La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Cadre institutionnel et réglementaire : un revue de lexpérience internationale Atelier e-Sécurité – 19-20 juin 2006.

Présentations similaires


Présentation au sujet: "1 Cadre institutionnel et réglementaire : un revue de lexpérience internationale Atelier e-Sécurité – 19-20 juin 2006."— Transcription de la présentation:

1 1 Cadre institutionnel et réglementaire : un revue de lexpérience internationale Atelier e-Sécurité – juin 2006

2 Contenu La Notion de CIIP – Protection des infrastructures dinformation critiques: Définitions et implications Expériences internationales

3 The International CIIP Handbook pays couverts Australie, Autriche, Canada, Danemark, Finlande, France, Allemagne, Irlande, Italie, Japon, Corée, Pays-Bas, Nouvelle Zélande, Norvège, Singapore, Espagne, Suède, Suisse, Angleterre, États-unis.

4 Terminologie et définition: CI/CII CI - Infrastructure Critique : systèmes dont la non disponibilité ou la destruction pourrait avoir un effet débilitant sur la sécurité nationale et sur le bien-être économique et social dune nation CII - Infrastructure dInformation Critique : composante de linfrastructure dinformation globale ou nationale qui est essentielle afin dassurer la continuité des services proposés par les infrastructure critiques

5 Les risques informatiques: stratégiques? Les sociétés modernes se reposent de plus en plus fortement sur les infrastructures, notamment les infrastructures dinformations Les infrastructures dinformations critiques font le lien avec les autres systèmes dinfrastructures et forment des interdépendances, avec comme impact –Les formes des menaces ainsi que leur capacité à faire des dommages évoluent de manière rapide –De nouveaux systèmes dinterrelations émergent –Les risques augmente avec les nouvelles technologies et la convergence

6 Terminologie et définitions: CI/CII (suite) De fait, il sagit bien des services bien plus que des infrastructures qui sont le centre dattention. De manière similaire, les services offerts par le e-gouvernement peuvent être classés par leur criticité

7 Notion stratégique de CIIP La notion de protection des infrastructures dinformations critiques se trouvant à lintersection des autres infrastructures critiques renforce le besoin dun approche nationale stratégique de la e-sécurité.

8 Différents points de vues… La Protection dInfrastructures (dInformation) Critiques peut être abordée de différents points de vue: –Système / technique –(e-)business –Legal-exécutif –Militaire –Sécurité Nationale

9 … les complications… Les points de vues nont pas de délimitations claires et se recoupent Divergences des différents acteurs sur les priorités et les besoins de protection Difficulté dallouer des responsabilités et de saccorder sur ladoption de moyens politiques ou règlementaires appropriés

10 … les problèmes en résultant Le concept de Criticalité change en fonction de qui en parle Dans un contexte socio-politique: la notion de Criticalité est lié à la manière dont est perçue un dommage ou une interruption de service, et quel en est limpact politique –Perte de confiance –Perte dimage

11 Questions Clés Politique e-sécurité : – Quels sont les secteurs identifiés comme critiques – Quelles sont les approches nationales en application et les outils institutionnels et réglementaires utilisés

12 Secteurs Critiques les plus cités Parmi les 32 « secteurs » choisis, les plus souvent cités par les 20 pays étudiés sont: –Banque et Finance (20) –(Télé-)Communication / TIC (20) –Énergie/Électricité (20) –Transport/Logistique/Distribution (18) –Santé (15) –Eau (distribution) (15) –Gouvernement Central / Services publics (12) –Service durgences et de secours (12) Ces secteurs représentent le cœur de sociétés modernes, et potentiellement les domaines où une interruption de services de grande envergure serait le plus dévastateur.

13 Suisse – Secteurs critiques 1.Administration Publique 2.Défense, service durgence et de secours 3.(Tele-)communication 4.Énergie 5.Finance 6.Industrie 7.Media 8.Santé 9.Transport et logistique 10.Eau

14 Suisse – Initiatives et politiques Exercice stratégique (SFU97). –Identifie les risques liées au systèmes dinformation dans le contexte des infrastructures du pays Stratégie pour la société de linformation (1998) –Mesures pour promouvoir une société de linformation Rapport de politique de sécurité (2000) –Reconnaît le concept de CII et ses implications Information Assurance (2000) –Recommande létablissement dun mécanisme de gestion de crise et la création dun task force INFORMO 2001 –Revue des processus Info assurance Information Assurance Policy (2002) –Prévention, détection, gestion de crise, solutions techniques Analyse des risques (2002 -) –Analyse des risques et de linterdépendance des secteurs critiques avec les infrastructures dinformation critique

15 Suisse – Aspects institutionnels Agences publiques: –Unité stratégique nationale pour les TI (ISB) –Office fédéral des communications (OFCOM) –Office féderal de lapprovisionnement (NES) –Office fédéral des TI, Systèmes et telecom (FOITT) –Unité de coordination pour le cyber crime (CYCO) –Département de la Défense (DDPS)

16 Suisse – Aspects institutionnels (suite) Partenariats Public-Privés et Association professionnelles –Association Infosurance (1999) –Office fédéral de lapprovisionnement –Club de la Sécurité Informatique Suisse (1989) –Information Systems Audit and Control Association – filiale suisse

17 Suisse – Détection et prévention Centre danalyse et de suivi pour lintégrité des données (MELANI) – 2003 Task force sur lintégrité des données (SONIA) SWITCH CERT

18 Suisse – lois et législations Un nombre darticles du code pénal concerne la protection des données et autres aspects de e-sécurité: Article 143 (accès non-autorisé aux données) Article 143bis (accès non-autorisé aux systèmes de traitement des données) Article 144 (dommage à la propriété) Article 144bis (dommages aux données) Article 147 (usage inapproprié dun ordianteur) La suisse a signé en 2001 la Convention on Cybercrime of the Council of Europe De plus, le code pénal se conforme déjà avec les articles internationaux concernant la propriété intellectuelle, la fraude informatique, la pornographie, notamment.

19 Messages clés Les points de vues varient en ce qui concerne la protection des infrastructure dinformation critique Les vues divergentes des acteurs dun pays peuvent devenir un obstacle important Les partenariats avec le secteur privé sont cruciaux afin de profiter des compétences respectives Les programmes de détection (Early Warning systems) sont perçus comme important, mais souvent ne sont pas fonctionnels

20 Cas de la Tunisie

21 Questions


Télécharger ppt "1 Cadre institutionnel et réglementaire : un revue de lexpérience internationale Atelier e-Sécurité – 19-20 juin 2006."

Présentations similaires


Annonces Google