Sécurité publique Canada
Symbole du gouvernement du Canada
Passer au contenu | Passer aux liens institutionnels

Common menu bar links | Liens de navigation communs

Skip Navigation Links Accueil > Sécurité nationale > Compréhension de la situation > Publication de la National Strategy to Secure Cyberspace des É.-U.

Liens institutionnels

Publication de la National Strategy to Secure Cyberspace des É.-U.

Note d'information numéro : IN02-006
18 septembre 2002

Objet

L'Administration du président George Bush a publié aujourd'hui une version provisoire de la National Strategy to Secure Cyberspace. La dernière stratégie américaine sur le cyberespace remonte à l'administration Clinton, en 2000. La nouvelle stratégie fait non seulement suite à un changement d'administration mais également aux leçons du 11 septembre.

Richard Clarke, un conseiller spécial du président pour la sécurité du cyberespace, a mené l'élaboration de la stratégie et donnera un aperçu de son contenu lors d'une cérémonie qui se tiendra aujourd'hui à la Stanford University. Signe de l'étroite collaboration canado-américaine qui existe dans ce domaine, Margaret Purdy, sous-ministre déléguée de la Défense nationale responsable du BPIEPC, prendra la parole à cet événement. Elle insistera sur l'importance particulière d'une approche coordonnée permettant au Canada et aux États-Unis d'assurer la sécurité de nos infrastructures communes et sur le besoin d'une coopération mondiale en matière de cybersécurité.

La stratégie, qui se trouve à Securecyberspace.gov, est un « document évolutif » qui profite de l'apport des secteurs public et privé. Il se veut une carte routière de ce que doivent faire le gouvernement, l'industrie et les particuliers afin d'assurer la sécurité des réseaux. On s'attend que le président en approuve la première version avant la fin de l'année et le Critical Infrastructure Protection Board (PCIPB) du président publiera périodiquement de nouvelles version de la stratégie.

haut de la page

Aperçu de la stratégie

Deux changements fondamentaux sous-tendent la stratégie. Premièrement, tout le pays, non pas seulement le gouvernement, doit assumer la responsabilité de la sécurité de la partie du cyberespace qui lui est propre. Il doit être dit clairement que les menaces contre le cyberespace ne peuvent pas être laissées exclusivement aux mains des forces militaires et des forces de l'ordre. Les universités, les divers secteurs de l'économie, ainsi que les propriétaires d'infrastructures essentielles, telles que les réseaux de distribution d'électricité et les télécommunications, sont encouragés à protéger leurs propres réseaux.

Deuxièmement, le pays doit passer du paradigme de la menace au paradigme de la vulnérabilité. Avant les attentats terroristes contre les É.-U., en septembre dernier, on s'attendaient que le gouvernement signale la présence de menaces et donne des conseils sur les meilleures mesures à prendre pour se protéger. Selon la stratégie proposée, le rôle du gouvernement en matière de sécurité des réseaux ne devrait pas en être un de réglementation ou d'imposition, mais il devrait plutôt déléguer à tous les Américains « le pouvoir de protéger leur propre partie de cyberespace ». Le gouvernement a l'intention de :

  • Éduquer et sensibiliser les utilisateurs et les propriétaires de cyberespace à tous les risques et toutes les vulnérabilités
  • Créer des technologies nouvelles et plus sécurisées
  • Créer une main-d'œuvre nombreuse et hautement qualifiée en cybersécurité, grâce à la formation et à l'éducation.
  • Promouvoir le sens de responsabilité des particuliers, des entreprises, ainsi que des secteurs à l'égard de la sécurité à tous les niveaux, par le recours aux forces du marché, aux partenariats des secteurs public et privé et, en dernier recours, par le biais de la réglementation et de la législation.
  • Accroître la cybersécurité fédérale afin d'en faire un modèle pour d'autres secteurs;
  • Établir des mécanismes de préalerte et de partage efficace de renseignements au sein des secteurs public et privé et entre eux, afin que les attaques soient décelées rapidement et fassent l'objet d'interventions efficaces.

Le document est divisé en cinq sections : les utilisateurs à domicile et les petites entreprises; les grandes entreprises; les secteurs essentiels, notamment le gouvernement, les secteurs privé et universitaire; les priorités nationales; et enfin les enjeux mondiaux. Chaque niveau établit des objectifs stratégiques pour cet ensemble d'utilisateurs et met en lumière des programmes en cours, des recommandations et des sujets de discussion permettant d'étoffer les objectifs stratégiques. Figurent également en annexe des plans de protection des infrastructures essentielles des secteurs des banques et des finances, de l'électricité, du pétrole, du gaz, de l'eau, du transport (ferroviaire), de l'information et des communications, et des produits chimiques. Ces plans peuvent être consultés sur les sites www.ciao.gov ou www.pcis.org.

La stratégie recommande également de façon précise une coopération accrue avec le Canada :

  • (TRADUCTION)
    Les États-Unis devraient travailler de concert avec le Canada et le Mexique à cerner et à mettre en œuvre des pratiques exemplaires permettant d'assurer la sécurité des nombreuses infrastructures essentielles communes de l'information de l'Amérique du Nord. (R5-3)

Voici brièvement d'autres recommandations pertinentes des diverses sections (renvoi au « Résumé des recommandations » de la stratégie) :

  • Le gouvernement fédéral devrait mener un examen complet du rendement du National Information Assurance Program (NIAP) en vue de l'étendre à tous les achats de TI du gouvernement. (R3-1 et 2)
  • Les établissements universitaires devraient établir un ou plusieurs centres de partage et d'analyse de l'information (ISAC) afin de composer avec les cyberattaques et les vulnérabilités. (R3-14)
  • Créer des ISAC de secteur privé pour chacun des secteurs, mener des analyses d'écart pour les secteurs de la technologie et de la R et D et établir des pratiques exemplaires sectorielles. (R3-15,16 et 17)
  • Les fournisseurs de service Internet (FSI) devraient songer à adopter un " code de bonne pratique " propre à guider leurs pratiques en matière de cybersécurité. (R4-3).
  • Le gouvernement fédéral devrait terminer l'installation du Cyber Warning Information Network (CWIN) dans des centres d'opérations de cybersécurité clés gouvernementaux et non gouvernementaux afin de transmettre des données d'analyse et d'avertissement et de coordination de situations de crise. (R4-40)
  • Les FSI, les vendeurs de matériel et de logiciels, les sociétés liées à la sécurité TI , les équipes d'interventions en cas d'urgences informatiques, ainsi que les ISAC, réunis, devraient envisager l'établissement d'un Cyberspace Network Operations Center (Cyberspace NOC). (R4-39)

Les recommandations ne sont pas obligatoires mais elles influeront sur les décisions du Congrès. Aucune recommandation particulière de normes ou de règlements concernant les vendeurs ou l'industrie ne vise les fournisseurs de service Internet (FSI).

haut de la page

Observation

La version provisoire de la National Strategy to Secure Cyberspace sert à la fois de consolidation de pratiques exempliares en matière de cybersécurité et de document de discussion menant à des mesures à venir. Ce document vise également à préciser les rôles et les responsabilités du gouvernement, du secteur privé et des particuliers.

L'impact immédiat de la stratégie américaine sera une attention accrue portée sur le Canada et, plus particulièrement, sur les approches, les politiques et les activités du gouvernement du Canada en matière de cybersécurité – ainsi que sur la coopération transfrontalière en matière de PIE. En août 2002, lors la première réunion, à Ottawa, d'un nouveau Comité de direction bilatéral canado-américain sur la PIE (Bilateral CIP Steering Committee), les deux pays ont convenu d'un cadre de coopération.

La stratégie des É.-U. est conforme à l'approche du gouvernement du Canada à la cybersécurité, notamment en matière de sensibilisation, de formation et d'éducation, de création de partenariats, de leadership fédéral, ainsi que de coordination et de gestion d'incidents.

Le BPIEPC continuera de surveiller l'évolution de la stratégie américaine.

haut de la page

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca

Date de modification : 2008-12-08
Haut de la page
Haut de la page
Avis importants