Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) Édition 2021
Résumé
Les économies du monde entier continuent de se Poussé par l’évolution du paysage des menaces et des
développer en dépendant de plus en plus de la technologie. pratiques de cybersécurité correspondantes, le GCSCC a
Si nous ne veillons pas à ce que des capacités de mené une révision du CMM, la première à être réalisée
cybersécurité existent dans l’ensemble du cyberespace, depuis la publication de l’édition 2016. Pour produire
nous créerons inévitablement des cyberghettos. Dans de cette édition 2021, le GCSCC a entrepris un exercice de
tels environnements, les cybermenaces peuvent devenir coopération mondiale visant à extraire et synthétiser les
monnaie courante et les cyberattaques peuvent être dernières connaissances de la communauté. Le GCSCC
facilement lancées. L’aptitude des pays à réagir et à accroître a élaboré des propositions de changement basées sur
leurs capacités face à l’évolution des menaces — qu’elles les enseignements tirés des déploiements du CMM, et a
soient dues aux tendances de l’utilisation des technologies, entrepris une série de consultations en ligne et hors ligne
au climat sociopolitique ou à l’évolution de l’écosystème des avec des experts, pour valider les résultats et discuter des
acteurs de la menace — n’a jamais été aussi importante. changements. Les personnes consultées comprennent le
groupe consultatif d’experts du GCSCC, les partenaires
Le modèle de maturité de la capacité de cybersécurité pour stratégiques, régionaux et de mise en œuvre du GCSCC,
les nations (CMM, Cybersecurity Capacity Maturity Model ainsi que d’autres experts issus du monde universitaire,
for Nations) aide les nations à comprendre ce qui fonctionne, d’organisations internationales et régionales, de
ce qui ne fonctionne pas ainsi que le pourquoi, dans tous gouvernements, du secteur privé et de la société civile. Sur
les domaines des capacités nationales en matière de la base de leur contribution, des indicateurs pour chaque
cybersécurité. C’est important pour que les gouvernements aspect ont été identifiés, conçus, affinés et validés.
et les entreprises puissent adopter des politiques et faire des
investissements susceptibles d’améliorer considérablement Les acteurs du monde entier, qu’il s’agisse d’individus ou
la sûreté et la sécurité dans le cyberespace, tout en d’États-nations, doivent veiller à ce que le cyberespace
respectant les droits de l’homme, tels que la vie privée et la et les systèmes qui en dépendent soient résistants aux
liberté d’expression. attaques croissantes. L’édition 2021 du CMM et son
déploiement continueront de contribuer aux efforts visant à
Depuis 2015, le Centre mondial des capacités en matière de atteindre cette résilience, non seulement en acquérant une
cybersécurité (GCSCC, Global Cyber Security Capacity Centre) compréhension plus approfondie de la capacité en matière
a activement promu le CMM dans tous les secteurs, afin de cybersécurité internationale, mais aussi en augmentant D1
d’alimenter la conversation autour des capacités nationales l’investissement effectif dans les capacités nationales
en matière de cybersécurité et de contribuer à améliorer la en matière de cybersécurité sur la base d’une analyse
technologie mondiale. L’adoption du CMM qui en a résulté D2
rigoureuse des données recueillies lors du déploiement
par diverses parties prenantes internationales majeures, et du modèle. Les lacunes critiques dans tous les domaines
la réalisation de plus de 120 examens du CMM dans plus de de la cybersécurité internationale seront identifiées et D3
85 pays, démontre l’impact positif de la recherche, soutient comblées par des contre-mesures évolutives et efficaces,
les auto-évaluations des gouvernements et informe sur le en coopération avec des partenaires internationaux de la
développement d’outils et de ressources du secteur. communauté mondiale de la cybersécurité. D4
D5
2 Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021Sommaire Executive Summary
Une évaluation nationale de la cybersécurité avec le CMM
Les dimensions de la capacité nationale en matière de cybersécurité
2
4
5
La structure du CMM 7
1ère dimension : Politique et stratégie en matière de cybersécurité 9
D 1.1 : Stratégie nationale de cybersécurité 12
D 1.2 : Réponse aux incidents et gestion de crise 14
D 1.3 : Protection des infrastructures critiques (IC) 16
D 1.4 : La cybersécurité dans la défense et la sécurité nationale 17
2e dimension : Culture et Société de la cybersécurité 19
D 2.1 : L'état d'esprit en matière de cybersécuri 22
D 2.2 : Confiance dans les services en ligne 24
D 2.3 : Compréhension par les utilisateurs de la protection des renseignements personnels en ligne 27
D 2.4 : Mécanismes de rapport 28
D 2.5 : Médias et plateformes en ligne 29
3e dimension : Renforcement des connaissances et des capacités en
matière de cybersécurité 30
D 3.1 : Sensibilisation à la cybersécurité 33
D 3.2 : Éducation à la cybersécurité 36
D 3.3 : Formation des professionnels de la cybersécurité 38
D 3.4 : Recherche et innovation en matière de cybersécurité 40
4e dimension : cadres juridiques et réglementaire 41
D 4.1 : Dispositions légales et réglementaires 44
D 4.2 : Cadres législatifs connexes 46
D 4.3 : Capacités et moyens juridiques et réglementaires 48
D 4.4 : Cadres de coopération formelle et informelle pour lutter contre la cybercriminalité 50
5e dimension : Normes et technologies 51
D 5.1 : Adhésion aux normes 54
D 5.2 : Contrôles de sécurité 57 D1
D 5.3 : Qualité du logiciel 59
D 5.4 : Résilience des infrastructures de communication et d'Internet 60
D 5.5 : Marché de la cybersécurité 61 D2
D 5.6 : Divulgation responsable 63
Evolution du CMM 64 D3
Remerciements 65
À propos de GCSCC 66
D4
D5
3 Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021Une évaluation nationale de la
cybersécurité avec le CMM
L’examen du CMM d’un pays implique la collecte de données • la mise en réseau et la coopération avec les entreprises et
par une équipe de chercheurs qui mènent des consultations la Société au sens large ;
avec les parties prenantes dans le pays et des recherches
documentaires. Le résultat est un rapport fondé sur des • le renforcement de la crédibilité interne des objectifs de la
preuves qui : cybersécurité au sein des gouvernements ;
• permet d’évaluer la maturité de la capacité d’un pays en • une aide à définir les rôles et les responsabilités au sein
matière de cybersécurité ; des gouvernements ;
• détaille un ensemble pragmatique d’actions visant à • une mise à disposition des preuves pour augmenter le
contribuer à combler les lacunes en matière de maturité financement du renforcement des capacités en matière de
des capacités de cybersécurité ; et cybersécurité ; et
• identifie les priorités en matière d’investissement et • une base pour l’élaboration de stratégies et de politiques
de renforcement des capacités futures, sur la base des nationales.
besoins spécifiques d’un pays.
Il est important qu’un pays puisse prouver ses réalisations en
Selon une étude indépendante commandée par UK Foreign matière de cybersécurité et le CMM définit ce que doivent
and Commonwealth Office (FCDO, le Bureau des Affaires être ces preuves et ce qu’elles démontrent. Cette collecte de
étrangères, du Commonwealth et du Développement du preuves est en soi un processus multipartite, impliquant un
Royaume-Uni), les avantages d’un examen du CMM pour un large éventail de sources et d’organisations. Les discussions
pays sont nombreux et comprennent notamment : peuvent être importantes pour résoudre les divergences
d’opinions. Le pays qui entreprend l’examen décidera si ces
• une sensibilisation accrue à la cybersécurité et un discussions peuvent être efficaces si elles sont menées à
renforcement des capacités, ainsi qu’une plus grande distance (et en ligne), ou si elles nécessitent des réunions en
coopération au sein du gouvernement ; présentiel. D1
Pour plus d’informations sur la méthodologie et le
processus d’examen du CMM et sur les rapports D2
exemplaires du CMM, consultez le site:
https://gcscc.ox.ac.uk/the-cmm
D3
D4
D5
4 Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021Cybersecurity Policy Cybersecurity Culture Building Cybersecurity Legal and Standards and
and Strategy and Society Knowledge and Regulatory Technologies
Capabilities Frameworks
Les dimensions de la
capacité nationale
Politique et stratégie
Dimension 1 Culture et 2
Dimension
en matière de
Cybersecurity Policy Société de la
Cybersecurity
cybersécurité cybersécurité
en matière de
and Strategy Culture and Society
cybersécurité
Le CMM considère que la cybersécurité comprend cinq dimensions
qui, ensemble, constituent l’étendue de la capacité nationale dont
un pays a besoin pour être efficace en matière de cybersécurité :
1. Développer une politique et une stratégie de cybersécurité ; Renforcement
Dimension 3 des
Dimension
Normes et5 connaissances
Building et des
Cybersecurity
2. Encourager une culture responsable de la cybersécurité au
Standards and
technologies capacités en matière
sein de la Société ; Knowledge and
Technologies de cybersécurité
Capabilities
3. Renforcer les connaissances et les capacités en matière de
cybersécurité ;
4. Créer des cadres juridiques et réglementaires efficaces ; et
5. Maîtriser les risques grâce aux normes et aux technologies.
Dimension
Cadres 4 et
juridiques D1
Legal and Regulatory
réglementaires
Frameworks
D2
D3
D4
D5
5 Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021ension 1 ension 2 ension imension 4 examine la ension 5
Dim La 1èreDim dimension : Politique et Dim stratégie3en matière deDcybersécurité Dim La 5e dimension : Normes et technologies porte sur l’utilisation efficace et
capacité du pays à élaborer et à mettre en œuvre une stratégie de cybersécurité, généralisée des technologies de cybersécurité pour protéger les personnes,
et à renforcer sa résilience en matière de cybersécurité en améliorant ses capacités les organisations et les infrastructures nationales. Cette dimension examine
de réponse aux incidents, de cyberdéfense et de protection des infrastructures spécifiquement la mise en œuvre de normes et de bonnes pratiques en matière
critiques (IC). Cette dimension examine l’efficacité de la stratégie et de la politique de cybersécurité, le déploiement de processus et de contrôles, ainsi que le
dans la mise en place d’une capacité nationale de cybersécurité, tout en maintenant développement de technologies et de produits afin de réduire les risques liés à la
Cybersecurity Policy les Cybersecurity
avantages d’un cyberespace
Culture vitalCybersecurity
Building pour le gouvernement, lesand
Legal entreprises Standards and cybersécurité.
nsion
andeStrategy anden
internationales sionet3 la société enKnowledge
Society
imension 4
général. and
imension 5
Regulatory Technologies
1 Dim 2 Dim DCapabilities DFrameworks Le CMM définit cinq stades de maturité pour toutes les dimensions : démarrage,
La 2e dimension : Culture et Société de la cybersécurité passe en revue les formation, établi, stratégie et dynamique. Ces stades correspondent aux éléments
ension 1 nsion 2
eimportants siocybersécurité
ende n3 ension 4tels que la ension 5 suivants : développement initial de la capacité, implémentation, leadership
Dim éléments
D im d’une D im
culture m
responsable,
D i D im
compréhension des risques liés à la cybercriminalité dans la Société, le niveau mondial et capacité à anticiper et à se préparer aux besoins futurs en matière de
de confiance dans les services Internet, l’administration en ligne et les services cybersécurité.
de commerce électronique, et la compréhension par les utilisateurs de la
Policy Cybersecurity Culture Building Cybersecurity
protection des informations personnellesLegal and en ligne. En outre, Standards anddimension
cette Il convient de noter qu’il existe des relations entre les dimensions ; par exemple, pour
y
2 iand sion
menSociety 3 i m ensionand
Knowledge
4 i m ension 5
Regulatory Technologies être efficace dans un domaine, il faut souvent répondre à des exigences dans d’autres
D explore l’existence
DCapabilities de mécanismes de
DFrameworks signalement fonctionnant comme des
canaux permettant aux utilisateurs de signaler la cybercriminalité. En outre, cette domaines. Il est également vrai que les ressources sont limitées et que les priorités
Cybersecurity Policy Cybersecurity Culture Building Cybersecurity Legal and Standards and
dimension examine en matière de renforcement des capacités sont susceptibles d’exiger une réponse
nsion
andeStrategy anden sion 3 le rôle desKnowledge
m Society
médias et des réseaux sociaux
mensionand
dans la formation Technologies
mension 5
Regulatory des
1 Dim 2 D i D i 4
valeurs, des attitudes et des comportements en matière de cybersécurité.
Capabilities D i
Frameworks qui pourrait couvrir plusieurs dimensions. Par conséquent, une activité de test de
performance examine un pays par rapport à l’ensemble du CMM et à travers toutes
La 3e dimension : Renforcer les connaissances et les capacités en matière les dimensions, permettant une considération holistique de la capacité nationale.
ulture Building Cybersecurity
de cybersécurité
Legal and
rexamine la disponibilité,
Standards and
la qualité et l’adoption de
y3 imensionand
Knowledge programmes
im ensidestinés
Regulatory aux différents
on 5Dimension 1 groupes de parties prenantes, notamment
Technologies
4
DCapabilities DFrameworks le secteur privé et la population Dimension 2
le gouvernement, Cybersecurity Policy dans son ensemble, et
Cybersecurity
Policy Cybersecurity Culture concerne les programmes
Building Cybersecurity de sensibilisation
and Strategy Legal andCultureà and
la cybersécurité,
SocietyStandardslesandprogrammes
y
2 iand sion
menSociety 3 éducatifs e
Knowledge
im n sio
formels
nand
4 en matière de e ns i
Regulatory
im o
cybersécurité
n 5 et les programmes
Technologies de formation
D DCapabilities DFrameworks
professionnelle.
La 4e dimension : Cadres juridiques et réglementaire examine la capacité
curity Legal and des pouvoirs
Standardspublics
and à concevoir et à promulguer des lois nationales ayant un
nd
im n sio
Regulatory
e n rapport
5Dimension 1
Technologies
direct et indirect
Dimension avec2 la cybersécurité, en mettant l’accent en particulier
s4 DFrameworks
surPolicy
Cybersecurity les exigences réglementaires
Cybersecurity en matière de cybersécurité, les lois relatives
ulture à la cybercriminalité
and Strategy
Building Cybersecurity Legal andCultureet lesSociety
and lois Standards
connexes. La capacité à faire appliquer ces lois
and
y3 m ensionand
Knowledge
i 4 im ension 5
Regulatory Technologies
DCapabilities est examinée
DFrameworkspar le biais des capacités des services répressifs, des poursuites
D1
judiciaires, des organismes de réglementation et des tribunaux. En outre, cette
Dimension 3
Dimension 5
dimension observe des questions telles que les cadres de coopération formels
Building et
Cybersecurity
Standards and
informels pour lutter contre la cybercriminalité.
Technologies
Knowledge and
D2
Standards and Capabilities
y Dimension 1 TechnologiesDimension 2
s
Cybersecurity Policy Cybersecurity
curity
and Strategy Legal andCulture and SocietyStandards and D3
imension 5
nd Regulatory Technologies
s4 DFrameworks
1
Pour qu’un pays atteigne un niveau de maturité mis en œuvre sous l’aspect « Initiatives des pouvoirs publics » du facteur 3.1 « Sensibilisation à la cybersécurité », l’une des conditions à remplir est que le
contenu du programme national coordonné de sensibilisation à la cybersécuritéDimension
comporte des 3
liens explicites avec la stratégie nationale en matière de cybersécurité. De même, pour qu’un pays atteigne un D4
Dimension 5 Building Cybersecurity
Standards niveau
and de maturité mis en œuvre sous l’aspect « Administration » du facteur 3.2 Éducation à la cybersécurité, les priorités en matière d’éducation à la cybersécurité résultant du processus de consultation.
multipartite doivent être reflétées dans la stratégie nationale de cybersécurité. Knowledge and
Technologies DimensionCapabilities
4
Legal and Regulatory
D5
Dimension 2
Cybersecurity Frameworks
6 Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021
ulture and SocietyStandards and
y TechnologiesLa structure du CMM
Dimension : Indicateur :
les cinq dimensions couvrent l’ensemble des capacités nationales en matière de cybersécurité Les indicateurs représentent la partie la plus fondamentale de la structure du CMM. Chaque
évaluées par le CMM. Chaque dimension est constituée d’une série de facteurs, qui reflètent indicateur décrit les stades, les actions ou les blocs de construction qui sont indicatifs
les capacités essentielles requises pour la réaliser. Ensemble, ils représentent les différents d’un stade de maturité spécifique. Pour atteindre un stade de maturité, un pays devra se
« objectifs » à travers lesquelles les capacités nationales en matière de cybersécurité peuvent convaincre qu’il peut prouver chacun de ces indicateurs. Afin d’élever le niveau de maturité
être démontrées et analysées ; des capacités nationales en matière de cybersécurité d’un pays, tous les indicateurs d’un
stade particulier devront avoir été atteints. La plupart de ces indicateurs sont de nature
Facteur : binaire, c’est-à-dire que le pays peut soit prouver qu’il a rempli les critères de l’indicateur, soit
ne peut pas fournir cette preuve.
au sein des cinq dimensions, les facteurs décrivent ce que signifie posséder des capacités
nationales en matière de cybersécurité. Ce sont les éléments essentiels de la capacité
nationale, qui sont ensuite mesurés pour stade de maturité. La liste complète des facteurs
vise à intégrer de manière holistique tous les besoins d’une nation en matière de capacités
DIMENSION
nationales en matière de cybersécurité. La plupart des facteurs sont composés d’un certain
nombre d’aspects qui structurent les indicateurs du facteur en parties plus concises (qui sont
directement liées à la collecte et à la mesure des preuves). Cependant, certains facteurs, dont FACTEUR
la portée est plus limitée, n’ont pas d’aspects spécifiques ;
Aspect : ASPECT
lorsqu’un facteur possède plusieurs composantes, il s’agit d’aspects. Les aspects sont une
méthode d’organisation permettant de diviser les indicateurs en groupes plus petits, plus Stade de Stade de Stade Stade
Stade établi
démarrage formation stratégique dynamique
faciles à comprendre. Le nombre d’aspects dépend des thèmes qui émergent du contenu du
facteur et de la complexité globale du facteur ; Indicateurs
Indicateurs Indicateurs Indicateurs Indicateurs
Stade :
D1
Les stades définissent le degré de progression d’un pays par rapport à un certain facteur ou
aspect des capacités nationales en matière de cybersécurité. Le CMM comprend cinq stades
distincts: démarrage, formation, établi, stratégique, dynamique (voir page 8). L’examen D2
du CMM permettra d’évaluer un pays par rapport à ces stades, en tenant compte des
capacités nationales en matière de cybersécurité existantes, à partir desquelles un pays peut
s’améliorer ou décliner en fonction des mesures prises (ou non). Pour chaque stade, il existe D3
un certain nombre d’indicateurs qu’un pays doit remplir pour avoir atteint ce stade.
D4
D5
7 Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021Dimension 5 Building
Standards and Dimension 1 Cybersecurity
Dimension 2
Cybersecurity Policy Cybersecurity
Cybersecurity
Policy Culture
Knowledge Building Cy
and Cybersecurity
Technologies and Strategy and Society
Capabilities
and Strategy Culture andKnowle
Society
Les stades de la capacité nationale
Dimension 4 Capab
Legal and Regulatory
Frameworks
en matière de cybersécurité Dimension 5
Standards and
Dimensio
Building
Dimension 1 Cy
CybersecurityKnowledge
Policy
Technologies
Capabilities
and Strategy
Les stades définissent le degré de progression d’un pays par rapport à un certain facteur ou aspect des capacités nationales en matière de cybersécurité
Dimension 4
(voir page 6). L’examen du CMM permet de comparer un pays à ces stades et de déterminer les capacités nationales en matière de cybersécurité.
Legal and Regulatory
Stade de démarrage : Frameworks Dynamic
lors de ce stade, soit la maturité en matière de cybersécurité n’existe pas, soit elle est de nature très embryonnaire. Il peut y avoir des discussions Dimension 5
initiales sur le renforcement des capacités en matière de cybersécurité, mais aucune action concrète n’a été prise. Il peut y avoir une absence de Standards and
preuves observables lors de ce stade ; Technologies
Start-up Stage Formative Stage Established Stage Strategic Stage Dynamic Stage
Stade de formation : Dimension 4
Legal and Regulatory
certaines caractéristiques de l’aspect ont commencé à se développer et à être formulées, mais peuvent être désorganisées, mal définies, StrategicFrameworks
simplement nouvelles ou non systématiques. Cependant, les preuves de cette activité peuvent être clairement démontrées ;
Stade établi: Dimension 5
Standards and
les indicateurs de l’aspect sont en place, et les preuves montrent qu’ils fonctionnent. Il n’y Stage
Start-up a cependant pas de réflexion
Formativeapprofondie
Stage sur Established Stage Technologies
Strategic Stage Dynamic Stage
l’allocation relative des ressources. Peu de décisions de compromis ont été prises concernant l’investissement relatif dans les différents
éléments de l’aspect. Mais l’aspect est fonctionnel et défini ;
Dimension 4
Legal and Regulatory
Stade stratégique : Established Frameworks
des choix ont été faits quant aux parties de l’aspect qui sont importantes et à celles qui le sont moins pour l’organisation ou la nation
concernée. Le stade stratégique reflète le fait que ces choix ont été faits, en fonction des circonstances particulières de la nation ou de
l’organisation ; et Start-up Stage Formative Stage Established Stage Strategic Stage
Stade dynamique : Dimen
Legal and R
lors de ce stade, il existe des mécanismes clairs permettant de modifier la stratégie nationale en fonction des circonstances, telles que Formative Frame
la technologie de l’environnement de la menace, un conflit mondial ou un changement important dans un domaine de préoccupation
(par exemple, la cybercriminalité ou la vie privée). Il existe également des preuves d’un leadership mondial sur les questions de D1
cybersécurité. Les secteurs clés, du moins, ont conçu des méthodes permettant de modifier les stratégies à tout moment de
leur développement. La prise de décision rapide, la réaffectation des ressources et l’attention constante portée à l’évolution de
l’environnement sont des caractéristiques de ce stade. Start-up Stage Formative Stage Established Stage D2 S
Le CMM permet de comparer les capacités nationales actuelles en matière de cybersécurité. Comprendre les exigences pour
atteindre des niveaux de capacité plus élevés indiquera directement les domaines dans lesquels il faut investir davantage, et D3
la manière de prouver ces niveaux de capacité. Le CMM peut également servir à élaborer des analyses de rentabilité pour
Start-up
les investissements et les améliorations de performance attendues. En combinant un examen du CMM avec des évaluations
D4
nationales des risques et des stratégies sociales et économiques, il est possible de mieux hiérarchiser les améliorations à
apporter aux capacités.
Start-up Stage Formative Stage Establish
D5
8 Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021and Strategy
1ère Dimension : Politique et stratégie
en matière de cybersécurité
imension 1
D
Cette dimension explore la capacité du pays à élaborer et à mettre en
œuvre une stratégie de cybersécurité et à renforcer sa résilience en
matière de cybersécurité en améliorant ses capacités de réponse aux
incidents, de cyberdéfense et de protection des infrastructures critiques.
Cette dimension examine l’efficacité de la stratégie et de la politique
dans la mise en place d’une capacité nationale de cybersécurité, tout en
maintenant les avantages d’un cyberespace vital pour le gouvernement,
les entreprises internationales et la société en général.
D1
D 1.1
D 1.2
D 1.3
D 1.4
D2
D3
D4
D5
9 Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021Facteur Facteur
D 1.1 : Stratégie nationale de cybersécurité D 1.2 : Réponse aux incidents et gestion de crise
La stratégie en matière de cybersécurité est essentielle Ce facteur traite de la capacité du gouvernement à identifier
à l’intégration d’un programme de cybersécurité dans et à déterminer les caractéristiques des incidents de niveau
l’ensemble du gouvernement, car elle permet de donner national de manière systématique. Il examine également la
la priorité à la cybersécurité en tant que domaine d’action capacité du gouvernement à organiser, coordonner et rendre
important, de déterminer les responsabilités et les opérationnelle la réponse aux incidents, et si la cybersécurité
mandats des principaux acteurs gouvernementaux et non a été intégrée dans le cadre national de gestion de crise.
gouvernementaux en matière de cybersécurité et d’orienter > Navigate to Factor
l’affectation des ressources vers les questions et les priorités
émergentes et existantes en matière de cybersécurité. Aspects
> Navigate to Factor • Identification et catégorisation des incidents : cet aspect
identifie si des mécanismes internes sont en place pour
Aspects identifier et catégoriser les incidents ;
• Élaboration de la stratégie : cet aspect concerne
l’élaboration d’une stratégie nationale, la répartition des • Organisation : cet aspect traite de l’existence d’un organisme
pouvoirs de mise en œuvre entre les secteurs et la société central mandaté pour recueillir les informations sur les
civile, et une compréhension des risques et des menaces en incidents, et de sa relation avec les secteurs public et privé
matière de cybersécurité au niveau national, ce qui favorise pour la réponse aux incidents au niveau national ; et
le renforcement des capacités au niveau national ;
• Intégration de la cybersécurité dans la gestion nationale
• Contenu : Cet aspect concerne le contenu de la stratégie des crises : cet aspect examine dans quelle mesure la
nationale de cybersécurité et s’il est explicitement lié aux cybersécurité est intégrée dans le cadre de la gestion
risques, priorités et objectifs nationaux tels que la sécurité nationale des crises.
D1
nationale, la sensibilisation du public, l’atténuation de la
cybercriminalité, la capacité de réponse aux incidents et la
protection des infrastructures nationales critiques ; D 1.1
• Mise en œuvre et examen : cet aspect concerne l’existence D 1.2
d’un programme global de coordination de la cybersécurité,
comprenant un propriétaire ou un organisme de D 1.3
coordination ministériel doté d’un budget consolidé ; et
D 1.4
• Engagement international : cet aspect examine dans quelle
mesure le pays est conscient de l’existence de discussions
internationales sur la politique de cybersécurité, et comment D2
les débats internationaux sur la politique de cybersécurité et
les questions connexes affectent les intérêts du pays et son
statut international. standing. D3
D4
D5
10 Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021Facteur Facteur
D 1.3 : Protection des infrastructures critiques (IC) D 1.4 : La cybersécurité dans la défense et la
sécurité nationale
Ce facteur étudie la capacité du gouvernement à identifier
les actifs des IC, les exigences réglementaires spécifiques Ce facteur examine si le gouvernement a la capacité de
à la cybersécurité des IC, et la mise en œuvre de bonnes concevoir et de mettre en œuvre une stratégie de cybersécurité
pratiques de cybersécurité par les opérateurs d’IC. au sein de la sécurité nationale et de la défense. Il examine
> Navigate to Factor également le niveau des capacités nationales en matière de
cybersécurité au sein de l’établissement de sécurité nationale et
Aspects de défense, ainsi que les accords de coopération en matière de
• Identification : cet aspect concerne l’existence d’une liste cybersécurité entre les entités civiles et de défense.
générale des actifs, secteurs et opérateurs d’infrastructures > Navigate to Factor
critiques, ainsi qu’un audit régulier des actifs
d’infrastructures critiques ; Aspects
• Stratégie de cybersécurité des forces de défense : cet
• Exigences réglementaires : cet aspect traite de l’existence aspect porte sur l’existence d’une stratégie de soutien à
d’exigences réglementaires spécifiques à la cybersécurité la cybersécurité au sein de la sécurité nationale et de la
des IC ; et défense, et si elle est soutenue par les autorités juridiques
appropriées et la doctrine opérationnelle et les règles
• Pratiques opérationnelles : cet aspect examine si les
d’engagement pertinentes ;
opérateurs d’infrastructures critiques mettent en œuvre des
normes industrielles reconnues, et l’existence d’accords de • Capacités nationales en matière de cybersécurité des
coopération entre et au sein des secteurs. forces de défense : cet aspect examine le niveau des
capacités nationales en matière de cybersécurité et les
structures organisationnelles au sein de l’établissement de D1
sécurité nationale ; et
• Coordination de la défense civile : cet aspect examine la D 1.1
coopération en matière de cybersécurité entre les entités
civiles et de défense, ainsi que l’existence de ressources D 1.2
adéquates.
D 1.3
D 1.4
D2
D3
D4
D5
11 Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021Facteur - D 1.1 : Stratégie nationale de cybersécurité
Aspect Stade de démarrage Stade de formation Stade établi Stade stratégique Stade dynamique
Il n’existe pas de stratégie Les processus d’élaboration de la Une stratégie nationale de Des processus de révision et de La stratégie nationale de
nationale de cybersécurité, stratégie ont été lancés. cybersécurité a été publiée. renouvellement de la stratégie cybersécurité et le plan de mise
bien que les processus de sont en place. en œuvre sont tous deux revus
Une ébauche de stratégie Une évaluation du risque de
planification pour l’élaboration de manière proactive afin de
nationale en matière de cybersécurité nationale spécifique à Les risques émergents en
d’une stratégie aient peut-être tenir compte des évolutions
cybersécurité a été élaborée. chaque pays a été réalisée. matière de cybersécurité sont
commencé. stratégiques plus larges du
régulièrement évalués et utilisés
Des processus de consultation ont La stratégie reflète les besoins et pays (politiques, économiques,
Des conseils peuvent avoir été pour mettre à jour la stratégie et le
été convenus pour les principaux les rôles des parties prenantes sociales, techniques, juridiques et
demandés à des partenaires plan de mise en œuvre.
groupes de parties prenantes, concernées au sein du gouvernement environnementales).
internationaux.
Développement notamment le secteur privé, la (national et infranational), des L’impact de la stratégie sur la
Le pays est une autorité reconnue
société civile et les partenaires entreprises et de la société civile. réduction des risques et des
de la stratégie au sein de la communauté
internationaux dommages est compris et utilisé
Un programme de mise en œuvre internationale et soutient le
pour informer les décisions de
est en place et couvre le champ développement de stratégies
financement et de priorité.
d’application de la stratégie. nationales et mondiales en matière
de cybersécurité.
Des mécanismes sont en place pour
permettre aux « propriétaires » de la Les considérations relatives à la
stratégie de contrôler la réalisation cybersécurité sont intégrées dans
des résultats, de traiter les problèmes d’autres stratégies et programmes
de mise en œuvre et de maintenir de mise en œuvre pertinents au
l’alignement de la stratégie. niveau national.
Il peut exister diverses Il existe un contenu qui reflète Le contenu de la stratégie nationale Le contenu tient compte Le contenu tient compte de
politiques et stratégies les priorités et les circonstances de cybersécurité est basé sur une de l’impact sur le risque de l’impact de développements
nationales faisant référence à propres à chaque pays. évaluation complète des risques cybersécurité des technologies plus larges sur le risque de
la cybersécurité, mais elles ne qui comprend des liens explicites émergentes et de leur utilisation cybersécurité (politique,
Des liens existent entre la stratégie
sont pas exhaustives et rien ne avec des politiques et stratégies au sein des infrastructures économique, social, technique, D1
(ou le projet de stratégie) et des
prouve qu’elles reflètent les économiques et politiques plus larges critiques, l’économie au sens large juridique et environnemental).
priorités telles que la sécurité
priorités et les circonstances au niveau national. et la société.
nationale, la stratégie numérique Le contenu de la stratégie
nationales spécifiques.
et le développement économique, Le contenu comprend des actions Les résultats définis dans la nationale de cybersécurité favorise D 1.1
mais ils sont généralement au coup visant à sensibiliser le public et stratégie sont spécifiques et et encourage la coopération
par coup et manquent de détails. les entreprises, à atténuer la mesurables. Des paramètres bilatérale et multilatérale entre
cybercriminalité, à établir une ont été définis pour permettre les pays afin de garantir un D 1.2
La stratégie (ou le projet de
capacité de réponse aux incidents, à aux parties prenantes d’évaluer cyberespace sûr, résilient et fiable.
Contenu stratégie) définit les principaux
promouvoir le partenariat public- l’efficacité de la stratégie en
résultats par rapport auxquels le D 1.3
privé et à protéger les infrastructures matière de réduction des
succès peut être évalué.
critiques et l’économie au sens large. dommages.
La manière dont la stratégie Une réflexion a été menée sur
D 1.4
nationale de cybersécurité pourrait la manière dont les résultats
intégrer ou soutenir des objectifs bénéfiques de la stratégie peuvent
politiques en ligne plus larges, tels être maintenus au-delà de la durée D2
que la protection des enfants, la de vie de la stratégie, y compris
promotion des droits de l’homme, la la manière dont le maintien des
promotion de l’égalité, de la diversité nouvelles capacités sera financé. D3
et de l’inclusion, et la gestion de la
désinformation a été examinée.
D4
D5
12 Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021Facteur - D 1.1 : Stratégie nationale de cybersécurité
Aspect Stade de démarrage Stade de formation Stade établi Stade stratégique Stade dynamique
Aucun programme national de mise en œuvre de la Un plan de mise en œuvre détaillé a Des mesures axées sur les Des mécanismes sont en place
global de mise en œuvre de la cybersécurité est en cours été publié, comprenant des actions, résultats sont utilisées pour pour apporter des modifications
cybersécurité n’a été élaboré. d’élaboration avec la participation des entités responsables et des surveiller l’impact du programme plus profondes au programme
des acteurs concernés, budgets de ressources. Le plan de sur la réduction des risques (et en cas de changements
notamment le secteur privé et la mise en œuvre implique les parties d’autres objectifs stratégiques importants des circonstances
société civile. prenantes concernées au sein du pertinents). (politiques, économiques,
gouvernement et d’autres secteurs. sociales, techniques, juridiques et
Les actions du programme ont été Il existe des preuves que ces
environnementales).
attribuées à des « responsables » Un organisme de coordination a été mesures sont utilisées pour
spécifiques, mais la disponibilité désigné. Cet organisme dispose d’une affiner les plans d’action. Le programme contribue au
des ressources adéquates n’a pas autorité suffisante pour veiller à ce développement mondial de
Les paramètres (tant ceux qui
Mise en œuvre encore été confirmée. que les « responsables » des actions mesures axées sur les résultats et
concernent les progrès que
soient tenus de rendre des comptes. à leur application.
et révision Les mécanismes d’examen des ceux axés sur les résultats)
processus sont limités ou ne sont Les ressources nécessaires à la proviennent d’un large éventail
pas systématiques. réalisation des actions du programme de sources gouvernementales,
ont été identifiées et sont en place. non gouvernementales et
Les déficits budgétaires sont identifiés internationales.
et transmis à l’autorité compétente.
Il existe une supervision et/ou
Des processus de révision du une garantie indépendante du
programme et des paramètres sont en programme.
place pour permettre de mesurer les
progrès et de transmettre les risques,
les problèmes et les dépendances à
l’autorité compétente. Ces processus
sont financés de manière adéquate.
La connaissance des Le pays est conscient de Une évaluation a été faite sur Le pays s’emploie activement à Le pays est un acteur de premier D1
principaux débats l’existence de discussions la manière dont les débats créer des communautés d’intérêt plan dans la recherche d’un
internationaux relatifs à la internationales sur la politique internationaux sur la politique internationales autour d’objectifs consensus, la promotion de
politique de cybersécurité de cybersécurité et les questions de cybersécurité et les questions politiques spécifiques en matière l’inclusivité et l’orientation des D 1.1
(tels que les normes de connexes. connexes affectent les intérêts et la de cybersécurité et à promouvoir débats internationaux sur les
cybersécurité, l’entraide position internationale du pays. Des leur adoption. principales questions de politique
Le pays peut, à l’occasion, D 1.2
judiciaire mutuelle, la objectifs d’engagement spécifiques de cybersécurité.
participer à des discussions Le pays apporte une contribution
gouvernance de l’Internet, la ont été définis en conséquence. De
régionales ou internationales importante aux organes Le pays se concentre sur
souveraineté des données, la multiples parties prenantes ont été D 1.3
sur des questions liées à la opérationnels régionaux/ l’avenir, voit les questions
Engagement protection des données) est impliquées dans ce processus.
cybersécurité, mais ne joue internationaux et participe émergentes (autour des nouvelles
limitée.
international généralement pas un rôle actif. Le pays participe activement aux activement au renforcement des technologies ou des nouveaux
Le pays peut bénéficier des instances et forums internationaux capacités dans les pays tiers. types de menaces) et lance de
D 1.4
Le pays peut participer à la
réseaux de collaboration pertinents, soit directement, soit nouveaux débats internationaux
collaboration opérationnelle et
opérationnelle régionaux/ par l’intermédiaire d’organes autour des questions clés.
aux organes politiques pertinents D2
internationaux, mais ne s’y représentatifs. Leurs voix sont
(tels que FIRST*, les organes Le pays participe activement
engage pas activement. entendues et ont un impact.
régionaux de CERT**, le FGI*** à la création de nouveaux
ou le GGE**** des Nations unies), Le pays contribue activement à mécanismes de collaboration
mais il joue principalement un la collaboration opérationnelle régionale/internationale. D3
rôle passif. régionale/internationale et aux
organes politiques.
D4
*Forum des équipes de réponse aux incidents et de sécurité ** Computer Emergency Response Team (Équipe d’intervention en cas d’urgence informatique)
*** Forum sur la gouvernance de l’Internet **** Le groupe d’experts gouvernementaux des Nations Unies D5
13 Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021Facteur - D 1.2 : Réponse aux incidents et gestion de crise
Aspect Stade de démarrage Stade de formation Stade établi Stade stratégique Stade dynamique
Il n’existe aucun processus Certaines organisations et La plupart des grandes Les enseignements tirés des Les critères de classement des
d’identification et de certains secteurs disposent organisations disposent de incidents survenus au niveau incidents sont suffisamment
catégorisation des incidents au de mécanismes internes pour mécanismes internes pour national sont systématiquement souples pour tenir compte
niveau national. identifier et classer les incidents identifier et classer les incidents. analysés afin d’en tirer des de l’évolution rapide de
Identification qui relèvent de leur compétence. enseignements et d’éclairer l’environnement technologique
Il existe un registre central des
la politique et la stratégie de ou des menaces sous-jacentes.
et Un processus d’identification des incidents de cybersécurité au
cybersécurité au sens large.
catégorisation incidents au niveau national est niveau national et un processus Le pays contribue aux meilleures
en cours d’élaboration. de remontée rapide des incidents, pratiques internationales en
des incidents du niveau organisationnel au matière d’identification et de
Il n’y a pas de registre central en
niveau national, est en place. catégorisation des incidents.
place, mais des arrangements
au coup par coup existent pour Les incidents nationaux
traiter les événements les plus individuels sont classés en
importants. fonction de leur gravité et les
ressources sont allouées en
conséquence.
Il n’existe aucune organisation Une CERT* nationale peut exister, Un organisme national de réponse L’organisme national entreprend La réponse opérationnelle globale
pour la réponse aux mais ne dispose pas de ressources aux incidents a été créé. Il dispose un large éventail d’activités du gouvernement s’adapte aux
cyberincidents au niveau national. et de compétences suffisantes. des ressources, des compétences, d’engagement telles que la changements de l’environnement
des processus documentés et des convocation de communautés technique et des menaces sous-
Quelques organisations Les processus de gestion des
autorisations légales nécessaires d’intérêts, l’organisation jacentes.
peuvent avoir mis en place des incidents sont encore en cours de
pour faire face à l’ensemble des d’exercices intersectoriels et
mécanismes internes de réponse développement. Le pays contribue aux meilleures
scénarios de cyberincidents la promotion des meilleures
à la cybersécurité, mais la pratiques internationales sur la
Certaines organisations des auxquels le pays est susceptible pratiques en matière de
coordination est minimale. manière d’organiser les réponses
secteurs public et privé ont mis d’être confronté (y compris les cybersécurité.
opérationnelles aux menaces de
en place des mécanismes internes capacités en dehors des heures de D1
L’organisme national innove pour cybersécurité.
de réponse à la cybersécurité, travail, le cas échéant).
fournir une gamme de services
mais la coordination avec la CERT
Des relations et des protocoles supplémentaires qui améliorent
nationale n’est pas systématique.
sont en place pour permettre la capacité du pays à prévenir, D 1.1
Le rôle des organismes la coordination de la gestion détecter, répondre et se remettre
infranationaux n’est pas clair. des incidents entre l’organisme des menaces.
national et d’autres éléments des D 1.2
Organisation La coopération bilatérale avec les L’organisme national est
secteurs public et privé.
partenaires internationaux est largement reconnu comme une
limitée ou au coup par coup. Le rôle des organismes voix faisant autorité en matière de D 1.3
infranationaux dans la réponse cybersécurité dans le pays.
aux incidents est clair et des
mécanismes sont en place pour
L’efficacité de l’organisme D 1.4
national dans la réduction des
permettre la coordination entre les
cyberisques et des dommages
niveaux national et infranational.
est régulièrement évaluée et D2
Il existe un partage régulier comparée aux bonnes pratiques
d’informations sur les menaces internationales.
et les vulnérabilités, ainsi que de
bonnes pratiques opérationnelles D3
entre l’organisme national et un
large éventail d’organisations des
secteurs public et privé, ainsi que D4
des partenaires internationaux.
* Computer Emergency Response Team (Équipe d’intervention en cas d’urgence informatique) D5
14 Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021Vous pouvez aussi lire
