Add to collection(s) Add to saved
  1. No category
Uploaded by Kwah Kouassi

OCWARC CS2 - Stratégie régionale cybersécurité - cybercriminalité F...

advertisement 
ACTIVITE CS2
Stratégie régionale de cybersécurité et de lutte contre la cybercriminalité
de la CEDEAO et de la Mauritanie
Version n° 5
Table des matières
SECTION I.
INTRODUCTION ............................................................................................................................... 2
SECTION II. CONSIDÉRATIONS GÉNÉRALES......................................................................................................... 3
A.
B.
OBJECTIF GÉNÉRAL ................................................................................................................................................ 3
DÉFINITIONS........................................................................................................................................................ 3
SECTION III. OBJECTIF STRATÉGIQUE 1 : FORMULER UNE POLITIQUE NATIONALE ET UNE STRATÉGIE NATIONALE
DE CYBERSÉCURITÉ ET DE LUTTE CONTRE LA CYBERCRIMINALITÉ ................................................................... 4
SECTION IV. OBJECTIF STRATÉGIQUE 2 : RENFORCER LA CYBERSÉCURITÉ AVEC UN CYBERESPACE SÛR ET
SÉCURISÉ 5
SOUS-OBJECTIF 2.1.
SOUS-OBJECTIF 2.2.
SOUS-OBJECTIF 2.3.
SOUS-OBJECTIF 2.4.
SOUS-OBJECTIF 2.5.
SOUS-OBJECTIF 2.6.
SOUS-OBJECTIF 2.7.
SOUS-OBJECTIF 2.8.
ÉTABLIR UNE AUTORITÉ NATIONALE DE CYBERSÉCURITÉ ............................................................................. 5
ÉTABLIR DES CAPACITÉS D’ALERTE ET DE RÉACTION EN CAS D’INCIDENT (CSIRT) .............................................. 5
METTRE EN ŒUVRE UNE APPROCHE DE GESTION DES RISQUES ..................................................................... 6
RENFORCER LA CYBERSÉCURITÉ DES INFRASTRUCTURES CRITIQUES ET DES SERVICES ESSENTIELS ............................ 6
ADOPTER DES POLITIQUES DE SÉCURITÉ DES SYSTÈMES D’INFORMATION ........................................................ 6
ÉTABLIR UN RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ ...................................................................................... 6
ASSURER LE DÉVELOPPEMENT DES COMPÉTENCES EN MATIÈRE DE CYBERSÉCURITÉ ............................................ 7
ASSURER LE DÉVELOPPEMENT DE L’ÉCOSYSTÈME DE CYBERSÉCURITÉ ............................................................. 7
SECTION V. OBJECTIF STRATÉGIQUE 3 : RÉDUIRE LA CYBERCRIMINALITÉ PAR UN ENVIRONNEMENT ADAPTÉ ET
LA CAPACITÉ DE TRADUIRE LES DELINQUANTS EN JUSTICE ............................................................................. 7
SOUS-OBJECTIF 3.1.
SOUS-OBJECTIF 3.2.
ADOPTER DES DISPOSITIONS PÉNALES ET DE PROCÉDURES PÉNALES ............................................................... 7
METTRE EN PLACE DES CAPACITÉS DE LUTTE CONTRE LA CYBERCRIMINALITÉ .................................................... 7
SECTION VI. CONSIDÉRATIONS COMMUNES À LA CYBERSÉCURITÉ ET À LA LUTTE CONTRE LA CYBERCRIMALITÉ 8
SOUS-OBJECTIF 4.1.
SOUS-OBJECTIF 4.2.
SOUS-OBJECTIF 4.3.
SOUS-OBJECTIF 4.4.
PROMOUVOIR LA RATIFICATION DE CONVENTIONS ................................................................................... 8
ASSURER LA PROMOTION DE LA CULTURE DE CYBERSÉCURITÉ ...................................................................... 8
ASSURER LA COORDINATION NATIONALE................................................................................................ 8
PROMOUVOIR LA COOPÉRATION RÉGIONALE ET INTERNATIONALE................................................................. 8
SECTION VII. CONSIDÉRATIONS RÉGIONALES ....................................................................................................... 9
SOUS-OBJECTIF 5.1.
SOUS-OBJECTIF 5.2.
SOUS-OBJECTIF 5.3.
SOUS-OBJECTIF 5.4.
ÉTABLIR UN PLAN RÉGIONAL D’ASSISTANCE À LA MISE EN ŒUVRE DE LA STRATÉGIE RÉGIONALE ............................ 9
ÉTABLIR UN DISPOSITIF DE SUIVI DE LA STRATÉGIE RÉGIONALE ..................................................................... 9
ÉTABLIR UN CENTRE DE COORDINATION DE LA CYBERSÉCURITÉ ..................................................................... 9
IDENTIFIER ET RECHERCHER DES FINANCEMENTS POUR LES DISPOSITIFS NATIONAUX DE CYBERSÉCURITÉ ET DE LUTTE
CONTRE LA CYBERCRIMINALITÉ........................................................................................................................................... 9
ANNEXE : PLAN RÉGIONAL D’ASSISTANCE À LA MISE EN ŒUVRE DE LA STRATÉGIE RÉGIONALE ......................... 10
OCWARC_CS2 - Stratégie régionale cybersécurité - cybercriminalité FR - V5 -2020 05 19.docx
1/15
SECTION I.
INTRODUCTION
La transformation numérique rapide en cours en Afrique de l'Ouest est d'une grande importance pour
améliorer le fonctionnement et l'efficacité des administrations, des politiques publiques et des économies,
ainsi que le bien-être des populations. Cependant, les menaces et les risques croissants auxquels sont
confrontés le cyberespace mondial et les réseaux, les systèmes d'information et les données numériques
peuvent considérablement réduire les bénéfices attendus de ces politiques numériques, et porter gravement
atteinte aux intérêts des Nations, à leurs économies, leurs institutions et leurs populations.
Face à ces menaces et risques, il convient d’opposer des dispositifs nationaux de cybersécurité et de lutte
contre la cybercriminalité robustes, avec une bonne coordination entre les services concernés, des
mécanismes de réponse efficaces aux cyberattaques, des experts et des utilisateurs du numérique sensibilisés
et formés aux bonnes pratiques, une participation active du secteur privé, une protection renforcée des
services numériques et des infrastructures les plus essentiels ou les plus critiques, ainsi qu’une entraide
régionale et une coopération internationale.
Force est de constater qu’au sein de la région, ces exigences sont encore loin d’être satisfaites. Si quelques
pays ont déjà mis en place les dispositifs nécessaires et atteint un certain degré de préparation, la plupart des
autres pays ont encore un niveau insuffisant, constituant une faiblesse qui met en danger leurs Nations autant
que le reste de la région. En outre, tous les pays font face à une pénurie d’expertise dans ces domaines. Ils
sont donc encouragés à développer les cursus de formation à la cybersécurité et à atteindre un niveau minimal
en matière de cybersécurité et de lutte contre la cybercriminalité.
Par ailleurs, l’hétérogénéité des dispositifs en place dans les différents pays limite considérablement toute
tentative de coopération régionale. Leur harmonisation doit donc être recherchée : les liens et échanges
seraient plus faciles et efficaces entre des institutions ayant des périmètres de responsabilité et des modes de
fonctionnement comparables ; des exigences et procédures identiques permettraient d’assurer la protection
des infrastructures transnationales de la même manière dans toute la région ; enfin, des dispositions pénales
et de procédure pénale harmonisées rendraient possible une véritable entraide judiciaire.
Dans ce domaine, la CEDEAO a mis en place depuis 2010 des dispositions d’harmonisation : l’acte additionnel
A/SA.1/01/10 relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO fixe
notamment les obligations de sécurité qui incombent aux responsables du traitement de telles données pour
en assurer la confidentialité ; l’acte additionnel A/SA.2/01/10 portant transactions électroniques dans l’espace
de la CEDEAO fixe les conditions d’admission de la signature électronique ; enfin, la Directive C/DIR/1/08/11
portant lutte contre la cybercriminalité dans l’espace de la CEDEAO adapte le droit pénal et la procédure
pénale des États membres au phénomène de la cybercriminalité.
Au niveau du continent, la Convention de l’Union africaine de 2014 sur la cybersécurité et la protection des
données à caractère personnel, dite Convention de Malabo, fixe les mesures de cybersécurité et de lutte
contre la cybercriminalité à prendre au niveau national. Au niveau mondial, la Convention de 2001 sur la
cybercriminalité, dite Convention de Budapest, ouverte à la signature de tous les pays, vise à mener une
politique pénale commune par l’adoption d’une législation adaptée, à intensifier la coopération entre les États
en matière pénale et à adopter des pouvoirs suffisants pour permettre une lutte efficace contre la
cybercriminalité.
La présente Stratégie régionale a pour objectif de tirer le meilleur profit de ces avancées, d’améliorer le niveau
des dispositifs nationaux de cybersécurité et de lutte contre la cybercriminalité, et de développer la
coopération et l’entraide entre les pays de la région. Elle s’appuie sur les meilleures pratiques
internationalement reconnues dans ces domaines.
OCWARC_CS2 - Stratégie régionale cybersécurité - cybercriminalité FR - V5 -2020 05 19.docx
2/15
Ces objectifs doivent être atteints sans préjudice des libertés fondamentales et des droits de l'homme et des
peuples contenus dans les déclarations, conventions et autres instruments adoptés au niveau régional,
continental et international.
SECTION II.
CONSIDÉRATIONS GÉNÉRALES
A. Objectif général
L’objectif général de cette stratégie régionale est d’établir le cadre normatif minimum à adopter par les États
dans leurs stratégies nationales et à mettre en œuvre dans leurs plans d'action sur la cybersécurité et la lutte
contre la cybercriminalité avant fin 2022, avec la pleine participation de la Commission de la CEDEAO au profit
des États membres de cette Communauté.
B. Définitions
Au sens de la présente Stratégie régionale, on entend par :
CSIRT (Computer Security Incident Response Team) : une équipe chargée de prévenir les risques et menaces
pesant sur les systèmes d’information et de réagir en cas d’incidents de sécurité ;
Cybercriminalité : les activités criminelles dont les ordinateurs et systèmes informatiques constituent soit
l'arme soit la cible principale. La cybercriminalité recouvre les délits habituels (fraude, contrefaçon, usurpation
d'identité ….), les délits liés au contenu (fichiers pédopornographiques, incitation à la haine raciale ...) et les
délits spécifiques aux ordinateurs et systèmes informatiques (attaque contre un système informatique, déni
de service, logiciel malveillant …) ;
Cyberespace : le réseau interdépendant des infrastructures utilisant les technologies de l'information,
comprenant notamment l'Internet, les réseaux de télécommunications, les systèmes d’information et les
objets connectés ;
Cybersécurité : l’ensemble des mesures et des actions destinées à protéger le cyberespace des menaces
associées à ses réseaux et à son infrastructure informatique ou susceptibles de leur porter atteinte. La
cybersécurité vise à préserver la disponibilité et l'intégrité des réseaux et de l'infrastructure ainsi que la
confidentialité des informations qui y sont contenues ;
Donnée numérique : toute représentation de faits, d’informations ou de concepts sous une forme qui se prête
à un traitement informatique ;
Hygiène informatique : l'ensemble des bonnes pratiques que chaque acteur du numérique devrait respecter
afin de préserver la sécurité du système d'information qu’il utilise ou pour lequel il assure une fonction
d’administrateur ;
Infrastructure critique : une infrastructure publique ou privée assurant un service essentiel, ainsi que les
réseaux et les données physiques ou numériques nécessaires à la fourniture de ce service ;
Opérateur d’infrastructure critique : opérateur public ou privé qui opère une infrastructure critique ;
Opérateur de service essentiel : opérateur public ou privé qui fournit un service essentiel ;
Protection des infrastructures critiques : l’ensemble des mesures et des actions destinées à protéger les
infrastructures critiques de l'ensemble des risques et menaces susceptibles de provoquer l'interruption totale
ou partielle des services essentiels qu'elles fournissent ;
OCWARC_CS2 - Stratégie régionale cybersécurité - cybercriminalité FR - V5 -2020 05 19.docx
3/15
Protection des services essentiels : l'ensemble des mesures et des actions destinées à protéger les services
essentiels de l'ensemble des risques et menaces susceptibles de provoquer leur interruption totale ou
partielle ;
Service essentiel : un service dont l’interruption totale ou partielle pourrait avoir un impact grave sur le
fonctionnement de l’État, sur l’économie du pays ou sur la santé, la sûreté, la sécurité et le bien-être des
citoyens ;
Réseaux : ensemble des moyens assurant l‘alimentation d’une infrastructure en produits ou services
nécessaires à son fonctionnement (communications, énergie, logistique, etc.) ;
Système d’information : tout dispositif isolé ou non, tout ensemble de dispositifs interconnectés assurant en
tout ou partie, un traitement automatisé de données en exécution d’un programme ;
Technologies de l’Information et de la Communications (TIC): technologies employées pour recueillir, stocker,
utiliser et envoyer des informations et incluant celles qui impliquent l’utilisation des ordinateurs ou de tout
système de communication y compris de télécommunication.
SECTION III.
OBJECTIF STRATÉGIQUE 1 : FORMULER UNE POLITIQUE NATIONALE ET UNE STRATÉGIE
NATIONALE DE CYBERSÉCURITÉ ET DE LUTTE CONTRE LA CYBERCRIMINALITÉ
Chaque État devrait adopter et mettre à jour au moins tous les cinq ans une politique nationale et une stratégie
nationale de cybersécurité et de lutte contre la cybercriminalité1, prenant en compte la présente Stratégie
régionale et fixant pour chacun de ces deux domaines :
- la situation du pays et les défis auxquels il fait face ;
- la vision politique du pays ;
- les objectifs stratégiques à atteindre, les délais et les priorités ;
- la gouvernance, les rôles et les responsabilités ;
- les objectifs en matière de :
o renforcement des dispositions législatives et règlementaires ;
o normes, standards et référentiels d'exigences ;
o sécurité des infrastructures critiques et des services essentiels ;
o renforcement du cadre institutionnel ;
o capacités techniques et ressources humaines qualifiées à acquérir ;
o sensibilisation, de communication, d’éducation et de formation ;
o prévention des menaces et gestion des risques ;
o signalement des incidents de sécurité ;
o détection et attribution des attaques ;
o réaction en cas d’attaque ;
o développement d’un écosystème de cybersécurité et de lutte contre la cybercriminalité ;
o synergie des actions à l’échelle nationale, concertation et coordination nationale ;
o coopération régionale et internationale ;
- les actions à mener pour atteindre ces objectifs, les acteurs concernés, les échéances et les budgets
estimatifs ;
- les moyens destinés à renforcer les institutions et les capacités et à en garantir la pérennité.
Chaque État devrait définir un mécanisme de suivi et d’évaluation au moins annuel des actions prévues par sa
stratégie nationale de cybersécurité et de lutte contre la cybercriminalité.
1
La politique nationale et la stratégie nationale peuvent faire l’objet de documents séparés, ou d’un unique document
de stratégie nationale qui indique la vision et les objectifs politiques du pays.
OCWARC_CS2 - Stratégie régionale cybersécurité - cybercriminalité FR - V5 -2020 05 19.docx
4/15
SECTION IV.
OBJECTIF STRATÉGIQUE 2 : RENFORCER LA CYBERSÉCURITÉ AVEC UN CYBERESPACE SÛR ET
SÉCURISÉ
Sous-objectif 2.1.
Établir une Autorité nationale de cybersécurité
Chaque État devrait établir et désigner une autorité nationale de cybersécurité, disposant des pouvoirs et des
moyens nécessaires pour assurer les fonctions suivantes, soit directement, soit par délégation d’une autorité
gouvernementale (si possible interministérielle2) :
- la gouvernance globale du dispositif national de cybersécurité (définition de la politique nationale et
des politiques sectorielles de cybersécurité, élaboration de la stratégie nationale et des stratégies
sectorielles, suivi des plans d’action, élaboration des textes législatifs et règlementaires, coordination
des tâches liées à la cybersécurité, pilotage des dispositifs de prévention et de réaction, animation des
échanges avec les parties prenantes publiques et privées, etc.) ;
- l’animation du dispositif national de cybersécurité, notamment au travers du CSIRT national ;
- la coordination avec les autorités en charge de la lutte contre la cybercriminalité ;
- la transposition des actes communautaires en matière de cybersécurité dans les textes nationaux ;
- le contrôle de la bonne application des Conventions internationales, des actes communautaires, de la
présente Stratégie régionale et des dispositions législatives et réglementaires nationales en matière
de cybersécurité ;
- le rôle de point de contact principal pour la coopération régionale et internationale.
L’autorité nationale de cybersécurité devrait pouvoir exercer sa mission sur l’ensemble des secteurs d’activité
du pays (services de l’État, télécommunications, énergie, santé, transports, banques …), en liaison avec les
autorités sectorielles compétentes et sans préjudice des pouvoirs dévolus à ces autorités.
Sous-objectif 2.2.
Établir des capacités d’alerte et de réaction en cas d’incident (CSIRT)
Chaque État devrait disposer d’un CSIRT national :
- Devant couvrir en priorité les services de l’État, les infrastructures critiques et les services essentiels
(les "bénéficiaires prioritaires") ;
- Chargé d’animer et de coordonner le réseau de CSIRT sectoriels, s’il en existe, en recherchant toutes
les synergies et subsidiarités possibles ;
- Capable d’assurer au moins les fonctions suivantes :
o rechercher et diffuser les alertes (vulnérabilités, risques, incidents), les mesures de
contournement des menaces, des guides et des bonnes pratiques ;
o Suivre les incidents au niveau national ;
o Traiter les incidents affectant les bénéficiaires prioritaires ;
o Participer aux réseaux régionaux et mondiaux des CSIRT ;
o Coordonner les réactions et la gestion de crise, en liaison avec les autorités, en cas d’attaque
majeure ;
o Recueillir les flux de renseignements pertinents ;
o Incorporer les systèmes et technologies pertinents pour collecter et analyser rapidement les
données pertinentes ;
o Établir un centre d'appel pour signaler les cyberattaques.
2
Cependant, en raison du manque de ressources, des changements rapides et du besoin d’être rapidement à niveau, il
est recommandé que les États petits et moyens établissent une autorité centrale, qui travaillera avec tous les autres
ministères, plutôt que de créer de grands comités interministériels qui peuvent parfois retarder la progression.
OCWARC_CS2 - Stratégie régionale cybersécurité - cybercriminalité FR - V5 -2020 05 19.docx
5/15
-
doté des moyens nécessaires (financiers, locaux et système d’information sécurisés, effectif suffisant
pour assurer une disponibilité permanente, personnel compétent, capacités de forensic, procédures,
site Internet …).
Chaque État devrait encourager la constitution de CSIRT sectoriels, destinés à assurer notamment, de manière
mutualisée au profit des opérateurs de certains secteurs d’activité, la recherche et la diffusion des alertes sur
les systèmes et applications numériques propres à ces secteurs d’activité, et le traitement des incidents. Il est
recommandé de colocaliser les CSIRT pour assurer un dialogue ouvert et un enrichissement intersectoriel.
Sous-objectif 2.3.
Mettre en œuvre une approche de gestion des risques
Chaque État devrait adopter et faire adopter par chaque opérateur concerné une approche de gestion des
risques, tant au niveau stratégique qu’au sein des organismes publics et privés, afin d’assurer au juste niveau
nécessaire la sécurité des réseaux, systèmes d’information et données numériques.
Chaque État devrait veiller à ce que les responsables de la cybersécurité, quel qu’en soit le niveau, bénéficient
du soutien hiérarchique nécessaire pour que leurs analyses et recommandations soient prises en
considération par les décideurs.
Sous-objectif 2.4.
Renforcer la cybersécurité des infrastructures critiques et des services essentiels
Chaque État devrait prioriser ses efforts en matière de cybersécurité sur ses infrastructures critiques et sur les
services essentiels.
Chaque État devrait se doter d’une procédure d’identification des réseaux, systèmes d’information et données
numériques essentiels pour le fonctionnement des infrastructures critiques et la fourniture des services
essentiels.
Chaque État devrait imposer aux opérateurs publics et privés qui ont la responsabilité des infrastructures
critiques et des services essentiels des mesures concrètes pour assurer la sécurité de ces réseaux, systèmes
d’information et données numériques, parmi lesquelles notamment les mesures minimales suivantes :
- le respect des mesures d’hygiène informatique reconnues internationalement ;
- un audit de sécurité des systèmes d’information par un organisme qualifié, à une périodicité
n’excédant pas deux ans ;
- la notification des incidents de sécurité à l’autorité nationale de cybersécurité ou au CSIRT national
(via son éventuel CSIRT sectoriel).
Sous-objectif 2.5.
Adopter des politiques de sécurité des systèmes d’information
Chaque État devrait imposer aux services de l’État et aux opérateurs d’infrastructures critiques et de services
essentiels, et recommander aux autres opérateurs, d’élaborer et d’appliquer des politiques de sécurité
décrivant les dispositions qu’ils prévoient pour assurer la sécurité de leurs systèmes d’information
(responsabilités, organisation, ressources humaines dédiées, équipement de cybersécurité, procédures de
protection, de détection et de réaction aux attaques, etc.).
Sous-objectif 2.6.
Établir un référentiel général de sécurité
Chaque État devrait établir un référentiel général de sécurité fixant les exigences minimales en matière de
sécurité des systèmes d’information (gouvernance, organisation, politique de sécurité des systèmes
d’information, cartographie des systèmes, exigences techniques, etc.) et désigner dans un document ayant
force juridique les organismes qui y sont soumis.
OCWARC_CS2 - Stratégie régionale cybersécurité - cybercriminalité FR - V5 -2020 05 19.docx
6/15
Sous-objectif 2.7.
Assurer le développement des compétences en matière de cybersécurité
Chaque État devrait veiller à la constitution d’une ressource humaine qualifiée suffisante formée aux
différents aspects de la cybersécurité :
- en introduisant des cursus de formation dans les différents domaines relatifs à la cybersécurité
(technique, juridique, etc.) dans ses programmes d’enseignement, notamment universitaire et
professionnel ;
- en promouvant le renforcement des compétences en cybersécurité chez tous les professionnels des
technologies de l’information et de la communication ;
- en encourageant la recherche et l’innovation dans le domaine de la cybersécurité ;
- en intégrant des exigences de connaissances éprouvées en matière de cybersécurité dans les appels
d'offres de services des gouvernements.
Sous-objectif 2.8.
Assurer le développement de l’écosystème de cybersécurité
Chaque État devrait veiller à favoriser la création d’organismes publics et privés aptes à apporter une
assistance aux opérateurs en matière de cybersécurité (fourniture de solutions sécurisées, sécurisation des
systèmes d’information, conseil, audit, traitement d’incidents, etc.).
SECTION V.
OBJECTIF STRATÉGIQUE 3 : RÉDUIRE LA CYBERCRIMINALITÉ PAR UN ENVIRONNEMENT
ADAPTÉ ET LA CAPACITÉ DE TRADUIRE LES DELINQUANTS EN JUSTICE
Sous-objectif 3.1.
Adopter des dispositions pénales et de procédures pénales
Chaque État devrait adopter les dispositions pénales et de procédure pénale prescrites ou recommandées au
niveau régional, continental et mondial.
Chaque État devrait adopter des sanctions proportionnées pour les infractions pénales ayant affecté ou tenté
d’affecter les systèmes d’information et données nécessaires au bon fonctionnement d’infrastructures
critiques et de services essentiels.
Sous-objectif 3.2.
Mettre en place des capacités de lutte contre la cybercriminalité
Chaque État devrait se doter des capacités minimales suivantes de lutte contre la cybercriminalité :
- Une unité opérationnelle de lutte contre la cybercriminalité au moins ;
- Une autorité de coordination s’il dispose de plusieurs unités de lutte contre la cybercriminalité ;
- Un laboratoire d’investigation numérique au moins ;
- Des capacités de recueil de preuves numériques ;
- Des procédures d’investigation et de recueil et de traitement des preuves numériques ;
- Des enquêteurs de l’État (officiers et agents de police judiciaire, experts judiciaires, etc.) formés aux
investigations numériques et au recueil et au traitement des preuves numériques ;
- Des magistrats formés à l’instruction et au jugement des affaires relevant de la cybercriminalité.
OCWARC_CS2 - Stratégie régionale cybersécurité - cybercriminalité FR - V5 -2020 05 19.docx
7/15
SECTION VI.
CONSIDÉRATIONS COMMUNES À LA CYBERSÉCURITÉ ET À LA LUTTE CONTRE LA
CYBERCRIMALITÉ
Sous-objectif 4.1.
Promouvoir la ratification de conventions
Chaque État devrait ratifier les conventions régionales, continentales et internationales nécessaires sur la
cybersécurité et la lutte contre la cybercriminalité.
Sous-objectif 4.2.
Assurer la promotion de la culture de cybersécurité
Chaque État devrait promouvoir une culture de la cybersécurité, en utilisant tous les moyens possibles
(communication gouvernementale, séminaires, médias, formation scolaire, universitaire et continue, etc.)
pour atteindre les objectifs suivants :
- La sensibilisation de tous aux cybermenaces ;
- La promotion de l’hygiène informatique et des autres bonnes pratiques numériques auprès du grand
public ;
- La sensibilisation des décideurs publics et privés à leurs rôles et responsabilités ;
- La mise en garde des citoyens sur les peines encourues en cas de commission d’actes de
cybercriminalité.
Sous-objectif 4.3.
Assurer la coordination nationale
Les États devraient mobiliser l’ensemble des acteurs publics et privés pour promouvoir et développer la
concertation, la coordination et les synergies entre toutes les parties prenantes, notamment :
- les autorités et les institutions chargées de la cybersécurité ou de la lutte contre la cybercriminalité ;
- les opérateurs des infrastructures critiques ;
- les fournisseurs de produits de cybersécurité ou sécurisés ;
- les prestataires de services de cybersécurité ;
- les institutions de formation et de recherche ;
- les organisations de la société civile ;
- les médias.
Sous-objectif 4.4.
Promouvoir la coopération régionale et internationale
Les États et la Commission de la CEDEAO devraient promouvoir et développer la coopération régionale et
internationale entre les autorités et institutions chargées de la cybersécurité et de la lutte contre la
cybercriminalité :
- Dans le domaine du développement des capacités : par le partage des bonnes pratiques et par la
recherche de synergies et de mutualisations intrarégionales, dans le domaine de la formation
notamment ;
- Dans le domaine institutionnel : pour harmoniser les stratégies, les organisations et les procédures
des pays de la région, notamment pour ce qui concerne la sécurité des infrastructures critiques
transnationales et la lutte contre la cybercriminalité ;
- Dans le domaine opérationnel : pour partager les alertes et les informations de cybersécurité entre
les CSIRT nationaux, et pour organiser des réponses communes, voire mettre en commun des moyens
d’intervention afin de lutter le plus efficacement possible contre les cybermenaces potentielles ou
avérées et contre la cybercriminalité ;
- Dans le domaine judiciaire : pour assurer l’entraide judiciaire en matière de cybercriminalité et l’accès
transnational aux preuves numériques ;
OCWARC_CS2 - Stratégie régionale cybersécurité - cybercriminalité FR - V5 -2020 05 19.docx
8/15
-
Par l’établissement d’un centre régional de simulation et de formation à la cybersécurité pour réduire
les coûts et promouvoir l'interopérabilité ;
En encourageant la création de structures conjointes de partage d'informations dans les
infrastructures critiques et les services essentiels (énergie, finance, santé, etc.) ;
En créant des mécanismes et des mémorandums d'accord communs avec d'autres organisations de
partage d'informations.
SECTION VII.
CONSIDÉRATIONS RÉGIONALES
Sous-objectif 5.1.
Établir un plan régional d’assistance à la mise en œuvre de la Stratégie régionale
Afin d’aider les États à décliner la présente Stratégie régionale, la Commission de la CEDEAO mettra en œuvre,
avec les moyens à sa disposition, le plan d’action régional figurant en annexe.
Sous-objectif 5.2.
Établir un dispositif de suivi de la Stratégie régionale
La Commission de la CEDEAO étudiera avec les États la possibilité de mettre en place un Comité technique
régional (CTR/RTC, Regional technical Committee) pérenne, composé d’un représentant de haut niveau fourni
par chaque État, placé sous la coordination de la Commission de la CEDEAO et qui se réunit au moins une fois
par an, pour assurer dans le temps le suivi des dispositions de la présente Stratégie et proposer les nouvelles
actions nécessaires.
Sous-objectif 5.3.
Établir un centre de coordination de la cybersécurité
La Commission de la CEDEAO étudiera avec les États l’opportunité de créer, à court ou moyen terme, un centre
de coordination de la cybersécurité pour la CEDEAO, chargé notamment de coordonner les diverses
démarches de renforcement des capacités conduites dans les différents pays en matière de cybersécurité et
de lutte contre la cybercriminalité, et d’organiser, quand cela est possible, les mutualisations et le partage des
résultats entre les pays.
Elle pourra envisager à plus long terme la mise en place d’une agence régionale chargée de promouvoir et
d’animer la coopération régionale en matière de cybersécurité et de lutte contre la cybercriminalité.
Sous-objectif 5.4.
Identifier et rechercher des financements pour les dispositifs nationaux de
cybersécurité et de lutte contre la cybercriminalité
La Commission de la CEDEAO, en liaison avec les États membres, étudiera les possibilités d’harmonisation, au
sein de la CEDEAO, des mécanismes de financement des dispositifs nationaux de cybersécurité et de lutte
contre la cybercriminalité, notamment en ce qui concerne les partenariats public-privé.
La Commission de la CEDEAO, en liaison avec les États membres, recherchera des financements auprès des
bailleurs de fonds pour répondre aux besoins prioritaires non satisfaits de ces États.
OCWARC_CS2 - Stratégie régionale cybersécurité - cybercriminalité FR - V5 -2020 05 19.docx
9/15
ANNEXE :
PLAN RÉGIONAL D’ASSISTANCE À LA MISE EN ŒUVRE DE LA STRATÉGIE RÉGIONALE
La présente annexe présente les activités qui seront mises en œuvre sous la coordination de la Commission
de la CEDEAO afin d’aider les États à décliner la présente Stratégie régionale. Des réunions périodiques seront
organisées pour en assurer le suivi.
1.
COMPOSANTE 1 : RENFORCER LA CYBERSÉCURITÉ
Améliorer le cadre stratégique
Activité CS1 : Évaluer le niveau de préparation des pays en matière de cybersécurité, identifier les écarts et
faire des recommandations
Échéance : décembre 2020
Le niveau de préparation des différents pays en matière de cybersécurité et de lutte contre la cybercriminalité
sera évalué par un examen exhaustif des politiques, lois et règlements, procédures et pratiques en place ou
en projet, ainsi que des diverses démarches en cours, notamment celles conduites actuellement ou dans un
passé récent dans le cadre d’assistances techniques (UIT, Conseil de l’Europe, Banque mondiale, cabinets
privés, etc.). Cette démarche permettra d’identifier, dans chaque pays, les écarts critiques de la situation
actuelle par rapport à la présente Stratégie régionale et aux bonnes pratiques internationalement reconnues
et de faire des recommandations pour les combler.
Activité CS2 : Élaborer une stratégie régionale de cybersécurité et une politique régionale de protection des
infrastructures critiques (rappelé pour mémoire)
Activité CS3 : Décliner dans les pays la stratégie régionale de cybersécurité et la politique régionale de
protection des infrastructures critiques
Échéance : août 2021
Un atelier réunira dans chaque pays les autorités concernées par la cybersécurité, la lutte contre la
cybercriminalité et la protection des infrastructures critiques, dans le but de :
- valider l’analyse et les recommandations rédigées lors de l’activité CS1 ;
- élaborer un plan de mise en œuvre (mentionnant notamment les actions concrète, les institutions en
charge et le calendrier).
OCWARC_CS2 - Stratégie régionale cybersécurité - cybercriminalité FR - V5 -2020 05 19.docx
10/15
Sensibiliser les usagers à la cybersécurité et les décideurs à leurs responsabilités dans la sécurisation du
cyberespace
Activité CS4 : Concevoir les outils de promotion de l’hygiène informatique3 auprès du grand public et de
sensibilisation des décideurs publics et privés à leurs responsabilités
Échéance : avril 2021
Cette activité consistera à concevoir, de manière mutualisée pour l’ensemble des pays, les outils nécessaires
aux campagnes de sensibilisation qui seront conduites dans le cadre de l’activité CS5.
Seront ainsi définis :
- une typologie des diverses cibles des campagnes de sensibilisation et de responsabilisation :
o les citoyens utilisant Internet ou d’autres services numériques ;
o les autorités de la Commission de la CEDEAO ;
o les décideurs et agents publics, notamment ceux chargés de la conception ou de la mise en œuvre
des politiques de cybersécurité et de lutte contre la cybercriminalité ;
o les opérateurs fournissant des outils et des services numériques, les administrateurs de réseaux,
les administrateurs de la sécurité, les régulateurs ;
o les responsables des organismes privés des différents secteurs d’activité et tout particulièrement
ceux des infrastructures critiques nationales ;
o les organismes de recherche et d’enseignement, etc.
- des outils génériques, adaptés à chaque public concerné, destinés à la sensibilisation de tous les
acteurs du numérique (administration, entreprises, grand public …) aux dangers du cyberespace, aux
bonnes pratiques d’hygiène informatique et à la responsabilité de chacun dans la sécurisation du
cyberespace, ainsi que les modalités les plus adaptées pour leur diffusion vers chacun.
Outre les outils de sensibilisation libres de droits disponibles en français, en anglais ou en portugais, en
particulier sous forme de MOOC (Massive Open Online Course), seront considérées les initiatives déjà prises
dans ce domaine par les divers pays, afin d’étendre dans les meilleurs délais aux autres pays celles qui auront
montré leur efficacité. La démarche cherchera toutes les mutualisations possibles, comme par exemple
l’utilisation de Radio CEDEAO. Ces outils de sensibilisation seront mis en ligne sur le portail de connaissance
et de formation dont la réalisation est prévue dans le cadre de l’activité CS8.
Activité CS5 : Conduire des campagnes de sensibilisation
Échéance : novembre 2022
Des campagnes de sensibilisation seront ensuite conduites vers ces diverses audiences à l’aide des outils
conçus dans le cadre de l’activité CS4. Ces campagnes reposeront grandement sur des formateurs nationaux
qui seront formés et préparés à cette tâche.
3
https://www.enisa.europa.eu/news/european-cybersecurity-month-2019-is-launched
«Cyber-hygiène» utilise la métaphore de l’hygiène pour informer sur les bonnes habitudes en matière de cybersécurité
qui font partie de la routine quotidienne de chacun. Avoir des pratiques de sécurité cybernétiques saines peut donner
aux utilisateurs plus de confiance en utilisant leurs appareils, qu’il s’agisse d’un ordinateur, d’un téléphone intelligent,
d’un appareil portable ou de tout autre objet connecté à Internet. Le message clé à retenir indique que la cyber-hygiène
est une habitude que vous apprenez dès le plus jeune âge et qui reste une routine quotidienne.
OCWARC_CS2 - Stratégie régionale cybersécurité - cybercriminalité FR - V5 -2020 05 19.docx
11/15
Améliorer la capacité à gérer les incidents de sécurité
Activité CS6 : Auditer les CSIRT existants
Échéance : novembre 2021
Les 6 CSIRT existants (Bénin, Burkina Faso, Côte d’Ivoire, Ghana, Nigéria et Sénégal) et ceux qui seraient mis
en place entre-temps feront tous l’objet d’un audit organisationnel, fonctionnel et capacitaire sur la base d’un
référentiel CSIRT établi à partir des normes et bonnes pratiques internationalement reconnues en la matière4.
Un plan d’action destiné à combler les principales faiblesses identifiées sera ensuite proposé aux responsables
de chaque pays concerné au cours d’un atelier.
Activité CS7 : Identifier les besoins et modalités d’établissement de CSIRT nationaux
Échéance : juin 2021
Dans chacun des pays ne disposant pas encore de CSIRT (Cap-Vert, Gambie, Guinée, Guinée-Bissau, Liberia,
Mali, Mauritanie, Niger, Sierra Leone et Togo, sauf en cas de création entre-temps dans ces pays), un atelier
réunira les responsables de haut niveau des administrations concernées pour présenter le référentiel CSIRT
établi dans le cadre de l’activité CS6, puis identifier les modalités (institutionnelles, légales, organisationnelles
et financières complémentaires à celles déjà prévues dans le cadre de l’activité CS3) et le calendrier
permettant de mettre en place dans les meilleurs délais un CSIRT national.
Pour les pays disposant déjà d’un CSIRT mais pas à vocation nationale, l’atelier prévu en conclusion de l’activité
CS6 comportera une présentation des capacités dont ils ne disposeraient pas encore au sein de leur CSIRT et
qui seraient nécessaires pour mettre en place un CSIRT national, et l’identification les modalités de la mise en
place des capacités requises.
Activité CS8 : Assurer des formations
Échéance : novembre 2022
Un soutien sera apporté à la formation des agents des différents pays par les actions suivantes :
- La constitution d’un portail de connaissance et de formation regroupant des supports de formation,
si possible dans les trois langues, dans tous les domaines de la cybersécurité et de la lutte contre la
cybercriminalité5. Ce portail abritera également le glossaire trilingue qui sera établi lors de l’activité
CC7 pour doter l’ensemble des pays d’un langage commun et faciliter ainsi la coopération régionale y
compris entre pays ne parlant pas la même langue. Il pourra aussi comporter des laboratoires virtuels
de formation et d’entrainement, notamment sur les investigations numériques.
- L’organisation de formations, selon un syllabus qui sera établi à cette fin, notamment au profit du
personnel des CSIRT (CSIRT Basic Course, Technical, Operational, Legal and Cooperation, etc.). Ces
formations seront le plus souvent mutualisées entre pays partageant la même langue. Elles pourront
4
Comme par exemple les documents CSIRT Services Framework du FIRST, CSIRT Resources de Carnegie Mellon University,
et Baseline capabilities for national / governmental CERTs (Part 1 Operational Aspects, Part 2 Policy Recommendations)
ou Guide de création d’un CSIRT pas à pas de l’ENISA :
https://www.first.org/education/FIRST_CSIRT_Services_Framework_v2.0.pdf
https://resources.sei.cmu.edu/library/asset-view.cfm?assetID=505118
https://www.enisa.europa.eu/publications/baseline-capabilities-for-national-governmental-certs
https://www.enisa.europa.eu/publications/baseline-capabilities-of-national-governmental-certs-policyrecommendations
https://www.enisa.europa.eu/publications/csirt-setting-up-guide-in-french
5
Notamment par des liens sur des portails existants, dans diverses langues, comme ceux de l’US ISC-CERT (https://icscert-training.inl.gov/learn) ou de Carnegie Mellon University
(https://www.sei.cmu.edu/publications/webinars/index.cfm).
OCWARC_CS2 - Stratégie régionale cybersécurité - cybercriminalité FR - V5 -2020 05 19.docx
12/15
-
également s’appuyer sur des organismes nationaux ou multinationaux ayant une expérience de
formation dans les domaines de la cybersécurité ou de la lutte contre la cybercriminalité.
La participation à des entrainements de différents niveaux (interne à un organisme, multi-acteurs
autour du CSIRT national, multinational avec la participation de plusieurs CSIRT nationaux et
régionaux), soit sur table (Table-Top Exercise), soit plus élaborés. Ces entrainements pourront
s’appuyer sur des organismes nationaux ou multinationaux, comme l’UIT.
Ces formations porteront à la fois sur des sujets techniques de cybersécurité (durcissement des serveurs,
évaluation des vulnérabilités, méthodologies de détection des intrusions, etc.) et des aspects organisationnels,
la gestion des crises par exemple. En l’absence de CSIRT actuellement opérationnel, elles seront étendues à la
dimension organisationnelle (gouvernance, financement futur, etc.), au-delà de la pure dimension technique
et opérationnelle de traitement des incidents.
Dans la mesure du possible, cette activité visera à former des formateurs nationaux qui pourront ensuite
partager leurs connaissances et leur expérience avec un large public.
2.
COMPOSANTE 2 : COMBATTRE LA CYBERCRIMINALITÉ
Améliorer le cadre légal de la lutte contre la cybercriminalité
Activité CC1 : Analyser le cadre légal de la lutte contre la cybercriminalité
Échéance : juin 2021
Dans chaque pays, en complément des actions qui seront proposées lors des activités de la composante 1
pour renforcer le cadre légal de la cybersécurité, et en s’appuyant sur les études déjà réalisées, comme celles
du Conseil de l’Europe par exemple, une analyse portera sur le cadre légal de la lutte contre la cybercriminalité,
en vigueur ou en projet, en particulier l’ensemble des dispositions pénales et de procédure pénale du Code
pénal, du Code de procédure pénale et éventuellement d’autres textes (notamment les lois sur la
cybercriminalité, sur les preuves électroniques, sur les transactions électroniques, sur les communications
électroniques ou encore sur la protection des données à caractère personnel).
Dans les pays où une démarche identique a été récemment conduite en national ou dans le cadre d’autres
projets d’assistance, l’analyse portera également sur les évolutions du cadre légal proposées par cette
démarche.
Activité CC2 : Élaborer les plans de renforcement du cadre légal de la lutte contre la cybercriminalité
Échéance : août 2021
A l’issue de l’activité CC1, les actions qui auront été jugées nécessaires pour renforcer le cadre légal de la lutte
contre la cybercriminalité seront proposées aux responsables concernés de chaque pays à l’occasion d’un
atelier au cours duquel sera élaboré le plan de leur mise en œuvre (institutions, chronogramme, etc.).
Renforcer la capacité de réponse à la cybercriminalité
Activité CC3 : Établir une liste de référence des capacités minimales des laboratoires centraux
d’investigation numérique
Échéance : juillet 2020
Une liste de référence des capacités minimales dont doit disposer un laboratoire central d’investigation
numérique sera établie et diffusée à tous les pays.
OCWARC_CS2 - Stratégie régionale cybersécurité - cybercriminalité FR - V5 -2020 05 19.docx
13/15
Activité CC4 : Assurer des formations à l’investigation numérique
Échéance : novembre 2022
En complément de l’activité CS8, des formations à l’investigation numérique seront organisées au profit
d’experts des laboratoires d’investigation numérique, de policiers et de gendarmes des différents pays. Une
partie importante de ces formations sera dédiée à l’intervention urgente, sous la forme de formation aux
formateurs. Les formations porteront sur l’analyse forensique (disques durs, téléphones portables, mémoires
volatiles) et les investigations cybercriminelles (stratégie d'investigation, demandes d’informations aux
opérateurs télécom et fournisseurs d’accès à Internet, renseignement de sources ouvertes (OSINT, Opensource intelligence), etc.).
Activité CC5 : Élaborer des procédures pour les investigations numériques
Échéance : septembre 2021
Simultanément à l’activité CC3, un manuel de procédures d’investigation numérique sera établi, en s’appuyant
sur des structures appropriées (INTERPOL, EUROPOL, Conseil de l’Europe, G5 Sahel, etc.), et mis à la disposition
de tous les pays.
Activité CC6 : Diffuser des documents méthodologiques de mise en place de Politiques de sécurité des
systèmes d’information (PSSI)
Échéance : août 2022
La mise en place d’un dispositif national de cybersécurité dans les différents pays portera ses fruits si chacun
des grands organismes de ces pays, et notamment des opérateurs d’infrastructures critiques publiques et
privées, met en œuvre des dispositions internes de cybersécurité. Ces dispositions, de nature technique et
non-techniques (responsabilités, organisation, ressources humaines dédiées, procédures, équipement de
sécurité, budget, etc.), doivent être décrites dans un document interne, appelé Politique de sécurité des
systèmes d’information (PSSI), que chaque organisme doit ensuite mettre en application.
Des documents méthodologiques sur la rédaction et la mise en œuvre d’une PSSI seront établis et mis en ligne
sur le portail de connaissance et de formation dont la réalisation est prévue dans le cadre de l’activité CS8.
Activité CC7 : Définir et adopter un langage standardisé commun
Échéance : août 2022
Un langage standardisé commun est indispensable pour que les divers organismes traitant de cybersécurité
ou de lutte contre la cybercriminalité puissent coopérer aisément et sans ambiguïté, tant au sein des différents
pays que dans la coopération régionale et internationale.
A cette fin, un glossaire multilingue de cybersécurité et de lutte contre la cybercriminalité sera constitué, en
s’appuyant principalement sur les documents disponibles dans le monde et les pratiques internationalement
reconnues6. Il pourra ensuite évoluer en fonction des besoins identifiés lors des actions de coopération
nationale ou internationale.
6
Pris notamment parmi les documents de taxinomie suivants :
https://www.sans.org/reading-room/whitepapers/threatintelligence/evaluation-comprehensive-taxonomiesinformation-technology-threats-38360
https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/enisa-threat-landscape/threattaxonomy
https://www.misp-project.org/taxonomies.pdf
http://ec.europa.eu/information_society/newsroom/image/document/201830/cybersecurity_incident_taxonomy_00CD828C-F851-AFC4-0B1B416696B5F710_53646.pdf
OCWARC_CS2 - Stratégie régionale cybersécurité - cybercriminalité FR - V5 -2020 05 19.docx
14/15
La version en vigueur sera mise en ligne sur le portail de connaissance et de formation dont la réalisation est
prévue dans le cadre de l’activité CS8, et constituera à tout moment la version de référence pour l’ensemble
des pays.
https://www.us-cert.gov/incident-notification-guidelines
https://www.us-cert.gov/sites/default/files/publications/NCCIC_Cyber_Incident_Scoring_System.pdf
https://www.enisa.europa.eu/publications/using-taxonomies-in-incident-prevention-detection/
OCWARC_CS2 - Stratégie régionale cybersécurité - cybercriminalité FR - V5 -2020 05 19.docx
15/15
Related documents
Fiche de poste saisonnier
Fiche de poste saisonnier
Download
advertisement