Quel est l’objectif ?
Aider les pays à utiliser les informations contenues dans leurs rapports d’évaluation des capacités et des risques, pour orienter la conception et le contenu d’une cyberstratégie nationale.
Pourquoi y procéder ?
Au cours de la phase de bilan et d’analyse, les pays doivent rassembler les preuves qu’ils ont recueillies, les comparer et confirmer leur validité. Ils doivent interpréter ces informations, en identifiant les principaux sujets et problèmes qui éclaireront la stratégie. C’est aussi le bon moment pour fixer des seuils de tolérance au risque.
Quels sont les résultats courants ?
Un ensemble défini de faits et d’hypothèses fondés sur des preuves qui justifient l’identification et la hiérarchisation des secteurs, processus et risques critiques. Par exemple, « Nous supposons que l’expansion économique restera une priorité nationale absolue; les faiblesses dans le secteur des services financiers représentent le plus grand cyber-risque pour cette priorité; et la plus grande menace pour les services financiers est la cybercriminalité organisée ciblant nos banques nationales. » Un second résultat pourrait être une évaluation initiale de l’efficacité des mesures actuelles d’atténuation des risques dans les domaines prioritaires.
Comment l’activité est-elle exécutée ?
Ateliers, discussions animées et exercices.
Dans quelle mesure un pays peut-il le faire lui-même facilement ?
De nombreux pays peuvent suivre un processus de validation des rapports sur les risques et de définition des priorités. L’aide extérieure peut aider à : rassurer quant au fait que rien n’a été manqué ; apporter une expérience externe ; abattre les frontières départementales; et adopter une approche multipartite.
Quels sont les guides de bonnes pratiques disponibles ?
La meilleure source d’information vient des personnes qui l’ont déjà fait. Voir aussi, documentation dans les guides par: ENISA ; OCDE ; GCSCC (CMM) ; et MITRE (NCSDI).
- Recueillir des informations et des preuves dès le début (Activité 1).
- Les faits et les hypothèses concernant la hiérarchisation des risques et des secteurs doivent être communiqués aux hauts responsables gouvernementaux et politiques ; aux principaux représentants de l’industrie (en particulier des secteurs essentiels prioritaires) ; et aux organisations de la société civile pour examen et accord.
- Examiner les priorités en matière de risques numériques dans le cadre d’autres risques nationaux, qui sont essentiellement des décisions politiques.
- Dans cette phase et cette activité, il est important d’adopter une approche multipartite. Utilisez-la en vue d’obtenir l’adhésion.
- Cherchez des informations et de l’aide auprès d’autres personnes qui l’ont déjà fait ou fait dans d’autres pays.
Durée
1 à 3 mois. La durée peut diminuer si la validation des risques est effectuée par le biais d’examens périodiques au cours de l’élaboration de l’évaluation des risques.
Il y a plusieurs années, l’organisation MITRE a participé à l’élaboration de la cyberstratégie nationale d’un pays africain.
MITRE a entrepris l’assistance avec la facilitation via une évaluation complète de plusieurs domaines clés de renforcement des capacités nationales qui sont essentiels à la conception d’une cyberstratégie nationale, y compris l’identification de partenariats essentiels; la capacité de développer une cyber main-d’œuvre ; les mécanismes de gouvernance du cyberespace ; et les approches de gestion des risques. Ces évaluations ont permis d’identifier les avantages que le pays espérait obtenir grâce à une cyberstratégie, y compris les avantages socio-économiques et une plus grande résilience. En outre, le pays a cherché à construire une infrastructure TIC sécurisée pour attirer davantage d’entreprises axées sur le savoir dans le pays.
Des évaluations de la gestion des risques ont été menées avec l’aide de MITRE qui impliquaient d’identifier les menaces et les faiblesses des TIC qui pourraient avoir un impact sur les buts et objectifs stratégiques.
Les conclusions des évaluations des risques ont été incluses dans la rédaction de la stratégie justifiant les approches stratégiques du pays au sein du gouvernement, ainsi qu’avec le secteur privé et les citoyens. L’élaboration de cette stratégie comprenait des parties prenantes publiques, privées et universitaires et a établi une gouvernance de mise en œuvre qui a mandaté un organisme de coordination public/privé permanent. MITRE a également proposé des consultations concernant les priorités et les méthodes de mise en œuvre. L’engagement des parties prenantes publiques et privées et l’aide extérieure dans des domaines limités mais essentiels tels que la gestion des risques ont abouti à une cyberstratégie nationale complète, réalisable et abordable.