union internationale des tétécommunications
LA CYBERCRIMININALITE
POUR LES PAYS EN
DEVELOPPEMENT
Tous droits réservés. Aucune partie du présent rapport ne peut être reproduite sous quelque forme que
ce soit, sans l'autorisation écrite préalable de l'UIT.
Les dénominations et classifications employées dans le présent rapport n'impliquent l'expression
d'aucune opinion de la part de l'Union internationale des télécommunications concernant le statut
juridique ou autre de tel ou tel territoire, ni l'acceptation ou l'approbation d'une quelconque frontière.
Le terme «pays» utilisé dans le présent rapport désigne un pays ou un territoire.
Déni de responsabilité
Les références faites à des pays, sociétés, produits, initiatives ou directives spécifiques n’impliquent
pas que l’UIT approuve ou recommande ces pays, sociétés, produits, initiatives et directives, de
préférence à d’autres, de nature similaire, mais dont il n’est pas fait mention. Les opinions exprimées
dans cette publication sont celles de l’auteur et n’engagent pas l’UIT.
Préface iii
Les technologies de l’information et de la communication (TIC) permettent de fournir des services de
base dans les domaines, entre autres, de la télésanté, de la télééducation, du commerce électronique et
de la cybergouvernance aux populations des pays en développement dans lesquels de nombreux
Dr Hamadoun Touré upon his election as ITU Secretary-General in his office at the Plenipotentiary Conference, Antalya,Turkey
citoyens n’ont toujours pas accès à des infrastructures physiques telles que les hôpitaux lesécoles ou
les services publics de l’administration.
Les transactions électroniques entre médecins et patients, l’accès aux services publics administratifs en
ligne et l’utilisation de l’internet pour vendre des biens et des services à des clients situés dans des
zones éloignées sont désormais possibles grâce aux progrès réalisés dans le domaine des technologies
de l’information et des télécommunications. Les applications offertes par les technologies de
l’information et de la communication sont en passe de combler certaines difficultés d’accès aux
services de base et de donner les moyens aux pays en développement de devenir des participants à part
entière de la société de l’information.
Toutefois, on ne pourra profiter de tous les avantages offerts par la société de l’information qu’au prix
d’un travail collectif de toutes les parties prenantes pour résoudre des problèmes tels que la prévention
de la destruction des informations et données, la protection des données, l’authentification des
transactions électroniques et la lutte contre la menace globale que représente le cybercrime. Le vol
d’identité, l’envoi de messages non désirés, les techniques de «phishing», les logiciels malveillants tels
que les chevaux de Troie, les vers ou les virus, se répandent par delà les frontières nationales, affectant
les ordinateurs des utilisateurs à travers le monde.
Pour tirer profit des avantages offerts par la cybersécurité, les secteurs public et privé de tous les pays
doivent avoir une compréhension commune des défis à relever. Il est essentiel que la communauté
internationale poursuive ses efforts pour réduire la fracture de la connaissance entre les pays et à
l’intérieur de ceux-ci dans cet important domaine.
Ce guide de référence a été conçu dans le but de fournir aux pays en développement une meilleure
compréhension des principaux problèmes rencontrés actuellement en matière de cybersécurité, mais
aussi pour promouvoir l’échange des meilleures pratiques, présenter des solutions mises en place dans
d’autres pays et fournir des références dans ce vaste domaine.
J’espère que ce guide répondra aux besoins des utilisateurs, des responsables politiques, des
régulateurs et des fournisseurs de services, en particulier dans les pays en développement, à l’heure où
des solutions sont échafaudées pour profiter de tous les avantages qu’offrent les télécommunications et
les technologies de l’information et de la communication au profit du développement social et
économique.
Hamadoun I. Touré
Directeur
Bureau de développement des télécommunications
La Conférence mondiale de développement des télécommunications a chargé le BDT, à travers le
Programme «cyberstratégies et cyberservices/applications», de concevoir des outils visant à faciliter
l’échange d’informations sur les meilleures pratiques, les technologies et les questions de politique
générale. C’est dans ce cadre, et afin de répondre à l’une des priorités de ce Programme qui consiste à
«renforcer la sécurité et la confiance dans l’utilisation des réseaux publics pour les
cyberservices/applications», que le guide de la cybersécurité pour les pays en développement a été
préparé.
Ce guide a été élaboré dans le but de fournir un outil aux pays en développement pour leur permettre
de mieux comprendre certains enjeux liés à la sécurité des technologies de l’information, ainsi que des
exemples de solutions mises en place par d’autres pays pour faire face à ces problèmes. Il cite
également des références permettant d’obtenir de plus amples renseignements sur le sujet de la
cybersécurité. Ce guide ne constitue pas un document ou un rapport exhaustif sur le sujet, mais vise à
souligner les principaux problèmes que rencontrent actuellement les pays qui veulent bénéficier des
avantages offerts par la société de l’information.
Son contenu tient compte des besoins des pays en développement et des pays les moins avancés dans
l’utilisation des technologies de l’information et de la communication pour offrir des services de bases
dans différents secteurs, et de l’importance de développer la capacité locale et une conscience accrue
de toutes les parties prenantes.
Lors de l’élaboration du contenu et afin d’éviter toute duplication dans le traitement des thèmes, les
travaux déjà réalisés par le Commission d’études 17 de l’UIT-T et les autres travaux et publications
relatifs à ce domaine ont été dûment pris en compte.
Ce guide a été élaboré par Mme Solange GHERNAOUTI-HELIE, Professeur à l’Université de
Lausanne, qui a travaillé en tant qu’expert UIT en collaboration étroite avec et sous la supervision de
M. Alexander NTOKO, Chef de l’Unité des e-stratégies du BDT.
Dr Hamadoun Touré, ITU Secretary-General; Mr Ray Anthony Roxas-Chua III, Secretary of the Commission on Information and Communication Technology, Philippines; and Mr Alexey Soldatov, Deputy Minister
Enjeux de société, enjeux économiques, enjeux politiques, enjeux humains, qu’elle soit dénommée
sécurité de l’informatique et des télécoms ou cybersécurité, la sécurité informationnelle touche à la
sécurité du patrimoine numérique et culturel des individus, des organisations et des nations. Enjeux
complexes dont la satisfaction passe par une volonté politique de définir et de réaliser une stratégie de
développement des infrastructures et services du numérique (e-services) qui intègre une stratégie
pluridisciplinaire de la cybersécurité cohérente, efficace et contrôlable.
Obtenir un niveau de sécurité informatique suffisant pour prévenir les risques technologique et
informationnel est primordial pour le bon fonctionnement des Etats et des organisations. En effet,
l’adoption des technologies du numérique, la dépendance des organisations et des Etats à ces mêmes
technologies et l’interdépendance des infrastructures critiques, introduisent un degré de vulnérabilité
non négligeable dans le fonctionnement normal des Institutions. Ceci peut mettre en péril leur
pérennité ainsi que la souveraineté des Etats.
L’objet de la cybersécurité est de contribuer à préserver les forces et les moyens organisationnels,
humains, financiers, technologiques et informationnels, dont se sont dotées les Institutions, pour
réaliser leurs objectifs. La finalité de la sécurité informatique est de garantir qu’aucun préjudice ne
puisse mettre en péril leur pérennité. Cela consiste à diminuer la probabilité de voir des menaces se
concrétiser, à en limiter les atteintes ou dysfonctionnements induits, et autoriser le retour à un
fonctionnement normal à des coûts et des délais acceptables en cas de sinistre.
La démarche de cybersécurité est un projet de société dans la mesure où chacun est concerné par sa
réalisation. Sa validité sera renforcée si une cyberéthique, un comportement cohérent vis-à-vis des
Plenipotentiary Conference 2002 Mr Houlin Zhao, Director,TSB congratulates Mr Hamadoun I. Touré, BDT Director, for his re-election
technologies de l’information est développée et si une véritable politique de sécurité stipule ses
exigences de sécurité envers les utilisateurs (acteurs, partenaires, prestataires) des nouvelles technologies.
Pour mettre en place une démarche de cybersécurité, il est important de pouvoir identifier
correctement les valeurs et les biens à protéger afin de circonscrire le périmètre de sécurité à mettre en
place pour les protéger efficacement. Ceci implique une approche globale, pluridisciplinaire et
systémique de la sécurité. La cybersécurité n’est pas compatible avec un monde libertaire, fluide et
non contrôlé. Il faut établir des grands principes d'éthique, de responsabilité, de transparence au travers
d’un cadre légal approprié et mettre en vigueur des règles du jeu réalistes. Celles-ci doivent être
applicables non seulement localement mais aussi par l'ensemble de la communauté internationale et
compatibles avec les directives internationales existantes.
Afin de ne pas contribuer à favoriser le développement de la criminalité, les infrastructures de télécommunication
mises en place doivent intégrer des mesures de sécurité adaptées tant sur le plan
technique que juridique. Les cyberattaques prennent diverses formes – prise de contrôle clandestine
d'un système, déni de service, destruction ou vol de données sensibles, hacking (piratage de réseau de
télécommunication), cracking (craquage de protections logicielles des programmes), phreaking
(sabotage, prise de contrôle de centraux téléphoniques), etc. – et ont toutes des conséquences négatives
pour les organisations ou individus qui en sont victimes.
Considérées comme un système, les télécommunications (infrastructures et services) répondent à une
problématique de sécurité peu différente de celle des ressources informatiques, dont la résolution
répond aux mêmes impératifs techniques, organisationnels et humains. Protéger les informations lors
de leur transfert est nécessaire mais ne suffit pas car ces dernières sont tout aussi vulnérables, sinon
plus, lorsqu’elles sont traitées et mémorisées. Ainsi, la cybersécurité doit s’appréhender d’une manière
globale. Des solutions sécuritaires d’ordre uniquement technologique ne peuvent pas suppléer à un
vi Résumé
manque de gestion cohérente et rigoureuse des besoins, mesures, procédures et outils de la sécurité. La
prolifération désordonnée d’outils de sécurité ne peut qu’entraver l’usage, qu’alourdir l’exploitation ou
encore dégrader les performances des ressources informatiques. La maîtrise de la sécurité
informatique est une question de gestion dont les outils et les services de sécurité constituent une
partie liée à l’administration opérationnelle des systèmes. Ainsi par exemple, chiffrer des données
pour les rendre incompréhensibles lors de leur transmission ne sert à rien, si par la suite, elles sont
stockées de manière non sécurisée. De même, la mise en place d’un firewall est de peu d’utilité si des
connexions peuvent s’établir sans passer par ce système.
Le développement des activités basées sur le traitement de l’information permettant une réduction de
la fracture digitale passe par la mise à disposition:
– d’infrastructures informationnelles fiables et sécurisées (accessibilité, disponibilité, sûreté de
fonctionnement et continuité des services garanties);
– de politiques d’assurance;
– d’un cadre légal adapté;
– des instances de justice et de police compétentes dans le domaine des nouvelles technologies
et capables de coopérer au niveau international avec leurs homologues;
– d’outils de gestion du risque informationnel et de gestion de la sécurité;
– d’outils de mise en œuvre de la sécurité qui permettent de développer la confiance dans les
applications et services offerts (transactions commerciales et financières, e-santé,
e-gouvernement, e-vote, etc.) et dans les procédures qui permettent le respect des droits de
l’Homme notamment pour ce qui concerne les données à caractère personnel.
La maîtrise du patrimoine numérique informationnel, la distribution de biens intangibles, la
valorisation des contenus ou la réduction de la fracture numérique, sont autant de problèmes d’ordre
économique et social, dont la résolution ne pourra être réduite à la seule dimension technologique de
la sécurité informatique. Ainsi, en apportant une réponse adéquate aux dimensions humaine, juridique,
économique et technologique des besoins de sécurité des infrastructures numériques et des utilisateurs,
la confiance pourrait s’instaurer et générer un développement économique profitable à tous les acteurs
de la société.
Hamadoun Touré congratulated by Thomas L. Siebert, Chairman of the Conference, when taking the oath of office
En guise d’introduction à la cybersécurité, l’accent est mis sur ce qui a changé avec les technologies
du numérique, la dématérialisation des informations et l’usage extensif des réseaux de télécommunication.
Les enjeux pour l’évolution des sociétés sont présentés pour introduire la notion d’impératif
de sécurité informatique et télécom (cybersécurité).
La section une de ce manuel s’intéresse principalement aux besoins et éléments de solution de la
cybersécurité. Ainsi, le contexte de la sécurité des infrastructures de communication est analysé à la
lumière du constat de la vulnérabilité et de l’état d’insécurité associé aux technologies de l’information
et des communications. En tirant partie des enseignements issus des meilleures pratiques, de la réalité
quotidienne de la sécurité du monde de l'internet et de l’expérience acquise par la communauté
internationale, les besoins en termes de cybersécurité pour les pays en développement sont identifiés.
La cybersécurité est analysée selon ses dimensions managériales, politique, économique, sociale
juridique et technologique. Sont identifiées des recommandations génériques à respecter lors de la
mise à disposition d’infrastructures de télécommunication afin de maîtriser les risques, qu’ils soient
d’origine criminelle ou non, et pour contribuer à développer la confiance envers les e-services,
moteurs du développement économique.
La section deux adresse la problématique de la maîtrise de la cybercriminalité. Elle traite des éléments
qui favorisent l’expression de la criminalité afin de mettre en évidence les limites des solutions
actuelles de sécurité et de lutte contre la cybercriminalité ainsi que la complexité et de l’envergure du
problème à résoudre.
Les différents délits et crimes réalisables via l’internet sont présentés, notamment sous l’angle de la
criminalité économique. Une analyse des comportements criminels, comme le profil des
cybercriminels, ainsi que les caractéristiques générales des cyberattaques et des programmes
malveillants illustrent cette partie. Des lignes directrices sont identifiées pour se préparer à la menace
d’origine cybercriminelle.
La section trois, après avoir rappelé les fondamentaux du monde des télécommunications, propose une
approche fonctionnelle ainsi qu’une mise en perspective critique des outils de la sécurité des
infrastructures.
Une approche globale de la cybersécurité qui intègre les différents aspects du droit des nouvelles technologies
ainsi que quelques perspectives de développent pour la mise en place de solutions de sécurité
des infrastructures de communication sont données en section quatre.
Un glossaire des termes de la sécurité ainsi que diverses références et documents concluent ce guide
de la cybersécurité.
viii Remerciements
Mr Hamadoun Touré, Director, Telecommunication Development Bureau (BDT), ITU
CONTEXTE DE LA CYBERSÉCURITÉ
ENJEUX ET ÉLÉMENTS DE SOLUTION
Guide de la cybersécurité pour les pays en développement
Cyberespace et société de l'information 3
Chapitre I.1 – Cyberespace et société de l’information
I.1.1 Numérisation
Les technologies informatiques transforment notre façon de concevoir et de réaliser l’ensemble des
activités humaines. Elles induisent des modifications structurelles importantes car tous les objets sont
devenus manipulables électroniquement au travers de l’information les modélisant.
I.1.1.1 Information numérique
La technique de numérisation crée une image digitale ou double virtuel ou encore double numérique
des entités existantes. Quelle que soit sa nature (voix, données, image), toute information est
numérisable et possède une représentation homogène, c’est-à-dire uniforme.
L’information n’est plus associée physiquement à son contenant, c’est-à-dire à son support de
représentation et de stockage. Sa valeur ajoutée provient directement de l’information elle-même
(contenu ou content); en effet, les coûts de diffusion et de mémorisation de l’information sont peu
élevés par rapport à ceux de sa conception (Figure I.1). De plus, les données peuvent être localisées et
traitées simultanément à plusieurs endroits. Ainsi, étant dupliquables à l’infini et de façon parfaite, la
notion de données «originales» perd son sens, ce qui peut poser des problèmes relatifs à la notion de
protection des droits d’auteur.
Figure I.1 – Dématérialisation et information numérique
I.1.1.2 Technologies numériques
Les technologies numériques en uniformisant la production, le traitement et le transfert des données
permettent une continuité numérique de toute la chaîne d’information. Cette convergence numérique,
associée aux techniques de compression des données, favorise les synergies entre l’informatique,
President Abdoulaye Wade greets Mr Hamadoun Touré as he leaves the ceremony of the fist World Information Society Award, 17 May 2006, in Geneva.
les télécommunications et le monde de l’audiovisuel, comme le révèle le phénomène internet. On
remarque alors que la véritable révolution technologique s’est produite grâce à la numérisation de
l’information, dont les conséquences dépassent largement le cadre des télécommunications.
INFORMATION IMMATERIELLE
SUPPORT PHYSIQUE
4 Cyberespace et société de l'information
Toutes les disciplines, tous les domaines d’activités, tous les métiers se trouvent affectés par cette
nouvelle dimension de traitement de l’information. La détermination de la valeur aussi bien que les
modes de production, depuis la conception des produits jusqu’à leur distribution, se sont ces dernières
années progressivement modifiés. Cela a conduit à une réorganisation des chaînes de valeur entre les
différents acteurs économiques.
I.1.1.3 Infrastructures et contenu
La conquête du contrôle de la chaîne numérique de l’information, c’est-à-dire de l’infrastructure et du
contenu, constitue désormais l’enjeu dominant du XXIIe siècle. Ce nouveau marché, ouvert à tous, se
caractérise par une mobilisation sans précédent de tous les acteurs de l’économie mondiale (opérateurs
de télécommunication, câblo-opérateurs, fabricants de matériels et logiciels, chaînes de télévision,
etc.).
La concurrence effrénée et la redistribution des zones d’action et des rôles, afin d’offrir des services
intégrés couvrant la planète, constituent le nouvel enjeu économique des organisations actuelles.
Lorsque Gutenberg imprima son premier livre, il n’imaginait pas les retombées industrielles de son
invention, lesquelles furent celles des premiers pas vers l’automatisme industriel. Il en est de même,
lorsque vers la fin des années 60, universitaires et militaires américains mirent en œuvre, pour des
motivations fort différentes et apparemment contradictoires, un réseau de communication qui donna
naissance au réseau internet. Tout comme au XVe siècle, les conséquences de leur création leur
échappèrent. Aujourd’hui, le cyberespace internet marque le passage de des sociétés à l’ère
informationnelle.
I.1.2 Révolution informationnelle
La révolution informationnelle bouleverse le traitement et la conservation de l’information. Elle
modifie le mode de fonctionnement des organisations et de la société toute entière. Bien qu’elle ne soit
pas la seule innovation technique de ces dernières années, elle est particulièrement importante dans la
mesure où elle touche à la manipulation de l’information et donc de la connaissance. Son impact se
porte sur les mécanismes de génération et de transmission du savoir, ce qui permet de penser la
révolution informationnelle source d’innovation future dont les pays en développement ne devraient
pas être exclus.
L’évolution des technologies de l’information et des télécommunications conduit à une véritable
révolution dans le mode de pensée des échanges tant économiques que sociaux ou culturels. Ceci
établit également un nouveau modèle informatique centré sur le réseau; modèle dans lequel il est
nécessaire de maîtriser la sécurité de la circulation des informations, afin d’autoriser le développement
de nouvelles applications qui rendront les organisations encore plus efficaces. Aucune forme de vie
économique ne peut exister sans échanges et interactions entre ses diverses composantes, aucun
échange d’information ne peut s’envisager sans l’assurance d’un certain niveau de sécurité et aucun
service ne peut être considéré sans qualité de service. Remarquons toutefois, que la réussite d’une
communication dépend de la capacité des interlocuteurs à dominer les contraintes techniques et à gérer
les rites associés à tout échange d’informations.
I.1.2.1 Innovation et développement
Seules les capacités d’innovation et d’adaptation rapide, sous-tendues par un système d’information
performant et sécurisé, permettent aux organisations et aux Etats de rester pérennes et de se
positionner comme acteur du nouvel environnement concurrentiel.
Guide de la cybersécurité pour les pays en développement
Cyberespace et société de l'information 5
De nouveaux territoires d’activités se sont ouverts par la diversification des télécommunications
1) Sensibilisation
Les parties prenantes doivent être sensibilisées au besoin d’assurer la sécurité des systèmes et
réseaux d’information et aux actions qu’elles peuvent entreprendre pour renforcer la sécurité.
La sensibilisation aux risques et aux parades disponibles est la première ligne de défense pour assurer
Left to right Mr. Hamadoun I. Touré, Director, Telecommunication Development Bureau, Ms Tae Yoo, Vice President, Cisco Systems, and Mr J-Y Besnier, Project Coordinator, HRD, BDT, ITU.
la sécurité des systèmes et réseaux d’information. Les systèmes et réseaux d’information peuvent être
exposés à des risques tant internes qu’externes. Les parties prenantes doivent comprendre que les
défaillances de sécurité peuvent gravement porter atteinte aux systèmes et réseaux sous leur contrôle
mais aussi, du fait de l’interconnectivité et de l’interdépendance, à ceux d’autrui. Les parties prenantes
doivent réfléchir à la configuration de leur système, aux mises à jour disponibles pour ce dernier, à la
place qu’il occupe dans les réseaux, aux bonnes pratiques qu’elles peuvent mettre en œuvre pour
renforcer la sécurité, ainsi qu’aux besoins des autres parties prenantes.
2) Responsabilité
Les parties prenantes sont responsables de la sécurité des systèmes et réseaux d’information.
Les parties prenantes sont tributaires de systèmes et réseaux d’information locaux et mondiaux
interconnectés. Elles doivent comprendre leur responsabilité dans la sécurité de ces systèmes et
réseaux et en être, en fonction du rôle qui est le leur, individuellement comptables. Elles doivent
régulièrement examiner et évaluer leurs propres politiques, pratiques, mesures et procédures pour
s’assurer qu’elles sont adaptées à leur environnement. Celles qui développent, conçoivent et
fournissent des produits et services doivent prendre en compte la sécurité des systèmes et réseaux et
diffuser des informations appropriées, notamment des mises à jour en temps opportun de manière à ce
que les utilisateurs puissent mieux comprendre les fonctions de sécurité des produits et services et
leurs responsabilités en la matière.
3) Réaction
Les parties prenantes doivent agir avec promptitude et dans un esprit de coopération pour prévenir,
détecter et répondre aux incidents de sécurité.
Du fait de l’interconnectivité des systèmes et réseaux d’information et de la propension des dommages
à se répandre rapidement et massivement, les parties prenantes doivent réagir avec promptitude et dans
un esprit de coopération aux incidents de sécurité. Elles doivent échanger leurs informations sur les
menaces et vulnérabilités de manière appropriée et mettre en place des procédures pour une
coopération rapide et efficace afin de prévenir et détecter les incidents de sécurité et y répondre.
Lorsque cela est autorisé, cela peut impliquer des échanges d’informations et une coopération
transfrontières.
4) Ethique
Les parties prenantes doivent respecter les intérêts légitimes des autres parties prenantes.
Les systèmes et réseaux d’information sont omniprésents dans nos sociétés et les parties prenantes
doivent être conscientes du tort qu’elles peuvent causer à autrui par leur action ou leur inaction. Une
conduite éthique est donc indispensable et les parties prenantes doivent s’efforcer d’élaborer et
d’adopter des pratiques exemplaires et de promouvoir des comportements qui tiennent compte des
impératifs de sécurité et respectent les intérêts légitimes des autres parties prenantes.
5) Démocratie
La sécurité des systèmes et réseaux d’information doit être compatible avec les valeurs
fondamentales d’une société démocratique.
La sécurité doit être assurée dans le respect des valeurs reconnues par les sociétés démocratiques, et
notamment la liberté d’échanger des pensées et des idées, la libre circulation de l’information, la
confidentialité de l’information et des communications, la protection adéquate des informations de
caractère personnel, l’ouverture et la transparence.
Guide de la cybersécurité pour les pays en développement
136 Annexe F
6) Evaluation des risques
Les parties prenantes doivent procéder à des évaluations des risques.
L’évaluation des risques permet de déceler les menaces et vulnérabilités et doit être suffisamment
large pour couvrir l’ensemble des principaux facteurs internes et externes, tels la technologie, les
facteurs physiques et humains, les politiques et services de tierces parties ayant des implications sur la
sécurité. L’évaluation des risques permettra de déterminer le niveau acceptable de risque et facilitera la
sélection de mesures de contrôles appropriées pour gérer le risque de préjudices possibles pour les
systèmes et réseaux d’information compte tenu de la nature et de l’importance de l’information à
protéger. L’évaluation des risques doit tenir compte des préjudices aux intérêts d’autrui ou causés par
autrui rendus possibles par l’interconnexion croissante des systèmes d’information.
7) Conception et mise en œuvre de la sécurité
Les parties prenantes doivent intégrer la sécurité en tant qu’un élément essentiel des systèmes et
réseaux d’information.
Les systèmes, réseaux et politiques doivent être conçus, mis en œuvre et coordonnés de façon
appropriée afin d’optimiser la sécurité. Un axe majeur, mais non exclusif, de cet effort doit être la
conception et l’adoption de mesures de protection et solutions appropriées afin de prévenir ou limiter
les préjudices possibles liés aux vulnérabilités et menaces identifiées. Les mesures de protection et
solutions doivent être à la fois techniques et non techniques et être proportionnées à la valeur de
l’information dans les systèmes et réseaux d’information de l’organisation. La sécurité doit être un
élément fondamental de l’ensemble des produits, services, systèmes et réseaux et faire partie
intégrante de la conception et de l’architecture des systèmes. Pour l’utilisateur final, la conception et la
mise en œuvre de la sécurité consistent essentiellement à sélectionner et configurer des produits et
services pour leurs systèmes.
8) Gestion de la sécurité
Les parties prenantes doivent adopter une approche globale de la gestion de la sécurité.
La gestion de la sécurité doit être fondée sur l’évaluation des risques et être dynamique et globale afin
de couvrir tous les niveaux d’activités des parties prenantes et tous les aspects de leurs opérations. Elle
doit inclure également, par anticipation, des réponses aux menaces émergentes et couvrir la
prévention, la détection et la résolution des incidents, la reprise des systèmes, la maintenance
permanente, le contrôle et l’audit. Les politiques de sécurité des systèmes et réseaux d’information, les
pratiques, mesures et procédures en matière de sécurité doivent être coordonnées et intégrées pour
créer un système cohérent de sécurité. Les exigences de la gestion de la sécurité sont fonction du
niveau de participation, du rôle de la partie prenante, des risques en jeu et des caractéristiques du
système.
9) Réévaluation
Les parties prenantes doivent examiner et réévaluer la sécurité des systèmes et réseaux
d’information et introduire les modifications appropriées dans leurs politiques, pratiques, mesures
et procédures de sécurité.
Des vulnérabilités et menaces nouvelles ou évolutives sont constamment découvertes. Toutes les
parties prenantes doivent continuellement revoir, réévaluer et modifier tous les aspects de la sécurité
pour faire face à ces risques évolutifs.
Guide de la cybersécurité pour les pays en développement
Annexe F 137
Recommandation du Conseil concernant les lignes directrices regissant la securité des systèmes et
réseaux d’information vers une culture de la securité
LE CONSEIL,
Vu la Convention relative à l’Organisation de Coopération et de Développement Economiques, en
date du 14 décembre 1960, et notamment ses articles 1 b), 1 c), 3 a) et 5 b);
Vu la Recommandation du Conseil concernant les Lignes directrices régissant la protection de la vie
privée et les flux transfrontières de données de caractère personnel, en date du 23 septembre 1980
[C(80)58(Final)];
Vu la Déclaration sur les flux transfrontières de données adoptée par les gouvernements des pays
Membres de l’OCDE le 11 avril 1985 [C(85)139,Annexe];
Vu la Recommandation du Conseil relative aux Lignes directrices régissant la politique de
cryptographie, en date du 27 mars 1997 [C(97)62/FINAL];
Vu la Déclaration ministérielle relative à la protection de la vie privée sur les réseaux mondiaux, en
date des 7-9 décembre 1998 [C(98)177/FINAL, Annexe];
Vu la Déclaration ministérielle sur l’authentification pour le commerce électronique, en date des 7-9
décembre 1998 [C(98)177/FINAL, Annexe];
Reconnaissant que les systèmes et réseaux d’information sont de plus en plus utilisés et acquièrent une
valeur croissante pour les gouvernements, les entreprises, les autres organisations, et les utilisateurs
individuels;
Reconnaissant que le rôle toujours plus important que jouent les systèmes et réseaux d’information
dans la stabilité et l’efficience des économies nationales et des échanges internationaux, ainsi que dans
la vie sociale, culturelle et politique, et l’accentuation de la dépendance à leur égard imposent des
efforts particuliers pour protéger et promouvoir la confiance qui les entoure;
Reconnaissant que les systèmes et réseaux d’information et leur expansion à l’échelle mondiale se sont
accompagnés de risques nouveaux et en nombre croissant;
Reconnaissant que les données et informations conservées ou transmises sur des systèmes et réseaux
d’information sont exposées à des menaces du fait de divers moyens d’accès sans autorisation,
d’utilisation, d’appropriation abusive, d’altération, de transmission de code malveillant, de déni de
ITU Deputy Secretary-General Mr Roberto Blois discusses a point with Mr Pierre Gagné, Deputy Director of ITUBDT (left), Mr Bill Graham of Industry Canada (second from right), and Mr Hamadoun Touré,
service ou de destruction, et exigent des mesures de protection appropriées;
Reconnaissant qu’il importe de sensibiliser davantage aux risques pesant sur les systèmes et réseaux
d’information ainsi qu’aux politiques, pratiques, mesures et procédures disponibles pour faire face à
ces risques, et d’encourager des comportements appropriés en ce qu’ils constituent une étape
essentielle dans le développement d’une culture de la sécurité;
Reconnaissant qu’il convient de revoir les politiques, pratiques, mesures et procédures actuelles pour
aider à faire en sorte qu’elles répondent de façon adéquate aux défis en constante évolution que posent
les menaces auxquelles sont exposés les systèmes et réseaux d’information;
Reconnaissant qu’il est de l’intérêt commun de promouvoir la sécurité des systèmes et réseaux
d’information par une culture de la sécurité qui encourage une coordination et une coopération
internationales appropriées en vue de répondre aux défis posés par les préjudices que des défaillances
de la sécurité sont susceptibles de causer aux économies nationales, aux échanges internationaux, ainsi
qu’à la participation à la vie sociale, culturelle et politique.
Reconnaissant en outre que les Lignes directrices régissant la sécurité des systèmes et réseaux
d’information: vers une culture de la sécurité, figurant en annexe à la présente Recommandation, sont
d’application volontaire et n’affectent pas les droits souverains des Etats;
Guide de la cybersécurité pour les pays en développement
138 Annexe F
Et reconnaissant que l’objet de ces lignes directrices n’est pas de suggérer qu’il existe une solution
unique quelconque en matière de sécurité, ou que des politiques, pratiques, mesures et procédures
particulières soient adaptées à une situation donnée, mais plutôt de fournir un cadre plus général de
principes de nature à favoriser une meilleure compréhension de la manière dont les parties prenantes
peuvent à la fois bénéficier du développement d’une culture de la sécurité et y contribuer;
PRÉCONISE l’application de ces Lignes directrices régissant la sécurité des systèmes et réseaux
d’information: vers une culture de la sécurité par les gouvernements, les entreprises, les autres
organisations et les utilisateurs individuels qui développent, possèdent, fournissent, gèrent,
maintiennent et utilisent les systèmes et réseaux d’information;
RECOMMANDE aux pays Membres:
D’établir de nouvelles politiques, pratiques, mesures et procédures ou de modifier celles qui existent
pour refléter et prendre en compte les Lignes directrices régissant la sécurité des systèmes et réseaux
d’information: vers une culture de la sécurité en adoptant et promouvant une culture de la sécurité,
conformément auxdites lignes directrices;
D’engager des actions de consultation, de coordination et de coopération, aux plans national et
international, pour la mise en œuvre des lignes directrices;
De diffuser les lignes directrices dans l’ensemble des secteurs public et privé, notamment auprès des
gouvernements, des entreprises, d’autres organisations et des utilisateurs individuels, pour promouvoir
une culture de la sécurité, et encourager toutes les parties intéressées à adopter une attitude
responsable et à prendre les mesures nécessaires en fonction des rôles qui sont les leurs;
De mettre les lignes directrices à la disposition des pays non membres, le plus rapidement possible et
de manière appropriée;
De réexaminer les lignes directrices tous les cinq ans, de manière à promouvoir une coopération
internationale sur les questions liées à la sécurité des systèmes et réseaux d’information;
CHARGE le Comité de la politique de l’information, de l’informatique et des communications de
l’OCDE d’apporter son soutien à la mise en œuvre des lignes directrices.
Mr Caiji Zhen, Chairman and Chief Executive Officer of DaTang Group, China; Dr Hamadoun Touré, ITU Secretary-General; and Mr Shanzhi Chen, Chief Technology Officer of DaTang Group, China
La présente Recommandation remplace la Recommandation du Conseil concernant les lignes
directrices régissant la sécurité des systèmes d’information du 26 novembre 1992 [C(92)188/FINAL].
Historique de la procédure
Les lignes directrices sur la sécurité ont été achevées en 1992 puis réexaminées en 1997. L’examen
actuel a été entrepris en 2001 par le Groupe de travail sur la sécurité de l’information et la vie privée
(GTSIVP), dans le cadre d’un mandat donné par le Comité de la politique de l’information, de
l’informatique et des communications (PIIC), et accéléré suite à la tragédie du 11 septembre.
La rédaction a été entreprise par un Groupe d’experts du GTSIVP qui s’est réuni à Washington, DC,
les 10 et 11 décembre 2001, à Sydney les 12-13 février 2002 et à Paris les 4 et 6 mars 2002. Le
GTSIVP s’est réuni les 5-6 mars 2002, les 22-23 avril 2002 et les 25-26 juin 2002.
Les présentes Lignes directrices de l’OCDE régissant la sécurité des systèmes et réseaux
d’information: vers une culture de la sécurité ont été adoptées sous la forme d’une Recommandation
du Conseil de l’OCDE lors de sa 1037e session, le 25 juillet 2002.
U n i o n i n t e r n a t i o n a l e d e s t é l é c o m m u n i c a t i o n s
Union internationale des télécommunications
Bureau de développement des télécommunications (BDT)
Place des Nations
CH-1211 Genève 20
Suisse
Pour plus d’information, veuillez contacter:
Alexander NTOKO
Chef, Unité Cyberstratégies
E-mail: e-strategies@itu.int
Site Web: www.itu.int/ITU-D/e-strategies
