1 / 21

Cadre institutionnel et réglementaire : un revue de l’expérience internationale Atelier e-Sécurité – 19-20 juin 2006

Cadre institutionnel et réglementaire : un revue de l’expérience internationale Atelier e-Sécurité – 19-20 juin 2006. Contenu. La Notion de CIIP – Protection des infrastructures d’information critiques: Définitions et implications Expériences internationales.

sailor
Download Presentation

Cadre institutionnel et réglementaire : un revue de l’expérience internationale Atelier e-Sécurité – 19-20 juin 2006

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Cadre institutionnel et réglementaire : un revue de l’expérience internationale Atelier e-Sécurité – 19-20 juin 2006

  2. Contenu La Notion de CIIP – Protection des infrastructures d’information critiques: Définitions et implications Expériences internationales

  3. The International CIIP Handbook 2006 20 pays couverts Australie, Autriche, Canada, Danemark, Finlande, France, Allemagne, Irlande, Italie, Japon, Corée, Pays-Bas, Nouvelle Zélande, Norvège, Singapore, Espagne, Suède, Suisse, Angleterre, États-unis. www.crn.ethz.ch

  4. Terminologie et définition: CI/CII • CI - Infrastructure Critique : systèmes dont la non disponibilité ou la destruction pourrait avoir un effet débilitant sur la sécurité nationale et sur le bien-être économique et social d’une nation • CII - Infrastructure d’Information Critique :composante de l’infrastructure d’information globale ou nationale qui est essentielle afin d’assurer la continuité des services proposés par les infrastructure critiques

  5. Les risques informatiques: stratégiques? • Les sociétés modernes se reposent de plus en plus fortement sur les infrastructures, notamment les infrastructures d’informations • Les infrastructures d’informations critiques font le lien avec les autres systèmes d’infrastructures et forment des interdépendances, avec comme impact • Les formes des menaces ainsi que leur capacité à faire des dommages évoluent de manière rapide • De nouveaux systèmes d’interrelations émergent • Les risques augmente avec les nouvelles technologies et la convergence

  6. Terminologie et définitions: CI/CII (suite) • De fait, il s’agit bien des services bien plus que des infrastructures qui sont le centre d’attention. • De manière similaire, les services offerts par le e-gouvernement peuvent être classés par leur criticité

  7. Notion stratégique de CIIP La notion de protection des infrastructures d’informations critiques se trouvant à l’intersection des autres infrastructures critiques renforce le besoin d’un approche nationale stratégique de la e-sécurité.

  8. Différents points de vues… • La Protection d’Infrastructures (d’Information) Critiques peut être abordée de différents points de vue: • Système / technique • (e-)business • Legal-exécutif • Militaire • Sécurité Nationale

  9. … les complications… • Les points de vues n’ont pas de délimitations claires et se recoupent • Divergences des différents acteurs sur les priorités et les besoins de protection • Difficulté d’allouer des responsabilités et de s’accorder sur l’adoption de moyens politiques ou règlementaires appropriés

  10. … les problèmes en résultant • Le concept de Criticalité change en fonction de qui en parle • Dans un contexte socio-politique: la notion de Criticalité est lié à la manière dont est perçue un dommage ou une interruption de service, et quel en est l’impact politique • Perte de confiance • Perte d’image

  11. Questions Clés • Politique e-sécurité : • Quels sont les secteurs identifiés comme critiques • Quelles sont les approches nationales en application et les outils institutionnels et réglementaires utilisés

  12. Secteurs Critiques les plus cités Parmi les 32 « secteurs » choisis, les plus souvent cités par les 20 pays étudiés sont: • Banque et Finance (20) • (Télé-)Communication / TIC (20) • Énergie/Électricité (20) • Transport/Logistique/Distribution (18) • Santé (15) • Eau (distribution) (15) • Gouvernement Central / Services publics (12) • Service d’urgences et de secours (12) Ces secteurs représentent le cœur de sociétés modernes, et potentiellement les domaines où une interruption de services de grande envergure serait le plus dévastateur.

  13. Suisse – Secteurs critiques • Administration Publique • Défense, service d’urgence et de secours • (Tele-)communication • Énergie • Finance • Industrie • Media • Santé • Transport et logistique • Eau

  14. Suisse – Initiatives et politiques • Exercice stratégique (SFU97). • Identifie les risques liées au systèmes d’information dans le contexte des infrastructures du pays • Stratégie pour la société de l’information (1998) • Mesures pour promouvoir une société de l’information • Rapport de politique de sécurité (2000) • Reconnaît le concept de CII et ses implications • Information Assurance (2000) • Recommande l’établissement d’un mécanisme de gestion de crise et la création d’un task force • INFORMO 2001 • Revue des processus Info assurance • Information Assurance Policy (2002) • Prévention, détection, gestion de crise, solutions techniques • Analyse des risques (2002 -) • Analyse des risques et de l’interdépendance des secteurs critiques avec les infrastructures d’information critique

  15. Suisse – Aspects institutionnels Agences publiques: • Unité stratégique nationale pour les TI (ISB) • Office fédéral des communications (OFCOM) • Office féderal de l’approvisionnement (NES) • Office fédéral des TI, Systèmes et telecom (FOITT) • Unité de coordination pour le cyber crime (CYCO) • Département de la Défense (DDPS)

  16. Suisse – Aspects institutionnels (suite) Partenariats Public-Privés et Association professionnelles • Association Infosurance (1999) • Office fédéral de l’approvisionnement • Club de la Sécurité Informatique Suisse (1989) • Information Systems Audit and Control Association – filiale suisse

  17. Suisse – Détection et prévention • Centre d’analyse et de suivi pour l’intégrité des données (MELANI) – 2003 • Task force sur l’intégrité des données (SONIA) - 2003 • SWITCH CERT

  18. Suisse – lois et législations Un nombre d’articles du code pénal concerne la protection des données et autres aspects de e-sécurité: • Article 143 (accès non-autorisé aux données) • Article 143bis (accès non-autorisé aux systèmes de traitement des données) • Article 144 (dommage à la propriété) • Article 144bis (dommages aux données) Article 147 (usage inapproprié d’un ordianteur) La suisse a signé en 2001 la “Convention on Cybercrime of the Council of Europe” De plus, le code pénal se conforme déjà avec les articles internationaux concernant la propriété intellectuelle, la fraude informatique, la pornographie, notamment.

  19. Messages clés • Les points de vues varient en ce qui concerne la protection des infrastructure d‘information critique • Les vues divergentes des acteurs d‘un pays peuvent devenir un obstacle important • Les partenariats avec le secteur privé sont cruciaux afin de profiter des compétences respectives • Les programmes de détection (Early Warning systems) sont perçus comme important, mais souvent ne sont pas fonctionnels

  20. Cas de la Tunisie

  21. Questions

More Related