Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021

La page est créée Francis Guillon
 
CONTINUER À LIRE
Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021
Modèle de Maturité de la Capacité
de Cybersécurité pour les Nations (CMM)   Édition 2021
Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021
Résumé
Les économies du monde entier continuent de se                            Poussé par l’évolution du paysage des menaces et des
développer en dépendant de plus en plus de la technologie.                pratiques de cybersécurité correspondantes, le GCSCC a
Si nous ne veillons pas à ce que des capacités de                         mené une révision du CMM, la première à être réalisée
cybersécurité existent dans l’ensemble du cyberespace,                    depuis la publication de l’édition 2016. Pour produire
nous créerons inévitablement des cyberghettos. Dans de                    cette édition 2021, le GCSCC a entrepris un exercice de
tels environnements, les cybermenaces peuvent devenir                     coopération mondiale visant à extraire et synthétiser les
monnaie courante et les cyberattaques peuvent être                        dernières connaissances de la communauté. Le GCSCC
facilement lancées. L’aptitude des pays à réagir et à accroître           a élaboré des propositions de changement basées sur
leurs capacités face à l’évolution des menaces — qu’elles                 les enseignements tirés des déploiements du CMM, et a
soient dues aux tendances de l’utilisation des technologies,              entrepris une série de consultations en ligne et hors ligne
au climat sociopolitique ou à l’évolution de l’écosystème des             avec des experts, pour valider les résultats et discuter des
acteurs de la menace — n’a jamais été aussi importante.                   changements. Les personnes consultées comprennent le
                                                                          groupe consultatif d’experts du GCSCC, les partenaires
Le modèle de maturité de la capacité de cybersécurité pour                stratégiques, régionaux et de mise en œuvre du GCSCC,
les nations (CMM, Cybersecurity Capacity Maturity Model                   ainsi que d’autres experts issus du monde universitaire,
for Nations) aide les nations à comprendre ce qui fonctionne,             d’organisations internationales et régionales, de
ce qui ne fonctionne pas ainsi que le pourquoi, dans tous                 gouvernements, du secteur privé et de la société civile. Sur
les domaines des capacités nationales en matière de                       la base de leur contribution, des indicateurs pour chaque
cybersécurité. C’est important pour que les gouvernements                 aspect ont été identifiés, conçus, affinés et validés.
et les entreprises puissent adopter des politiques et faire des
investissements susceptibles d’améliorer considérablement                 Les acteurs du monde entier, qu’il s’agisse d’individus ou
la sûreté et la sécurité dans le cyberespace, tout en                     d’États-nations, doivent veiller à ce que le cyberespace
respectant les droits de l’homme, tels que la vie privée et la            et les systèmes qui en dépendent soient résistants aux
liberté d’expression.                                                     attaques croissantes. L’édition 2021 du CMM et son
                                                                          déploiement continueront de contribuer aux efforts visant à
Depuis 2015, le Centre mondial des capacités en matière de                atteindre cette résilience, non seulement en acquérant une
cybersécurité (GCSCC, Global Cyber Security Capacity Centre)              compréhension plus approfondie de la capacité en matière
a activement promu le CMM dans tous les secteurs, afin                    de cybersécurité internationale, mais aussi en augmentant      D1
d’alimenter la conversation autour des capacités nationales               l’investissement effectif dans les capacités nationales
en matière de cybersécurité et de contribuer à améliorer la               en matière de cybersécurité sur la base d’une analyse
technologie mondiale. L’adoption du CMM qui en a résulté                                                                                 D2
                                                                          rigoureuse des données recueillies lors du déploiement
par diverses parties prenantes internationales majeures, et               du modèle. Les lacunes critiques dans tous les domaines
la réalisation de plus de 120 examens du CMM dans plus de                 de la cybersécurité internationale seront identifiées et       D3
85 pays, démontre l’impact positif de la recherche, soutient              comblées par des contre-mesures évolutives et efficaces,
les auto-évaluations des gouvernements et informe sur le                  en coopération avec des partenaires internationaux de la
développement d’outils et de ressources du secteur.                       communauté mondiale de la cybersécurité.                       D4

                                                                                                                                         D5

2       Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021
Sommaire                                                                                       Executive Summary
                                                                                               Une évaluation nationale de la cybersécurité avec le CMM
                                                                                               Les dimensions de la capacité nationale en matière de cybersécurité
                                                                                                                                                                                                     2
                                                                                                                                                                                                     4
                                                                                                                                                                                                     5
                                                                                               La structure du CMM                                                                                   7

                                                                                               1ère dimension : Politique et stratégie en matière de cybersécurité                                   9
                                                                                               D 1.1 : Stratégie nationale de cybersécurité                                                         12
                                                                                               D 1.2 : Réponse aux incidents et gestion de crise                                                    14
                                                                                               D 1.3 : Protection des infrastructures critiques (IC) 		                                             16
                                                                                               D 1.4 : La cybersécurité dans la défense et la sécurité nationale                                    17

                                                                                               2e dimension : Culture et Société de la cybersécurité                                                19
                                                                                               D 2.1 : L'état d'esprit en matière de cybersécuri                                                    22
                                                                                               D 2.2 : Confiance dans les services en ligne		                                                       24
                                                                                               D 2.3 : Compréhension par les utilisateurs de la protection des renseignements personnels en ligne   27
                                                                                               D 2.4 : Mécanismes de rapport                                                                        28
                                                                                               D 2.5 : Médias et plateformes en ligne                                                               29

                                                                                               3e dimension : Renforcement des connaissances et des capacités en
                                                                                               matière de cybersécurité                                                                             30
                                                                                               D 3.1 : Sensibilisation à la cybersécurité                                                           33
                                                                                               D 3.2 : Éducation à la cybersécurité                                                                 36
                                                                                               D 3.3 : Formation des professionnels de la cybersécurité		                                           38
                                                                                               D 3.4 : Recherche et innovation en matière de cybersécurité                                          40

                                                                                               4e dimension : cadres juridiques et réglementaire                                                    41
                                                                                               D 4.1 : Dispositions légales et réglementaires                                                       44
                                                                                               D 4.2 : Cadres législatifs connexes                                                                  46
                                                                                               D 4.3 : Capacités et moyens juridiques et réglementaires                                             48
                                                                                               D 4.4 : Cadres de coopération formelle et informelle pour lutter contre la cybercriminalité          50

                                                                                               5e dimension : Normes et technologies                                                                51
                                                                                               D 5.1 : Adhésion aux normes 		                                                                       54
                                                                                               D 5.2 : Contrôles de sécurité                                                                        57   D1
                                                                                               D 5.3 : Qualité du logiciel                                                                          59
                                                                                               D 5.4 : Résilience des infrastructures de communication et d'Internet 			                            60
                                                                                               D 5.5 : Marché de la cybersécurité 					                                                             61   D2
                                                                                               D 5.6 : Divulgation responsable                                                                      63

                                                                                               Evolution du CMM                                                                                     64   D3
                                                                                               Remerciements                                                                                        65
                                                                                               À propos de GCSCC                                                                                    66
                                                                                                                                                                                                         D4

                                                                                                                                                                                                         D5

3   Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021
Une évaluation nationale de la
cybersécurité avec le CMM
L’examen du CMM d’un pays implique la collecte de données                 • la mise en réseau et la coopération avec les entreprises et
par une équipe de chercheurs qui mènent des consultations                   la Société au sens large ;
avec les parties prenantes dans le pays et des recherches
documentaires. Le résultat est un rapport fondé sur des                   • le renforcement de la crédibilité interne des objectifs de la
preuves qui :                                                               cybersécurité au sein des gouvernements ;

• permet d’évaluer la maturité de la capacité d’un pays en                • une aide à définir les rôles et les responsabilités au sein
  matière de cybersécurité ;                                                des gouvernements ;

• détaille un ensemble pragmatique d’actions visant à                     • une mise à disposition des preuves pour augmenter le
  contribuer à combler les lacunes en matière de maturité                   financement du renforcement des capacités en matière de
  des capacités de cybersécurité ; et                                       cybersécurité ; et

• identifie les priorités en matière d’investissement et                  • une base pour l’élaboration de stratégies et de politiques
  de renforcement des capacités futures, sur la base des                    nationales.
  besoins spécifiques d’un pays.
                                                                          Il est important qu’un pays puisse prouver ses réalisations en
Selon une étude indépendante commandée par UK Foreign                     matière de cybersécurité et le CMM définit ce que doivent
and Commonwealth Office (FCDO, le Bureau des Affaires                     être ces preuves et ce qu’elles démontrent. Cette collecte de
étrangères, du Commonwealth et du Développement du                        preuves est en soi un processus multipartite, impliquant un
Royaume-Uni), les avantages d’un examen du CMM pour un                    large éventail de sources et d’organisations. Les discussions
pays sont nombreux et comprennent notamment :                             peuvent être importantes pour résoudre les divergences
                                                                          d’opinions. Le pays qui entreprend l’examen décidera si ces
• une sensibilisation accrue à la cybersécurité et un                     discussions peuvent être efficaces si elles sont menées à
  renforcement des capacités, ainsi qu’une plus grande                    distance (et en ligne), ou si elles nécessitent des réunions en
  coopération au sein du gouvernement ;                                   présentiel.                                                       D1

                                                                          Pour plus d’informations sur la méthodologie et le
                                                                          processus d’examen du CMM et sur les rapports                     D2
                                                                          exemplaires du CMM, consultez le site:
                                                                          https://gcscc.ox.ac.uk/the-cmm
                                                                                                                                            D3

                                                                                                                                            D4

                                                                                                                                            D5

4       Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021
Cybersecurity Policy                Cybersecurity Culture      Building Cybersecurity               Legal and                Standards and
                                                             and Strategy                         and Society               Knowledge and                     Regulatory                Technologies
                                                                                                                               Capabilities                  Frameworks

Les dimensions de la
capacité nationale
                                                                                                          Politique  et stratégie
                                                                                                             Dimension       1              Culture et 2
                                                                                                                                           Dimension
                                                                                                              en matière   de
                                                                                                           Cybersecurity Policy          Société de la
                                                                                                                                          Cybersecurity
                                                                                                              cybersécurité             cybersécurité

en matière de
                                                                                                                and Strategy           Culture and Society

cybersécurité
Le CMM considère que la cybersécurité comprend cinq dimensions
qui, ensemble, constituent l’étendue de la capacité nationale dont
un pays a besoin pour être efficace en matière de cybersécurité :

1. Développer une politique et une stratégie de cybersécurité ;                                                                                                        Renforcement
                                                                                                                                                                       Dimension  3 des
                                                                               Dimension
                                                                                 Normes et5                                                                            connaissances
                                                                                                                                                                       Building       et des
                                                                                                                                                                                Cybersecurity
2. Encourager une culture responsable de la cybersécurité au
                                                                                 Standards and
                                                                                 technologies                                                                          capacités  en matière
    sein de la Société ;                                                                                                                                               Knowledge and
                                                                                   Technologies                                                                        de cybersécurité
                                                                                                                                                                       Capabilities
3. Renforcer les connaissances et les capacités en matière de
    cybersécurité ;

4. Créer des cadres juridiques et réglementaires efficaces ; et

5. Maîtriser les risques grâce aux normes et aux technologies.

                                                                                                                            Dimension
                                                                                                                         Cadres          4 et
                                                                                                                                juridiques                                                             D1
                                                                                                                         Legal and Regulatory
                                                                                                                           réglementaires
                                                                                                                              Frameworks
                                                                                                                                                                                                       D2

                                                                                                                                                                                                       D3

                                                                                                                                                                                                       D4

                                                                                                                                                                                                       D5

5       Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021
ension 1                           ension 2                          ension                        imension 4 examine la          ension 5
                   Dim                      La 1èreDim dimension      : Politique et Dim stratégie3en matière deDcybersécurité                      Dim           La 5e dimension : Normes et technologies porte sur l’utilisation efficace et
                                            capacité du pays à élaborer et à mettre en œuvre une stratégie de cybersécurité,                                      généralisée des technologies de cybersécurité pour protéger les personnes,
                                            et à renforcer sa résilience en matière de cybersécurité en améliorant ses capacités                                  les organisations et les infrastructures nationales. Cette dimension examine
                                            de réponse aux incidents, de cyberdéfense et de protection des infrastructures                                        spécifiquement la mise en œuvre de normes et de bonnes pratiques en matière
                                            critiques (IC). Cette dimension examine l’efficacité de la stratégie et de la politique                               de cybersécurité, le déploiement de processus et de contrôles, ainsi que le
                                            dans la mise en place d’une capacité nationale de cybersécurité, tout en maintenant                                   développement de technologies et de produits afin de réduire les risques liés à la
                Cybersecurity Policy        les Cybersecurity
                                                avantages d’un        cyberespace
                                                                Culture                vitalCybersecurity
                                                                                Building      pour le gouvernement,           lesand
                                                                                                                           Legal  entreprises       Standards and cybersécurité.
                       nsion
                   andeStrategy                      anden
                                            internationales  sionet3 la société enKnowledge
                                                           Society
                                                                                       imension 4
                                                                                     général.       and
                                                                                                                         imension 5
                                                                                                                          Regulatory                 Technologies
 1                 Dim           2                 Dim                               DCapabilities                     DFrameworks                                Le CMM définit cinq stades de maturité pour toutes les dimensions : démarrage,
                                            La 2e dimension : Culture et Société de la cybersécurité passe en revue les                                           formation, établi, stratégie et dynamique. Ces stades correspondent aux éléments
                      ension 1                             nsion 2
                                                         eimportants                          siocybersécurité
                                                                                           ende    n3                        ension 4tels que la        ension 5 suivants : développement initial de la capacité, implémentation, leadership
                   Dim                      éléments
                                                   D im                  d’une       D im
                                                                                  culture                                 m
                                                                                                                    responsable,
                                                                                                                       D i                          D im
                                            compréhension des risques liés à la cybercriminalité dans la Société, le niveau                                       mondial et capacité à anticiper et à se préparer aux besoins futurs en matière de
                                            de confiance dans les services Internet, l’administration en ligne et les services                                    cybersécurité.
                                            de commerce électronique, et la compréhension par les utilisateurs de la
Policy         Cybersecurity Culture           Building Cybersecurity
                                            protection      des informations personnellesLegal and en ligne. En outre, Standards   anddimension
                                                                                                                                cette                             Il convient de noter qu’il existe des relations entre les dimensions ; par exemple, pour
 y
 2                 iand sion
                    menSociety   3                   i m ensionand
                                                  Knowledge
                                                                   4                   i m ension 5
                                                                                       Regulatory                       Technologies                              être efficace dans un domaine, il faut souvent répondre à des exigences dans d’autres
                   D                        explore    l’existence
                                                   DCapabilities       de mécanismes         de
                                                                                     DFrameworks  signalement     fonctionnant      comme   des
                                            canaux     permettant      aux  utilisateurs     de   signaler  la cybercriminalité.      En outre,  cette            domaines. Il est également vrai que les ressources sont limitées et que les priorités
                Cybersecurity Policy            Cybersecurity Culture           Building Cybersecurity                     Legal and                Standards and
                                            dimension      examine                                                                                                en matière de renforcement des capacités sont susceptibles d’exiger une réponse
                       nsion
                   andeStrategy                      anden   sion 3 le rôle desKnowledge
                                                       m Society
                                                                                      médias      et des réseaux sociaux
                                                                                         mensionand
                                                                                                                                 dans la formation Technologies
                                                                                                                          mension 5
                                                                                                                          Regulatory                 des
 1                 Dim           2                 D i                               D i             4
                                            valeurs, des attitudes et des comportements en matière de cybersécurité.
                                                                                       Capabilities                    D i
                                                                                                                        Frameworks                                qui pourrait couvrir plusieurs dimensions. Par conséquent, une activité de test de
                                                                                                                                                                  performance examine un pays par rapport à l’ensemble du CMM et à travers toutes
                                            La 3e dimension : Renforcer les connaissances et les capacités en matière                                             les dimensions, permettant une considération holistique de la capacité nationale.
ulture        Building Cybersecurity
                                            de cybersécurité
                                                       Legal and
                                                                    rexamine     la disponibilité,
                                                                                     Standards and
                                                                                                        la qualité   et  l’adoption   de
y3                  imensionand
                 Knowledge                  programmes
                                                     im  ensidestinés
                                                      Regulatory          aux différents
                                                               on 5Dimension       1           groupes de parties prenantes, notamment
                                                                                      Technologies
                              4
                  DCapabilities                    DFrameworks le secteur privé et la population     Dimension 2
                                            le gouvernement,     Cybersecurity Policy                            dans son ensemble, et
                                                                                                       Cybersecurity
Policy         Cybersecurity Culture        concerne      les programmes
                                               Building Cybersecurity           de sensibilisation
                                                                      and Strategy       Legal andCultureà and
                                                                                                           la cybersécurité,
                                                                                                                SocietyStandardslesandprogrammes
 y
 2                 iand sion
                    menSociety   3          éducatifs    e
                                                  Knowledge
                                                     im    n sio
                                                          formels
                                                                nand
                                                                   4 en  matière    de     e ns i
                                                                                       Regulatory
                                                                                       im        o
                                                                                         cybersécurité
                                                                                                   n 5      et les programmes
                                                                                                                        Technologies de formation
                   D                               DCapabilities                     DFrameworks
                                            professionnelle.

                                            La 4e dimension : Cadres juridiques et réglementaire examine la capacité
 curity               Legal and          des pouvoirs
                                                Standardspublics
                                                            and     à concevoir et à promulguer des lois nationales ayant un
nd
                    im   n sio
                    Regulatory
                        e     n          rapport
                                5Dimension 1
                                                 Technologies
                                                    direct  et indirect
                                                               Dimension  avec2 la cybersécurité, en mettant l’accent en particulier
s4                DFrameworks
                                         surPolicy
                               Cybersecurity les exigences réglementaires
                                                                Cybersecurity       en matière de cybersécurité, les lois relatives
ulture                                   à la cybercriminalité
                                  and Strategy
              Building Cybersecurity                Legal andCultureet lesSociety
                                                                     and    lois Standards
                                                                                 connexes.   La capacité à faire appliquer ces lois
                                                                                           and
y3                   m  ensionand
                 Knowledge
                    i           4                 im  ension 5
                                                   Regulatory                     Technologies
                  DCapabilities          est examinée
                                                DFrameworkspar  le biais  des  capacités   des services répressifs, des poursuites
                                                                                                                                                                                                                                                             D1
                                            judiciaires, des organismes de réglementation et des tribunaux. En  outre, cette
                                                                                                             Dimension    3
                                     Dimension    5
                                            dimension   observe des questions telles que les cadres de coopération  formels
                                                                                                             Building        et
                                                                                                                      Cybersecurity
                                      Standards and
                                            informels pour lutter contre la cybercriminalité.
                                       Technologies
                                                                                                             Knowledge and
                                                                                                                                                                                                                                                             D2
                   Standards and                                                                                                 Capabilities
y Dimension 1 TechnologiesDimension 2
 s
Cybersecurity Policy              Cybersecurity
 curity
    and Strategy      Legal andCulture and SocietyStandards and                                                                                                                                                                                              D3
                     imension 5
 nd                  Regulatory                     Technologies
s4                 DFrameworks
               1
                 Pour qu’un pays atteigne un niveau de maturité mis en œuvre sous l’aspect « Initiatives des pouvoirs publics » du facteur 3.1 « Sensibilisation à la cybersécurité », l’une des conditions à remplir est que le
               contenu du programme national coordonné de sensibilisation à la cybersécuritéDimension
                                                                                                  comporte des 3
                                                                                                               liens explicites avec la stratégie nationale en matière de cybersécurité. De même, pour qu’un pays atteigne un                                D4
   Dimension      5                                                                              Building Cybersecurity
     Standards niveau
               and de maturité mis en œuvre sous l’aspect « Administration » du facteur 3.2 Éducation à la cybersécurité, les priorités en matière d’éducation à la cybersécurité résultant du processus de consultation.
               multipartite doivent être reflétées dans la stratégie nationale de cybersécurité. Knowledge and
      Technologies                                                                DimensionCapabilities
                                                                                                 4
                                                                               Legal and Regulatory
                                                                                                                                                                                                                                                             D5
 Dimension 2
   Cybersecurity                                                                    Frameworks
               6          Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021
 ulture and SocietyStandards and
y                   Technologies
La structure du CMM
    Dimension :                                                                                       Indicateur :
    les cinq dimensions couvrent l’ensemble des capacités nationales en matière de cybersécurité      Les indicateurs représentent la partie la plus fondamentale de la structure du CMM. Chaque
    évaluées par le CMM. Chaque dimension est constituée d’une série de facteurs, qui reflètent       indicateur décrit les stades, les actions ou les blocs de construction qui sont indicatifs
    les capacités essentielles requises pour la réaliser. Ensemble, ils représentent les différents   d’un stade de maturité spécifique. Pour atteindre un stade de maturité, un pays devra se
    « objectifs » à travers lesquelles les capacités nationales en matière de cybersécurité peuvent   convaincre qu’il peut prouver chacun de ces indicateurs. Afin d’élever le niveau de maturité
    être démontrées et analysées ;                                                                    des capacités nationales en matière de cybersécurité d’un pays, tous les indicateurs d’un
                                                                                                      stade particulier devront avoir été atteints. La plupart de ces indicateurs sont de nature
    Facteur :                                                                                         binaire, c’est-à-dire que le pays peut soit prouver qu’il a rempli les critères de l’indicateur, soit
                                                                                                      ne peut pas fournir cette preuve.
    au sein des cinq dimensions, les facteurs décrivent ce que signifie posséder des capacités
    nationales en matière de cybersécurité. Ce sont les éléments essentiels de la capacité
    nationale, qui sont ensuite mesurés pour stade de maturité. La liste complète des facteurs
    vise à intégrer de manière holistique tous les besoins d’une nation en matière de capacités
                                                                                                                                                DIMENSION
    nationales en matière de cybersécurité. La plupart des facteurs sont composés d’un certain
    nombre d’aspects qui structurent les indicateurs du facteur en parties plus concises (qui sont
    directement liées à la collecte et à la mesure des preuves). Cependant, certains facteurs, dont                                               FACTEUR
    la portée est plus limitée, n’ont pas d’aspects spécifiques ;

    Aspect :                                                                                                                                       ASPECT

    lorsqu’un facteur possède plusieurs composantes, il s’agit d’aspects. Les aspects sont une
    méthode d’organisation permettant de diviser les indicateurs en groupes plus petits, plus                  Stade de          Stade de                             Stade           Stade
                                                                                                                                                 Stade établi
                                                                                                              démarrage         formation                          stratégique      dynamique
    faciles à comprendre. Le nombre d’aspects dépend des thèmes qui émergent du contenu du
    facteur et de la complexité globale du facteur ;                                                                                             Indicateurs
                                                                                                              Indicateurs       Indicateurs                        Indicateurs      Indicateurs

    Stade :
                                                                                                                                                                                                              D1
    Les stades définissent le degré de progression d’un pays par rapport à un certain facteur ou
    aspect des capacités nationales en matière de cybersécurité. Le CMM comprend cinq stades
    distincts: démarrage, formation, établi, stratégique, dynamique (voir page 8). L’examen                                                                                                                   D2
    du CMM permettra d’évaluer un pays par rapport à ces stades, en tenant compte des
    capacités nationales en matière de cybersécurité existantes, à partir desquelles un pays peut
    s’améliorer ou décliner en fonction des mesures prises (ou non). Pour chaque stade, il existe                                                                                                             D3
    un certain nombre d’indicateurs qu’un pays doit remplir pour avoir atteint ce stade.

                                                                                                                                                                                                              D4

                                                                                                                                                                                                              D5

7         Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021
Dimension 5                                                                                   Building
                                                                                                         Standards and                                                                    Dimension     1 Cybersecurity
                                                                                                                                                                                                                      Dimension 2
                                                                                                                                                                   Cybersecurity Policy Cybersecurity
                                                                                                                                                                                               Cybersecurity
                                                                                                                                                                                                      Policy Culture
                                                                                                                                                                                                     Knowledge              Building Cy
                                                                                                                                                                                                                  and Cybersecurity
                                                                                                          Technologies                                                and Strategy                  and  Society
                                                                                                                                                                                                     Capabilities
                                                                                                                                                                                           and Strategy              Culture andKnowle
                                                                                                                                                                                                                                 Society

Les stades de la capacité nationale
                                                                                                                               Dimension 4                                                                                        Capab
                                                                                                                            Legal and Regulatory
                                                                                                                                Frameworks

en matière de cybersécurité                                                                                                       Dimension 5
                                                                                                                            Standards and
                                                                                                                                                                                                                              Dimensio
                                                                                                                                                                                                                              Building
                                                                                                                                                                                                                      Dimension 1      Cy
                                                                                                                                                                                                                    CybersecurityKnowledge
                                                                                                                                                                                                                                 Policy
                                                                                                                              Technologies
                                                                                                                                                                                                                                 Capabilities
                                                                                                                                                                                                                       and Strategy
Les stades définissent le degré de progression d’un pays par rapport à un certain facteur ou aspect des capacités nationales en matière de cybersécurité
                                                                                                                                               Dimension 4
(voir page 6). L’examen du CMM permet de comparer un pays à ces stades et de déterminer les capacités nationales en matière de cybersécurité.
                                                                                                                                             Legal and Regulatory
Stade de démarrage :                                                                                                                             Frameworks     Dynamic
    lors de ce stade, soit la maturité en matière de cybersécurité n’existe pas, soit elle est de nature très embryonnaire. Il peut y avoir des discussions   Dimension 5
    initiales sur le renforcement des capacités en matière de cybersécurité, mais aucune action concrète n’a été prise. Il peut y avoir une absence de         Standards and
    preuves observables lors de ce stade ;                                                                                                                      Technologies
                                                             Start-up Stage                     Formative Stage                 Established Stage                 Strategic Stage                 Dynamic Stage
Stade de formation :                                                                                                                                                                Dimension 4
                                                                                                                                                                           Legal and Regulatory
    certaines caractéristiques de l’aspect ont commencé à se développer et à être formulées, mais peuvent être désorganisées, mal définies,                          StrategicFrameworks
    simplement nouvelles ou non systématiques. Cependant, les preuves de cette activité peuvent être clairement démontrées ;

Stade établi:                                                                                                                                                                          Dimension 5
                                                                                                                                                                                         Standards and
    les indicateurs de l’aspect sont en place, et les preuves montrent qu’ils fonctionnent. Il n’y Stage
                                                                                       Start-up    a cependant pas de réflexion
                                                                                                                       Formativeapprofondie
                                                                                                                                   Stage sur             Established Stage                Technologies
                                                                                                                                                                                            Strategic Stage                Dynamic Stage
    l’allocation relative des ressources. Peu de décisions de compromis ont été prises concernant l’investissement relatif dans les différents
    éléments de l’aspect. Mais l’aspect est fonctionnel et défini ;
                                                                                                                                                                                                              Dimension 4
                                                                                                                                                                                                           Legal and Regulatory
Stade stratégique :                                                                                                                                       Established                                          Frameworks

    des choix ont été faits quant aux parties de l’aspect qui sont importantes et à celles qui le sont moins pour l’organisation ou la nation
    concernée. Le stade stratégique reflète le fait que ces choix ont été faits, en fonction des circonstances particulières de la nation ou de
    l’organisation ; et                                                                                           Start-up Stage                  Formative Stage                   Established Stage                Strategic Stage
Stade dynamique :                                                                                                                                                                                                                      Dimen
                                                                                                                                                                                                                                  Legal and R
    lors de ce stade, il existe des mécanismes clairs permettant de modifier la stratégie nationale en fonction des circonstances, telles que        Formative                                                                        Frame
    la technologie de l’environnement de la menace, un conflit mondial ou un changement important dans un domaine de préoccupation
    (par exemple, la cybercriminalité ou la vie privée). Il existe également des preuves d’un leadership mondial sur les questions de                                                                                                  D1
    cybersécurité. Les secteurs clés, du moins, ont conçu des méthodes permettant de modifier les stratégies à tout moment de
    leur développement. La prise de décision rapide, la réaffectation des ressources et l’attention constante portée à l’évolution de
    l’environnement sont des caractéristiques de ce stade.                                                                                  Start-up Stage                   Formative Stage                  Established Stage        D2      S

Le CMM permet de comparer les capacités nationales actuelles en matière de cybersécurité. Comprendre les exigences pour
atteindre des niveaux de capacité plus élevés indiquera directement les domaines dans lesquels il faut investir davantage, et                                                                                                          D3
la manière de prouver ces niveaux de capacité. Le CMM peut également servir à élaborer des analyses de rentabilité pour
                                                                                                                                                  Start-up
les investissements et les améliorations de performance attendues. En combinant un examen du CMM avec des évaluations
                                                                                                                                                                                                                                       D4
nationales des risques et des stratégies sociales et économiques, il est possible de mieux hiérarchiser les améliorations à
apporter aux capacités.
                                                                                                                                                                      Start-up Stage                    Formative Stage                Establish
                                                                                                                                                                                                                                       D5

8         Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021
and Strategy

1ère Dimension : Politique et stratégie
en matière de cybersécurité

                                                                                                  imension 1
                                                                                                 D
Cette dimension explore la capacité du pays à élaborer et à mettre en
œuvre une stratégie de cybersécurité et à renforcer sa résilience en
matière de cybersécurité en améliorant ses capacités de réponse aux
incidents, de cyberdéfense et de protection des infrastructures critiques.
Cette dimension examine l’efficacité de la stratégie et de la politique
dans la mise en place d’une capacité nationale de cybersécurité, tout en
maintenant les avantages d’un cyberespace vital pour le gouvernement,
les entreprises internationales et la société en général.
                                                                                                                  D1

                                                                                                                 D 1.1

                                                                                                                 D 1.2

                                                                                                                 D 1.3

                                                                                                                 D 1.4

                                                                                                                  D2

                                                                                                                  D3

                                                                                                                  D4

                                                                                                                  D5

9     Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021
Facteur                                                                    Facteur
D 1.1 : Stratégie nationale de cybersécurité                               D 1.2 : Réponse aux incidents et gestion de crise
La stratégie en matière de cybersécurité est essentielle                   Ce facteur traite de la capacité du gouvernement à identifier
à l’intégration d’un programme de cybersécurité dans                       et à déterminer les caractéristiques des incidents de niveau
l’ensemble du gouvernement, car elle permet de donner                      national de manière systématique. Il examine également la
la priorité à la cybersécurité en tant que domaine d’action                capacité du gouvernement à organiser, coordonner et rendre
important, de déterminer les responsabilités et les                        opérationnelle la réponse aux incidents, et si la cybersécurité
mandats des principaux acteurs gouvernementaux et non                      a été intégrée dans le cadre national de gestion de crise.
gouvernementaux en matière de cybersécurité et d’orienter                  > Navigate to Factor
l’affectation des ressources vers les questions et les priorités
émergentes et existantes en matière de cybersécurité.                      Aspects
> Navigate to Factor                                                       • Identification et catégorisation des incidents : cet aspect
                                                                             identifie si des mécanismes internes sont en place pour
Aspects                                                                      identifier et catégoriser les incidents ;
• Élaboration de la stratégie : cet aspect concerne
  l’élaboration d’une stratégie nationale, la répartition des              • Organisation : cet aspect traite de l’existence d’un organisme
  pouvoirs de mise en œuvre entre les secteurs et la société                 central mandaté pour recueillir les informations sur les
  civile, et une compréhension des risques et des menaces en                 incidents, et de sa relation avec les secteurs public et privé
  matière de cybersécurité au niveau national, ce qui favorise               pour la réponse aux incidents au niveau national ; et
  le renforcement des capacités au niveau national ;
                                                                           • Intégration de la cybersécurité dans la gestion nationale
• Contenu : Cet aspect concerne le contenu de la stratégie                   des crises : cet aspect examine dans quelle mesure la
  nationale de cybersécurité et s’il est explicitement lié aux               cybersécurité est intégrée dans le cadre de la gestion
  risques, priorités et objectifs nationaux tels que la sécurité             nationale des crises.
                                                                                                                                               D1
  nationale, la sensibilisation du public, l’atténuation de la
  cybercriminalité, la capacité de réponse aux incidents et la
  protection des infrastructures nationales critiques ;                                                                                       D 1.1

• Mise en œuvre et examen : cet aspect concerne l’existence                                                                                   D 1.2
  d’un programme global de coordination de la cybersécurité,
  comprenant un propriétaire ou un organisme de                                                                                               D 1.3
  coordination ministériel doté d’un budget consolidé ; et
                                                                                                                                              D 1.4
• Engagement international : cet aspect examine dans quelle
  mesure le pays est conscient de l’existence de discussions
  internationales sur la politique de cybersécurité, et comment                                                                                D2
  les débats internationaux sur la politique de cybersécurité et
  les questions connexes affectent les intérêts du pays et son
  statut international. standing.                                                                                                              D3

                                                                                                                                               D4

                                                                                                                                               D5

10       Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021
Facteur                                                                    Facteur
D 1.3 : Protection des infrastructures critiques (IC)                      D 1.4 : La cybersécurité dans la défense et la
                                                                           sécurité nationale
Ce facteur étudie la capacité du gouvernement à identifier
les actifs des IC, les exigences réglementaires spécifiques                Ce facteur examine si le gouvernement a la capacité de
à la cybersécurité des IC, et la mise en œuvre de bonnes                   concevoir et de mettre en œuvre une stratégie de cybersécurité
pratiques de cybersécurité par les opérateurs d’IC.                        au sein de la sécurité nationale et de la défense. Il examine
> Navigate to Factor                                                       également le niveau des capacités nationales en matière de
                                                                           cybersécurité au sein de l’établissement de sécurité nationale et
Aspects                                                                    de défense, ainsi que les accords de coopération en matière de
• Identification : cet aspect concerne l’existence d’une liste             cybersécurité entre les entités civiles et de défense.
  générale des actifs, secteurs et opérateurs d’infrastructures            > Navigate to Factor
  critiques, ainsi qu’un audit régulier des actifs
  d’infrastructures critiques ;                                            Aspects
                                                                           • Stratégie de cybersécurité des forces de défense : cet
• Exigences réglementaires : cet aspect traite de l’existence                aspect porte sur l’existence d’une stratégie de soutien à
  d’exigences réglementaires spécifiques à la cybersécurité                  la cybersécurité au sein de la sécurité nationale et de la
  des IC ; et                                                                défense, et si elle est soutenue par les autorités juridiques
                                                                             appropriées et la doctrine opérationnelle et les règles
• Pratiques opérationnelles : cet aspect examine si les
                                                                             d’engagement pertinentes ;
  opérateurs d’infrastructures critiques mettent en œuvre des
  normes industrielles reconnues, et l’existence d’accords de              • Capacités nationales en matière de cybersécurité des
  coopération entre et au sein des secteurs.                                 forces de défense : cet aspect examine le niveau des
                                                                             capacités nationales en matière de cybersécurité et les
                                                                             structures organisationnelles au sein de l’établissement de        D1
                                                                             sécurité nationale ; et

                                                                           • Coordination de la défense civile : cet aspect examine la         D 1.1
                                                                             coopération en matière de cybersécurité entre les entités
                                                                             civiles et de défense, ainsi que l’existence de ressources        D 1.2
                                                                             adéquates.
                                                                                                                                               D 1.3

                                                                                                                                               D 1.4

                                                                                                                                                D2

                                                                                                                                                D3

                                                                                                                                                D4

                                                                                                                                                D5

11       Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021
Facteur - D 1.1 : Stratégie nationale de cybersécurité
     Aspect                 Stade de démarrage                 Stade de formation                      Stade établi                              Stade stratégique                       Stade dynamique

                            Il n’existe pas de stratégie       Les processus d’élaboration de la       Une stratégie nationale de                Des processus de révision et de         La stratégie nationale de
                            nationale de cybersécurité,        stratégie ont été lancés.               cybersécurité a été publiée.              renouvellement de la stratégie          cybersécurité et le plan de mise
                            bien que les processus de                                                                                            sont en place.                          en œuvre sont tous deux revus
                                                               Une ébauche de stratégie                Une évaluation du risque de
                            planification pour l’élaboration                                                                                                                             de manière proactive afin de
                                                               nationale en matière de                 cybersécurité nationale spécifique à      Les risques émergents en
                            d’une stratégie aient peut-être                                                                                                                              tenir compte des évolutions
                                                               cybersécurité a été élaborée.           chaque pays a été réalisée.               matière de cybersécurité sont
                            commencé.                                                                                                                                                    stratégiques plus larges du
                                                                                                                                                 régulièrement évalués et utilisés
                                                               Des processus de consultation ont       La stratégie reflète les besoins et                                               pays (politiques, économiques,
                            Des conseils peuvent avoir été                                                                                       pour mettre à jour la stratégie et le
                                                               été convenus pour les principaux        les rôles des parties prenantes                                                   sociales, techniques, juridiques et
                            demandés à des partenaires                                                                                           plan de mise en œuvre.
                                                               groupes de parties prenantes,           concernées au sein du gouvernement                                                environnementales).
                            internationaux.
     Développement                                             notamment le secteur privé, la          (national et infranational), des          L’impact de la stratégie sur la
                                                                                                                                                                                         Le pays est une autorité reconnue
                                                               société civile et les partenaires       entreprises et de la société civile.      réduction des risques et des
     de la stratégie                                                                                                                                                                     au sein de la communauté
                                                               internationaux                                                                    dommages est compris et utilisé
                                                                                                       Un programme de mise en œuvre                                                     internationale et soutient le
                                                                                                                                                 pour informer les décisions de
                                                                                                       est en place et couvre le champ                                                   développement de stratégies
                                                                                                                                                 financement et de priorité.
                                                                                                       d’application de la stratégie.                                                    nationales et mondiales en matière
                                                                                                                                                                                         de cybersécurité.
                                                                                                       Des mécanismes sont en place pour
                                                                                                       permettre aux « propriétaires » de la                                             Les considérations relatives à la
                                                                                                       stratégie de contrôler la réalisation                                             cybersécurité sont intégrées dans
                                                                                                       des résultats, de traiter les problèmes                                           d’autres stratégies et programmes
                                                                                                       de mise en œuvre et de maintenir                                                  de mise en œuvre pertinents au
                                                                                                       l’alignement de la stratégie.                                                     niveau national.

                            Il peut exister diverses           Il existe un contenu qui reflète        Le contenu de la stratégie nationale      Le contenu tient compte                 Le contenu tient compte de
                            politiques et stratégies           les priorités et les circonstances      de cybersécurité est basé sur une         de l’impact sur le risque de            l’impact de développements
                            nationales faisant référence à     propres à chaque pays.                  évaluation complète des risques           cybersécurité des technologies          plus larges sur le risque de
                            la cybersécurité, mais elles ne                                            qui comprend des liens explicites         émergentes et de leur utilisation       cybersécurité (politique,
                                                               Des liens existent entre la stratégie
                            sont pas exhaustives et rien ne                                            avec des politiques et stratégies         au sein des infrastructures             économique, social, technique,           D1
                                                               (ou le projet de stratégie) et des
                            prouve qu’elles reflètent les                                              économiques et politiques plus larges     critiques, l’économie au sens large     juridique et environnemental).
                                                               priorités telles que la sécurité
                            priorités et les circonstances                                             au niveau national.                       et la société.
                                                               nationale, la stratégie numérique                                                                                         Le contenu de la stratégie
                            nationales spécifiques.
                                                               et le développement économique,         Le contenu comprend des actions           Les résultats définis dans la           nationale de cybersécurité favorise     D 1.1
                                                               mais ils sont généralement au coup      visant à sensibiliser le public et        stratégie sont spécifiques et           et encourage la coopération
                                                               par coup et manquent de détails.        les entreprises, à atténuer la            mesurables. Des paramètres              bilatérale et multilatérale entre
                                                                                                       cybercriminalité, à établir une           ont été définis pour permettre          les pays afin de garantir un            D 1.2
                                                               La stratégie (ou le projet de
                                                                                                       capacité de réponse aux incidents, à      aux parties prenantes d’évaluer         cyberespace sûr, résilient et fiable.
     Contenu                                                   stratégie) définit les principaux
                                                                                                       promouvoir le partenariat public-         l’efficacité de la stratégie en
                                                               résultats par rapport auxquels le                                                                                                                                 D 1.3
                                                                                                       privé et à protéger les infrastructures   matière de réduction des
                                                               succès peut être évalué.
                                                                                                       critiques et l’économie au sens large.    dommages.
                                                                                                       La manière dont la stratégie              Une réflexion a été menée sur
                                                                                                                                                                                                                                 D 1.4
                                                                                                       nationale de cybersécurité pourrait       la manière dont les résultats
                                                                                                       intégrer ou soutenir des objectifs        bénéfiques de la stratégie peuvent
                                                                                                       politiques en ligne plus larges, tels     être maintenus au-delà de la durée                                               D2
                                                                                                       que la protection des enfants, la         de vie de la stratégie, y compris
                                                                                                       promotion des droits de l’homme, la       la manière dont le maintien des
                                                                                                       promotion de l’égalité, de la diversité   nouvelles capacités sera financé.                                                D3
                                                                                                       et de l’inclusion, et la gestion de la
                                                                                                       désinformation a été examinée.
                                                                                                                                                                                                                                  D4

                                                                                                                                                                                                                                  D5

12        Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021
Facteur - D 1.1 : Stratégie nationale de cybersécurité
     Aspect                   Stade de démarrage                      Stade de formation                         Stade établi                               Stade stratégique                    Stade dynamique

                              Aucun programme national                de mise en œuvre de la                     Un plan de mise en œuvre détaillé a        Des mesures axées sur les            Des mécanismes sont en place
                              global de mise en œuvre de la           cybersécurité est en cours                 été publié, comprenant des actions,        résultats sont utilisées pour        pour apporter des modifications
                              cybersécurité n’a été élaboré.          d’élaboration avec la participation        des entités responsables et des            surveiller l’impact du programme     plus profondes au programme
                                                                      des acteurs concernés,                     budgets de ressources. Le plan de          sur la réduction des risques (et     en cas de changements
                                                                      notamment le secteur privé et la           mise en œuvre implique les parties         d’autres objectifs stratégiques      importants des circonstances
                                                                      société civile.                            prenantes concernées au sein du            pertinents).                         (politiques, économiques,
                                                                                                                 gouvernement et d’autres secteurs.                                              sociales, techniques, juridiques et
                                                                      Les actions du programme ont été                                                      Il existe des preuves que ces
                                                                                                                                                                                                 environnementales).
                                                                      attribuées à des « responsables »          Un organisme de coordination a été         mesures sont utilisées pour
                                                                      spécifiques, mais la disponibilité         désigné. Cet organisme dispose d’une       affiner les plans d’action.          Le programme contribue au
                                                                      des ressources adéquates n’a pas           autorité suffisante pour veiller à ce                                           développement mondial de
                                                                                                                                                            Les paramètres (tant ceux qui
     Mise en œuvre                                                    encore été confirmée.                      que les « responsables » des actions                                            mesures axées sur les résultats et
                                                                                                                                                            concernent les progrès que
                                                                                                                 soient tenus de rendre des comptes.                                             à leur application.
     et révision                                                      Les mécanismes d’examen des                                                           ceux axés sur les résultats)
                                                                      processus sont limités ou ne sont          Les ressources nécessaires à la            proviennent d’un large éventail
                                                                      pas systématiques.                         réalisation des actions du programme       de sources gouvernementales,
                                                                                                                 ont été identifiées et sont en place.      non gouvernementales et
                                                                                                                 Les déficits budgétaires sont identifiés   internationales.
                                                                                                                 et transmis à l’autorité compétente.
                                                                                                                                                            Il existe une supervision et/ou
                                                                                                                 Des processus de révision du               une garantie indépendante du
                                                                                                                 programme et des paramètres sont en        programme.
                                                                                                                 place pour permettre de mesurer les
                                                                                                                 progrès et de transmettre les risques,
                                                                                                                 les problèmes et les dépendances à
                                                                                                                 l’autorité compétente. Ces processus
                                                                                                                 sont financés de manière adéquate.

                              La connaissance des                     Le pays est conscient de                   Une évaluation a été faite sur             Le pays s’emploie activement à       Le pays est un acteur de premier       D1
                              principaux débats                       l’existence de discussions                 la manière dont les débats                 créer des communautés d’intérêt      plan dans la recherche d’un
                              internationaux relatifs à la            internationales sur la politique           internationaux sur la politique            internationales autour d’objectifs   consensus, la promotion de
                              politique de cybersécurité              de cybersécurité et les questions          de cybersécurité et les questions          politiques spécifiques en matière    l’inclusivité et l’orientation des    D 1.1
                              (tels que les normes de                 connexes.                                  connexes affectent les intérêts et la      de cybersécurité et à promouvoir     débats internationaux sur les
                              cybersécurité, l’entraide                                                          position internationale du pays. Des       leur adoption.                       principales questions de politique
                                                                      Le pays peut, à l’occasion,                                                                                                                                      D 1.2
                              judiciaire mutuelle, la                                                            objectifs d’engagement spécifiques                                              de cybersécurité.
                                                                      participer à des discussions                                                          Le pays apporte une contribution
                              gouvernance de l’Internet, la                                                      ont été définis en conséquence. De
                                                                      régionales ou internationales                                                         importante aux organes               Le pays se concentre sur
                              souveraineté des données, la                                                       multiples parties prenantes ont été                                                                                   D 1.3
                                                                      sur des questions liées à la                                                          opérationnels régionaux/             l’avenir, voit les questions
     Engagement               protection des données) est                                                        impliquées dans ce processus.
                                                                      cybersécurité, mais ne joue                                                           internationaux et participe          émergentes (autour des nouvelles
                              limitée.
     international                                                    généralement pas un rôle actif.            Le pays participe activement aux           activement au renforcement des       technologies ou des nouveaux
                              Le pays peut bénéficier des                                                        instances et forums internationaux         capacités dans les pays tiers.       types de menaces) et lance de
                                                                                                                                                                                                                                       D 1.4
                                                                      Le pays peut participer à la
                              réseaux de collaboration                                                           pertinents, soit directement, soit                                              nouveaux débats internationaux
                                                                      collaboration opérationnelle et
                              opérationnelle régionaux/                                                          par l’intermédiaire d’organes                                                   autour des questions clés.
                                                                      aux organes politiques pertinents                                                                                                                                 D2
                              internationaux, mais ne s’y                                                        représentatifs. Leurs voix sont
                                                                      (tels que FIRST*, les organes                                                                                              Le pays participe activement
                              engage pas activement.                                                             entendues et ont un impact.
                                                                      régionaux de CERT**, le FGI***                                                                                             à la création de nouveaux
                                                                      ou le GGE**** des Nations unies),          Le pays contribue activement à                                                  mécanismes de collaboration
                                                                      mais il joue principalement un             la collaboration opérationnelle                                                 régionale/internationale.              D3
                                                                      rôle passif.                               régionale/internationale et aux
                                                                                                                 organes politiques.
                                                                                                                                                                                                                                        D4

*Forum des équipes de réponse aux incidents et de sécurité ** Computer Emergency Response Team (Équipe d’intervention en cas d’urgence informatique)
*** Forum sur la gouvernance de l’Internet **** Le groupe d’experts gouvernementaux des Nations Unies                                                                                                                                   D5

13        Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021
Facteur - D 1.2 : Réponse aux incidents et gestion de crise
     Aspect                 Stade de démarrage                         Stade de formation                    Stade établi                           Stade stratégique                     Stade dynamique

                            Il n’existe aucun processus                Certaines organisations et            La plupart des grandes                 Les enseignements tirés des           Les critères de classement des
                            d’identification et de                     certains secteurs disposent           organisations disposent de             incidents survenus au niveau          incidents sont suffisamment
                            catégorisation des incidents au            de mécanismes internes pour           mécanismes internes pour               national sont systématiquement        souples pour tenir compte
                            niveau national.                           identifier et classer les incidents   identifier et classer les incidents.   analysés afin d’en tirer des          de l’évolution rapide de
     Identification                                                    qui relèvent de leur compétence.                                             enseignements et d’éclairer           l’environnement technologique
                                                                                                             Il existe un registre central des
                                                                                                                                                    la politique et la stratégie de       ou des menaces sous-jacentes.
     et                                                                Un processus d’identification des     incidents de cybersécurité au
                                                                                                                                                    cybersécurité au sens large.
     catégorisation                                                    incidents au niveau national est      niveau national et un processus                                              Le pays contribue aux meilleures
                                                                       en cours d’élaboration.               de remontée rapide des incidents,                                            pratiques internationales en
     des incidents                                                                                           du niveau organisationnel au                                                 matière d’identification et de
                                                                       Il n’y a pas de registre central en
                                                                                                             niveau national, est en place.                                               catégorisation des incidents.
                                                                       place, mais des arrangements
                                                                       au coup par coup existent pour        Les incidents nationaux
                                                                       traiter les événements les plus       individuels sont classés en
                                                                       importants.                           fonction de leur gravité et les
                                                                                                             ressources sont allouées en
                                                                                                             conséquence.

                            Il n’existe aucune organisation            Une CERT* nationale peut exister,     Un organisme national de réponse       L’organisme national entreprend       La réponse opérationnelle globale
                            pour la réponse aux                        mais ne dispose pas de ressources     aux incidents a été créé. Il dispose   un large éventail d’activités         du gouvernement s’adapte aux
                            cyberincidents au niveau national.         et de compétences suffisantes.        des ressources, des compétences,       d’engagement telles que la            changements de l’environnement
                                                                                                             des processus documentés et des        convocation de communautés            technique et des menaces sous-
                            Quelques organisations                     Les processus de gestion des
                                                                                                             autorisations légales nécessaires      d’intérêts, l’organisation            jacentes.
                            peuvent avoir mis en place des             incidents sont encore en cours de
                                                                                                             pour faire face à l’ensemble des       d’exercices intersectoriels et
                            mécanismes internes de réponse             développement.                                                                                                     Le pays contribue aux meilleures
                                                                                                             scénarios de cyberincidents            la promotion des meilleures
                            à la cybersécurité, mais la                                                                                                                                   pratiques internationales sur la
                                                                       Certaines organisations des           auxquels le pays est susceptible       pratiques en matière de
                            coordination est minimale.                                                                                                                                    manière d’organiser les réponses
                                                                       secteurs public et privé ont mis      d’être confronté (y compris les        cybersécurité.
                                                                                                                                                                                          opérationnelles aux menaces de
                                                                       en place des mécanismes internes      capacités en dehors des heures de                                                                                 D1
                                                                                                                                                    L’organisme national innove pour      cybersécurité.
                                                                       de réponse à la cybersécurité,        travail, le cas échéant).
                                                                                                                                                    fournir une gamme de services
                                                                       mais la coordination avec la CERT
                                                                                                             Des relations et des protocoles        supplémentaires qui améliorent
                                                                       nationale n’est pas systématique.
                                                                                                             sont en place pour permettre           la capacité du pays à prévenir,                                           D 1.1
                                                                       Le rôle des organismes                la coordination de la gestion          détecter, répondre et se remettre
                                                                       infranationaux n’est pas clair.       des incidents entre l’organisme        des menaces.
                                                                                                             national et d’autres éléments des                                                                                D 1.2
     Organisation                                                      La coopération bilatérale avec les                                           L’organisme national est
                                                                                                             secteurs public et privé.
                                                                       partenaires internationaux est                                               largement reconnu comme une
                                                                       limitée ou au coup par coup.          Le rôle des organismes                 voix faisant autorité en matière de                                       D 1.3
                                                                                                             infranationaux dans la réponse         cybersécurité dans le pays.
                                                                                                             aux incidents est clair et des
                                                                                                             mécanismes sont en place pour
                                                                                                                                                    L’efficacité de l’organisme                                               D 1.4
                                                                                                                                                    national dans la réduction des
                                                                                                             permettre la coordination entre les
                                                                                                                                                    cyberisques et des dommages
                                                                                                             niveaux national et infranational.
                                                                                                                                                    est régulièrement évaluée et                                               D2
                                                                                                             Il existe un partage régulier          comparée aux bonnes pratiques
                                                                                                             d’informations sur les menaces         internationales.
                                                                                                             et les vulnérabilités, ainsi que de
                                                                                                             bonnes pratiques opérationnelles                                                                                  D3
                                                                                                             entre l’organisme national et un
                                                                                                             large éventail d’organisations des
                                                                                                             secteurs public et privé, ainsi que                                                                               D4
                                                                                                             des partenaires internationaux.

* Computer Emergency Response Team (Équipe d’intervention en cas d’urgence informatique)                                                                                                                                       D5

14         Modèle de Maturité de la Capacité de Cybersécurité pour les Nations (CMM) - Édition 2021
Vous pouvez aussi lire