À propos de cette phase
L’objectif de cette phase est de développer le texte de la stratégie en impliquant les principales parties prenantes du secteur public, du secteur privé et de la société civile à travers une série de consultations publiques et de groupes de travail. Ce groupe élargi de parties prenantes sera chargé de contribuer à la vision globale et à la portée de la stratégie, de fixer des objectifs de haut niveau, de faire le point sur la situation actuelle (détaillée dans la étape II), de hiérarchiser les objectifs en termes d’impact sur la société, les citoyens et l’économie, et d’ássurer les ressources financières nécessaires.
Pour des conseils sur cette phase, voir le « Guide pour le développement d’une stratégie nationale de cybersécurité » (‘Guide to developing a national cybersecurity strategy‘); Deuxième Edition, 2021, p. 22.
Quelles sont les conditions préalables à cette phase ?
Le début de la phase de production est déclenché de préférence par une décision formelle d’un responsable politique (c’est-à-dire un ministre). Cela garantit que la production de la stratégie bénéficie du soutien nécessaire des dirigeants politiques et donne au produit final une grande chance d’être adopté et mis en œuvre. Le(s) responsable(s) aura(ont) besoin de ressources pour produire la stratégie, ce qui peut inclure une petite équipe de personnel et un financement pour des ateliers, la commande de recherches supplémentaires et un événement de lancement.
Avant le début de la phase de production, cela aidera le responsable principal à concentrer ses efforts de savoir quels objectifs nationaux la stratégie doit soutenir et comment les dirigeants politiques les hiérarchisent. Cela évitera un scénario, par exemple, dans lequel une stratégie est élaborée en se concentrant sur l’objectif de la défense nationale pour apprendre à la fin que les ministres voulaient une stratégie orientée vers la prospérité économique. Bien entendu, une stratégie nationale de cybersécurité pourrait soutenir les deux objectifs nationaux, et plus encore. Ce sont les priorités relatives de ces objectifs par rapport à la cybersécurité qu’il est important de comprendre à ce stade.
La phase de production nécessite également des informations qui auraient dû être recueillies lors de la phase d’inventaire et d’analyse. Celles-ci comprennent l’identification des fonctions/actifs critiques et une évaluation des mesures de protection actuelles, de la capacité cybernétique nationale, des menaces et du paysage. Des informations supplémentaires peuvent être recueillies et analysées pendant la phase de production, mais il est préférable d’en rassembler le plus possible avant cette phase.