière.
Ce document apporte une vision transversale qui demeure toujours intéressante bien que partielle et sans doute un peu biaisée. C'est toutefois un travail intéressant qui pourrait être fait, sur des critères plus précis.
Source : dans le texte