Quel est l’objectif ?
L’objectif d’une évaluation des capacités nationales en matière de cybersécurité est d’aider un pays à comprendre l’état actuel de ses capacités en matière de cybersécurité au niveau de la politique et des capacités nationales. Une évaluation n’est pas une étude technique ou opérationnelle. Elle diffère également d’une étude internationale comparative, qui conduit généralement à un tableau de classement et non à un rapport.
Pourquoi y procéder ?
Vous ne pouvez réaliser de planification efficace que si vous connaissez vos forces et vos faiblesses actuelles. De plus, renouveler une évaluation à quelques années d’intervalle (par exemple au début et à la fin d’une stratégie) permettra de mesurer les progrès.
Quels sont les résultats courants ?
Un rapport comprenant des stades d’échéance pour divers facteurs de capacité de cybersécurité et des recommandations pour les activités de renforcement des capacités et les investissements.
Comment l’activité est-elle exécutée ?
En règle générale, des experts internationaux travaillent avec le gouvernement pour organiser quelques journées d’ateliers de groupes de discussion avec des groupes de personnes qui comprennent le contexte national de cybersécurité (par exemple, les responsables politiques, les entreprises, la police et le système judiciaire, les universitaires, la société civile, etc.). Les experts travaillent ensuite avec des représentants du gouvernement pour rédiger et/ou éditer un rapport d’examen, en utilisant les résultats des groupes de discussion et de la recherche documentaire.
Dans quelle mesure un pays peut-il le faire lui-même facilement ?
Certains gouvernements, en particulier les plus avancés, gèrent le processus d’évaluation sans assistance internationale en utilisant des modèles internationaux ou leur propre modèle.
Quels sont les guides de bonnes pratiques disponibles ?
Le portail Cybil du GFCE propose à la fois une gamme de modèles utilisables, ainsi que des liens vers des études publiées.
- Un pays peut procéder à une évaluation à tout moment, mais il existe quelques options courantes : avant ou pendant la phase de lancement d’une stratégie pour susciter l’intérêt ; pendant la phase d’évaluation et d’analyse pour améliorer la compréhension ; ou pendant la phase de suivi et d’évaluation pour mesurer les progrès.
- De nombreux gouvernements ont choisi de publier leurs rapports, car cela aide à impliquer les gens dans le processus de stratégie nationale, c’est une mesure de confiance internationale et cela aide à attirer et à coordonner le renforcement des capacités internationales.
- Répétez l’évaluation après 3 à 5 ans pour suivre les progrès et évaluer les domaines nécessitant un renforcement des capacités.
Coût
Le coût d’un projet se situe généralement entre 65 000 $ et 130 000 $ selon l’approche utilisée. Si le financement est assuré par un donateur, le coût pour le pays bénéficiaire est presque nul : il offre souvent un lieu pour les ateliers et gère les invitations.
Durée
Une fois qu’un gouvernement a officiellement conclu un accord avec l’organisation qui mène l’évaluation, il faut environ 6 mois pour que l’évaluation soit effectuée et que le rapport soit soumis au gouvernement.
En 2014, le ministère du Développement économique du Kosovo, avec l’aide de la Banque mondiale, a demandé l’assistance du Global Cyber Security Capacity Centre (GCSCC) pour une évaluation des capacités nationales basée sur le modèle de maturité des capacités en matière de cybersécurité pour les nations (CMM) du Centre. Grâce au financement de plusieurs donateurs, le GCSCC a pu répondre à cette demande et a préparé le processus d’évaluation du CMM.
Au cours du mois de février 2015, les experts du GCSCC ont organisé dix discussions de groupe sur trois jours, axées sur les cinq dimensions du CMM :
- Politique et stratégie en matière de cybersécurité ;
- Cyber culture et société ;
- Éducation, formation et compétences en matière de cybersécurité ;
- Cadres juridiques et réglementaires ;
- Normes, organisations et technologies.
Chaque atelier a réuni des experts en cybersécurité, tels que des propriétaires d’infrastructures essentielles, des responsables politiques, des universitaires, la société civile, des représentants du secteur de la justice, ainsi que des experts du secteur privé.
Sur la base des informations recueillies au cours des discussions de groupe et des recherches documentaires de suivi pour rechercher des preuves à l’appui, le GCSCC a rédigé un rapport comprenant des recommandations pour les prochaines étapes qui a été examiné par les experts en la matière du GCSCC pour contrôler la qualité avant d’être envoyé au gouvernement du Kosovo pour commentaires.
Après approbation, il a été publié sur le site Web du ministère.
Le Kosovo a utilisé l’évaluation du CMM dans le cadre de son processus de planification stratégique. Bon nombre des recommandations de l’évaluation ont été intégrées dans les plans officiels. Moins d’un an après avoir reçu le rapport, le gouvernement avait :
- Nommé un ministère chargé de la coordination pour la cybersécurité : ministère de l’Intérieur.
- Dirigé un processus de rédaction de stratégie multipartite, en utilisant l’évaluation des capacités comme données.
- Adopté sa stratégie nationale de cybersécurité et son plan d’action 2016-2019.
- Créé un CSIRT national (KOS-CERT).
- Élaboré un document conceptuel pour les infrastructures essentielles de l’information et d’un projet de règlement sur les normes.
En savoir plus sur la suite de l’examen CMM ici.
Quatre ans plus tard, en juillet 2019, le GCSCC est retourné au Kosovo pour une réévaluation du CMM. Cela a de nouveau été facilité par la Banque mondiale dans le cadre de son Programme mondial de renforcement des capacités en cybersécurité II. Le rapport a fourni des informations sur les domaines dans lesquels le pays avait amélioré ses capacités depuis la première évaluation, mais a également identifié des secteurs nécessitant un renforcement des capacités et un soutien pour adapter les efforts actuels aux nouveaux développements.