A5 Données sur des vulnérabilités
A6
A6

Vulnérabilités aux risques CNI/CIIP

A7 Utilisation de l’évaluation des risques

Quel est l’objectif ?

Aider un pays à connaître les infrastructures et les systèmes essentiels nationaux dont il a besoin pour le protéger à l’heure actuelle et la solidité de ses processus de gestion du risque pour ces actifs.

Pourquoi y procéder ?

Les pays doivent être en mesure d’identifier et de gérer les risques en matière de cybersécurité au niveau national et de s’en servir pour éclairer les domaines prioritaires pour les investissements futurs, qui seront mis en évidence dans une stratégie nationale.

Quels sont les résultats courants ?

Une liste des opérateurs d’importance vitale et/ou des infrastructures essentielles de l’information. Et un rapport, produit par le gouvernement lui-même, concernant les mesures d’atténuation des risques pour cet OIV/ICC et sa pertinence.

Comment l’activité est-elle exécutée ?

Généralement, des consultants externes réuniront le gouvernement et le secteur privé pour constituer une équipe sur place. Ils formeront l’équipe sur place, qui enverra des questionnaires aux propriétaires d’OIV, et ils interpréteront ensemble les informations renvoyées. Les experts peuvent aider à organiser une série d’ateliers pour expliquer le processus aux parties prenantes et, à la fin, discuter des résultats.

Dans quelle mesure un pays peut-il le faire lui-même facilement ?

Moyennement facilement. Des exemples de questionnaires et de méthodes d’évaluation peuvent être demandés aux membres du GFCE.  Cependant, les experts internationaux disposeront souvent d’outils pour analyser les données du questionnaire. Ils auront également une expertise en matière d’interprétation des résultats.

Quels sont les guides de bonnes pratiques disponibles ?

Le Home Office du Royaume-Uni développe un portail de formation et des vidéos pour permettre la mise à disposition à distance et aider les pays à en former d’autres.

  • Passer du temps au début à parler aux propriétaires d’OIV/IEI pour gagner leur confiance dans le processus.
  • Former sur place une équipe de représentants du gouvernement et du secteur privé pour encourager ceux qui pourraient être réticents à participer.
  • Si un pays est préoccupé par la confidentialité des données, il peut demander que le projet soit conçu de manière à ce que personne d’autre que le gouvernement ne consulte les données sensibles et qu’elles soient stockées en toute sécurité dans le ministère responsable.
  • Prévoir du temps pour le processus stratégique d’évaluation des risques, car cela peut prendre 6 mois.

Coût

Variable (40 000 $ – 130 000 $ par pays en fonction de l’obligation de se déplacer).

Durée

3 à 6 mois.

Évaluation nationale des cyberrisques de la Sierra Leone (NCRA)

En 2019, le ministère de l’Intérieur du Royaume-Uni a collaboré avec le ministère de l’Information et des Communications (MIC) de la Sierra Leone dans le cadre de son Commonwealth Cyber Program. La Sierra Leone n’avait jamais entrepris d’évaluation des cyberrisques OIV auparavant.

L’équipe sur place de la NCRA (composée de représentants du gouvernement et du secteur privé) a réuni plusieurs secteurs d’opérateurs d’importance vitale pour établir un seuil de risque pour leurs infrastructures essentielles de l’information. Le gouvernement britannique a fourni des conseils d’experts et des compétences analytiques pour développer les capacités au sein de la Sierra Leone. L’équipe britannique a également appuyé l’analyse des résultats, permettant à l’équipe sur place de développer une liste de priorités pour les investissements futurs.

Ce processus a duré 5 mois, d’août 2019 à janvier 2020, et le MIC s’est engagé à répéter le processus ponctuellement ; la Sierra Leone dispose désormais de capacités nationales. Un rapport sur les résultats a été élaboré avec un ensemble convenu de recommandations. L’équipe sur place s’est également engagée à travailler avec chaque secteur/organisation pour partager et analyser plus en détail les résultats individuels afin de combler les lacunes en matière de capacités prioritaires.

Du point de vue de l’équipe britannique, le principal résultat du processus a été l’amélioration des relations entre le gouvernement du pays hôte et son secteur privé. L’activité a été l’élément déclencheur nécessaire pour le gouvernement du pays hôte pour réunir pour la première fois les différentes parties prenantes du secteur privé. En témoignage du rassemblement des peuples et du travail acharné des équipes sur place pour nouer des relations, toute méfiance initiale s’est transformée en liens solides au fur et à mesure du processus. Par exemple, une entreprise de télécommunications a signalé une cyberattaque au gouvernement de la Sierra Leone, et a ouvertement reconnu qu’elle ne l’aurait pas fait avant le processus NCRA.

La formation d’une équipe hybride démontre la valeur du NCRA et sa manière de rassembler les parties prenantes pour établir des relations solides et de confiance ; mais cela montre également que la cybersécurité n’est pas seulement un problème pour le gouvernement. Elle relève de la responsabilité de chacun.

Dans le cadre de l’approche NCRA en 3 ateliers, l’équipe britannique a intégré un cyber-exercice immersif. Nous avons offert l’exercice avec l’aide de l’équipe sur place lors de la réunion d’information sur les résultats du NCRA avec les parties prenantes du secteur afin de mettre en évidence les dépendances entre les secteurs et l’importance de renforcer la résilience.