slide1
Download
Skip this Video
Download Presentation
Cadre institutionnel et réglementaire : un revue de l’expérience internationale Atelier e-Sécurité – 19-20 juin 2006

Loading in 2 Seconds...

play fullscreen
1 / 21

Cadre institutionnel et r glementaire : un revue de l exp rience internationale Atelier e-S curit 19-20 juin 2006 - PowerPoint PPT Presentation


  • 124 Views
  • Uploaded on

Cadre institutionnel et réglementaire : un revue de l’expérience internationale Atelier e-Sécurité – 19-20 juin 2006. Contenu. La Notion de CIIP – Protection des infrastructures d’information critiques: Définitions et implications Expériences internationales.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Cadre institutionnel et r glementaire : un revue de l exp rience internationale Atelier e-S curit 19-20 juin 2006' - sailor


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1
Cadre institutionnel et réglementaire :

un revue de l’expérience internationale

Atelier e-Sécurité – 19-20 juin 2006

contenu
Contenu

La Notion de CIIP

– Protection des infrastructures d’information critiques: Définitions et implications

Expériences internationales

the international ciip handbook 2006
The International CIIP Handbook 2006

20 pays couverts

Australie, Autriche, Canada, Danemark, Finlande, France, Allemagne, Irlande, Italie, Japon, Corée, Pays-Bas, Nouvelle Zélande, Norvège, Singapore, Espagne, Suède, Suisse, Angleterre, États-unis.

www.crn.ethz.ch

terminologie et d finition ci cii
Terminologie et définition: CI/CII
  • CI - Infrastructure Critique : systèmes dont la non disponibilité ou la destruction pourrait avoir un effet débilitant sur la sécurité nationale et sur le bien-être économique et social d’une nation
  • CII - Infrastructure d’Information Critique :composante de l’infrastructure d’information globale ou nationale qui est essentielle afin d’assurer la continuité des services proposés par les infrastructure critiques
les risques informatiques strat giques
Les risques informatiques: stratégiques?
  • Les sociétés modernes se reposent de plus en plus fortement sur les infrastructures, notamment les infrastructures d’informations
  • Les infrastructures d’informations critiques font le lien avec les autres systèmes d’infrastructures et forment des interdépendances, avec comme impact
    • Les formes des menaces ainsi que leur capacité à faire des dommages évoluent de manière rapide
    • De nouveaux systèmes d’interrelations émergent
    • Les risques augmente avec les nouvelles technologies et la convergence
terminologie et d finitions ci cii suite
Terminologie et définitions: CI/CII (suite)
  • De fait, il s’agit bien des services bien plus que des infrastructures qui sont le centre d’attention.
  • De manière similaire, les services offerts par le e-gouvernement peuvent être classés par leur criticité
notion strat gique de ciip
Notion stratégique de CIIP

La notion de protection des infrastructures d’informations critiques se trouvant à l’intersection des autres infrastructures critiques renforce le besoin d’un approche nationale stratégique de la e-sécurité.

diff rents points de vues
Différents points de vues…
  • La Protection d’Infrastructures (d’Information) Critiques peut être abordée de différents points de vue:
    • Système / technique
    • (e-)business
    • Legal-exécutif
    • Militaire
    • Sécurité Nationale
les complications
… les complications…
  • Les points de vues n’ont pas de délimitations claires et se recoupent
  • Divergences des différents acteurs sur les priorités et les besoins de protection
  • Difficulté d’allouer des responsabilités et de s’accorder sur l’adoption de moyens politiques ou règlementaires appropriés
les probl mes en r sultant
… les problèmes en résultant
  • Le concept de Criticalité change en fonction de qui en parle
  • Dans un contexte socio-politique: la notion de Criticalité est lié à la manière dont est perçue un dommage ou une interruption de service, et quel en est l’impact politique
    • Perte de confiance
    • Perte d’image
questions cl s
Questions Clés
  • Politique e-sécurité :
    • Quels sont les secteurs identifiés comme critiques
    • Quelles sont les approches nationales en application et les outils institutionnels et réglementaires utilisés
secteurs critiques les plus cit s
Secteurs Critiques les plus cités

Parmi les 32 « secteurs » choisis, les plus souvent cités par les 20 pays étudiés sont:

  • Banque et Finance (20)
  • (Télé-)Communication / TIC (20)
  • Énergie/Électricité (20)
  • Transport/Logistique/Distribution (18)
  • Santé (15)
  • Eau (distribution) (15)
  • Gouvernement Central / Services publics (12)
  • Service d’urgences et de secours (12)

Ces secteurs représentent le cœur de sociétés modernes, et potentiellement les domaines où une interruption de services de grande envergure serait le plus dévastateur.

suisse secteurs critiques
Suisse – Secteurs critiques
  • Administration Publique
  • Défense, service d’urgence et de secours
  • (Tele-)communication
  • Énergie
  • Finance
  • Industrie
  • Media
  • Santé
  • Transport et logistique
  • Eau
suisse initiatives et politiques
Suisse – Initiatives et politiques
  • Exercice stratégique (SFU97).
    • Identifie les risques liées au systèmes d’information dans le contexte des infrastructures du pays
  • Stratégie pour la société de l’information (1998)
    • Mesures pour promouvoir une société de l’information
  • Rapport de politique de sécurité (2000)
    • Reconnaît le concept de CII et ses implications
  • Information Assurance (2000)
    • Recommande l’établissement d’un mécanisme de gestion de crise et la création d’un task force
  • INFORMO 2001
    • Revue des processus Info assurance
  • Information Assurance Policy (2002)
    • Prévention, détection, gestion de crise, solutions techniques
  • Analyse des risques (2002 -)
    • Analyse des risques et de l’interdépendance des secteurs critiques avec les infrastructures d’information critique
suisse aspects institutionnels
Suisse – Aspects institutionnels

Agences publiques:

  • Unité stratégique nationale pour les TI (ISB)
  • Office fédéral des communications (OFCOM)
  • Office féderal de l’approvisionnement (NES)
  • Office fédéral des TI, Systèmes et telecom (FOITT)
  • Unité de coordination pour le cyber crime (CYCO)
  • Département de la Défense (DDPS)
suisse aspects institutionnels suite
Suisse – Aspects institutionnels (suite)

Partenariats Public-Privés et Association professionnelles

  • Association Infosurance (1999)
  • Office fédéral de l’approvisionnement
  • Club de la Sécurité Informatique Suisse (1989)
  • Information Systems Audit and Control Association – filiale suisse
suisse d tection et pr vention
Suisse – Détection et prévention
  • Centre d’analyse et de suivi pour l’intégrité des données (MELANI) – 2003
  • Task force sur l’intégrité des données (SONIA) - 2003
  • SWITCH CERT
suisse lois et l gislations
Suisse – lois et législations

Un nombre d’articles du code pénal concerne la protection des données et autres aspects de e-sécurité:

  • Article 143 (accès non-autorisé aux données)
  • Article 143bis (accès non-autorisé aux systèmes de traitement des données)
  • Article 144 (dommage à la propriété)
  • Article 144bis (dommages aux données)

Article 147 (usage inapproprié d’un ordianteur)

La suisse a signé en 2001 la “Convention on Cybercrime of the Council of Europe”

De plus, le code pénal se conforme déjà avec les articles internationaux concernant la propriété intellectuelle, la fraude informatique, la pornographie, notamment.

messages cl s
Messages clés
  • Les points de vues varient en ce qui concerne la protection des infrastructure d‘information critique
  • Les vues divergentes des acteurs d‘un pays peuvent devenir un obstacle important
  • Les partenariats avec le secteur privé sont cruciaux afin de profiter des compétences respectives
  • Les programmes de détection (Early Warning systems) sont perçus comme important, mais souvent ne sont pas fonctionnels
ad