10 ans 🎉

ÉVÉNEMENTS

PUBLICATIONS

LinkedIn
YouTube
Instagram
Faire un don

Article

Accueil situation sécuritaire côte d'ivoire 2025 Stratégie nationale de cybersécurité 2021-2025, Ministère de l’économie numérique, des télécommunications et de l’innovation, Novembre 2021

Auteur :Ministère de l’économie numérique, des télécommunications et de l’innovation

Site de publication : Ministère de l’économie numérique, des télécommunications et de l’innovation

Type de publication : document d’orientation et de planification

Date de publication : novembre 2021

Lien vers le document original

 

Introduction

Contexte

L’utilisation des technologies du numérique en Côte d’Ivoire a évolué de manière exponentielle ces dernières années, au point d’avoir acquis une très grande importance pour notre société. Outre les organisations du secteur public, l’on distingue singulièrement les infrastructures critiques, telles que les réseaux de transport, de distribution d’eau et d’électricité, les organismes de santé et les organisations du secteur financier. Tous ces secteurs clés et vitaux pour la santé économique et sociale de notre nation se trouvent fortement liés à l’usage des technologies de l’information et de la communication. Cette dépendance au numérique a été exacerbée par le fait que leur usage améliore la qualité des services fournis, favorise un accroissement de la productivité et contribue au renforcement de l’économie, impactant la qualité de la vie du citoyen.

Presque toutes les activités des organismes des secteurs public et privé sont soutenues par les TIC, du site internet aux systèmes d’information en passant par les moyens de stockage de données numériques. De ce fait, les organisations ne sauraient se départir de l’intégration de stratégies numériques efficaces dans un marché économique mondial de plus en plus connecté.

Cependant, la multiplication des services associés et l’interconnexion des systèmes et outils technologiques ont entraîné une hausse des risques de sécurité liés à l’usage des TIC. Les incidents de sécurité informatique de nature malveillante ou accidentelle connaissent une augmentation considérable dans notre cyberespace. La cybercriminalité et les menaces de cybersécurité constituent donc le revers de la médaille de cette percée technologique. La possibilité pour un utilisateur malveillant de s’introduire frauduleusement dans un système d’information, d’y voler des données numériques confidentielles et même de perturber le fonctionnement du système d’information d’opérateurs à infrastructures critiques peut entraîner de graves conséquences, tant sur le plan économique qu’humain, voire mettre à mal la sécurité intérieure et la stabilité de l’État.

Diagnostic de la cybersécurité en Côte d’Ivoire

En 2020, la Côte d’Ivoire s’est placée au 75ème rang mondial et au 11ème rang africain, sur les 194 pays classés à l’Indice Mondial de Cybersécurité (GCI). Cet indice, lancé en 2015 par l’Union Internationale des Télécommunications (UIT) pour mesurer l’engagement des États dans le domaine de la cybersécurité, permet de réaliser un diagnostic fiable et objectif, d’identifier les lacunes et les domaines d’amélioration, et d’encourager les Gouvernements à prendre les mesures idoines pour améliorer leur posture de cybersécurité. 

Les résultats du GCI, qui sont basés sur 82 questions et 20 indicateurs, montrent une amélioration de onze places au niveau global, mais un recul de deux places au niveau africain entre 2018 et 2020. Ainsi, la Côte d’Ivoire a été surpassée par le Ghana et la Zambie en deux ans.

Le diagnostic présenté repose principalement sur l’étude du GCI, et aussi sur le rapport établi au 31 décembre 2020 par l’équipe du projet régional de l’Union Européenne et de la CEDEAO sur la Cybersécurité et la lutte contre la Cybercriminalité (OCWAR-C).Ce rapport présente la situation de préparation de la CI en matière de cybersécurité et de lutte contre la cybercriminalité au 31 décembre 2020, notamment sur les aspects de stratégie et d’institutions, de cadre légal et réglementaire, de protection des infrastructures critiques, de capital humain, d’infrastructures et de coopération.

Cadre légal

La Côte d’Ivoire dispose depuis 2013 d’un cadre juridique riche en matière de cybersécurité. Tandis que ces lois ont très peu évolué depuis 2013, les menaces de cybersécurité ont, elles, fortement évolué.

Un Référentiel Général de Sécurité des Systèmes d’Information (RGSSI) a été approuvé par décision n° 2019-494 du Conseil de Régulation de l’ARTCI le 6 mai 2019;

Un projet de plan de protection des infrastructures critiques et un projet de Politique de Sécurité des Systèmes d’Information (PSSI) ont été élaborés. Ces instruments devront être adoptés par décret, conformément aux Ordonnances 2017-500 et 2017-803.

Cadre technique

La prévention des attaques reste la meilleure approche. Cependant, peu de moyens  techniques ont été mis en place à cet effet au sein des structures publiques, qui gèrent elles-mêmes, chacune à son niveau, la sécurisation de leur infrastructure, de même que l’acquisition et l’usage de logiciels. 

Aucune étude n’a pour l’instant été réalisée pour dresser l’état des lieux du niveau de sécurité du cyberespace ivoirien en général. Cependant, les nombreux incidents qui surviennent de manière récurrente (détournements de fonds, attaques de type ransomware, pertes de données, inaccessibilité des services, etc.) présagent d’un état des lieux technique peu satisfaisant.

Il existe, au sein de l’ARTCI, un Centre de Veille et de Réponse aux Incidents de Sécurité Informatique (CI-CERT) est membre de plusieurs réseaux régionaux et internationaux de structures de veille. L’existence du centre a été officialisée par décret en 2020.

Le CI-CERT dispose aujourd’hui d’un staff technique opérationnel pour les services de base, cependant ses procédures et processus d’organisation sont toujours en cours d’élaboration. Par ailleurs, le CI-CERT n’assure pas le monitoring et la supervision de la sécurité des infrastructures nationales, vu qu’il n’est pas doté d’un centre de supervision des opérations de sécurité (SOC). Il n’effectue pas non plus l’analyse avancée des codes et logiciels malveillants.

La Côte d’Ivoire ne dispose pas aujourd’hui de ses propres moyens techniques au niveau national pour assurer la surveillance continue des incidents de cybersécurité sur les infrastructures, réseaux et données, y compris ceux considérés comme critiques.

Cadre institutionnel

Les activités de cybersécurité et de la lutte contre la cybercriminalité ont jusqu’à présent été menées de façon disjointe entre plusieurs structures. Ainsi, l’ARTCI à travers sa Direction de la Confiance Numérique et de la Sécurité des Réseaux (DCNS) et sa Direction de la Protection des Données Personnelles (DPDP), le CI-CERT, l’ANSUT, la SNDI et la PLCC agissent dans le domaine. La PLCC est aujourd’hui le point focal en matière de lutte contre la cybercriminalité.

Il n’existe pas de point focal sur les questions de cybersécurité au sein des Ministères ou des Institutions gouvernementales. Les structures qui agissent dans le domaine de la cybersécurité pour le compte de l’État n’ont donc pas de référent officiel qualifié dans les entités étatiques.

Le manque de cohésion et la fragmentation des initiatives nuit au rendement des ressources humaines, techniques et financières mobilisées. La nature transversale de la cybersécurité soulève des défis en termes de structures organisationnelles, d’établissement des priorités, d’orientation des efforts à fournir en matière de renforcement des capacités, d’allocation de ressources et de financement public et privé.

L’absence de coordination des actions a été jusqu’ici une des faiblesses majeures de la cybersécurité en Côte d’Ivoire.

Coopération

 Les activités de cybersécurité et de la lutte contre la cybercriminalité ont jusqu’à présent été menées de façon disjointe entre plusieurs structures. Ainsi, l’ARTCI à travers sa Direction de la Confiance Numérique et de la Sécurité des Réseaux (DCNS) et sa Direction de la Protection des Données Personnelles (DPDP), le CI-CERT, l’ANSUT, la SNDI et la PLCC agissent dans le domaine. La PLCC est aujourd’hui le point focal en matière de lutte contre la cybercriminalité.

Il n’existe pas de point focal sur les questions de cybersécurité au sein des Ministères ou des Institutions gouvernementales. Les structures qui agissent dans le domaine de la cybersécurité pour le compte de l’État n’ont donc pas de référent officiel qualifié dans les entités étatiques.

Le manque de cohésion et la fragmentation des initiatives nuit au rendement des ressources humaines, techniques et financières mobilisées. La nature transversale de la cybersécurité soulève des défis en termes de structures organisationnelles, d’établissement des priorités, d’orientation des efforts à fournir en matière de renforcement des capacités, d’allocation de ressources et de financement public et privé.

L’absence de coordination des actions a été jusqu’ici une des faiblesses majeures de la cybersécurité en Côte d’Ivoire.

Orientation de la stratégie de cybersécurité 

Les enjeux

Les enjeux majeurs qui sous-tendent l’élaboration de la stratégie nationale de cybersécurité sont :

(1) Définir une stratégie nationale en adéquation avec les objectifs fixés par le Gouvernement dans le Plan National de Développement 2021-2025, et conformément aux priorités sectorielles ;
 (2) Élaborer une stratégie inclusive qui prenne en compte les préoccupations de l’ensemble des acteurs, incluant ceux du secteur privé ;
 (3) Restructurer et rationaliser le cadre institutionnel existant pour une gestion plus efficace et performante de la cybersécurité et de la lutte contre la cybercriminalité ;
 (4) Établir une agence dédiée à la cybersécurité pour améliorer la posture de sécurité et rentabiliser les investissements visant à sécuriser le cyberespace ;
 (5) Développer et mettre en œuvre un mécanisme de financement durable de la cybersécurité.

La vision

« Sécuriser le cyberespace pour soutenir l’accélération de la transformation digitale et faire de la Côte d’Ivoire le leader africain en cybersécurité »

Les principes

  • La responsabilité partagée : Tous les utilisateurs des services liés aux systèmes d’information (acteurs privés et publics) devront mettre en œuvre les bonnes pratiques de sécurité afin de protéger leur information et garantir leur résilience. 
  • Le développement de l’innovation numérique : Le développement du numérique et de l’innovation étant un moteur que veut activer le gouvernement ivoirien, la stratégie nationale de cybersécurité est un facteur de développement. 
  • La primauté du droit et le respect des droits de l’homme : La stratégie sera mise en œuvre en conformité avec le cadre légal existant et les conventions internationales ratifiées, dans le respect des droits de l’homme et des libertés fondamentales, avec une attention particulière à la protection des données personnelles et des enfants en ligne. 
  • La coopération et la collaboration : L’État s’engage à coopérer avec l’ensemble des parties prenantes au niveau national et international.

  • L’amélioration continue : La stratégie repose sur une démarche d’amélioration continue afin de garantir la protection des infrastructures, des services, des données et des citoyens face à des risques en constante évolution.

  • L’approche basée sur les risques : La stratégie s’appuie sur une approche basée sur les risques dans l’évolution et la réponse aux incidents. Les organisations publiques et critiques devront adopter la méthodologie d’analyse de risques de l’État.

Objectifs stratégiques et spécifiques

(1) Renforcer le cadre légal

  • Optimiser le cadre légal

  • Opérationnaliser le cadre légal

(2) Protéger le cyberespace

  • Mettre en place les moyens de détection des incidents 
  • Élaborer et opérationnaliser un plan de gestion des crises

  • Protéger les systèmes d’information de l’État et les infrastructures critiques

(3) Renforcer la confiance numérique

  • Protéger les données des utilisateurs

  • Améliorer la sécurité des services en ligne

(4) Opérer une refonte du cadre institutionnel

  • Instituer un cadre de gouvernance optimal 
  • Adopter et opérationnaliser les normes de sécurité

(5) Renforcer les capacités du capital humain

  • Accentuer les formations en cybersécurité 
  • Réaliser une action permanente de sensibilisation

  • Encourager la recherche et le développement

(6) Accentuer la coopération internationale

  • Poursuivre la participation aux initiatives régionales et internationales

  • Ratifier les conventions internationales

Dispositif de pilotage et de suivi-évaluation

La stratégie définit les objectifs à atteindre dans les cinq prochaines années en matière de cybersécurité. L’implémentation sera réalisée par l’Agence Nationale de la Cybersécurité. Un plan d’actions est annexé au présent document.

Des objectifs de performances mesurables seront définis pour chaque projet du plan d’actions et assignés aux parties prenantes en charge de leur mise en œuvre.

Des examens périodiques seront réalisés pour garantir l’atteinte des objectifs et déclencher des alertes en cas de dérive. Un examen annuel sera effectué sur l’avancement des projets, et une revue à mi-parcours de la stratégie et des risques aura lieu à la fin de la 3ᵉ année.

La stratégie nationale de cybersécurité doit être mise à jour tous les cinq ans à la suite du bilan de la précédente stratégie.

Un suivi-évaluation périodique permettra d’identifier les écarts, retards, anomalies, nouveaux risques et de proposer des mesures ou évolutions afin de faire face aux nouvelles menaces.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Menu