Cybersécurité
Le mot cybersécurité est un néologisme désignant le rôle de l'ensemble des lois, politiques, outils, dispositifs, concepts et mécanismes de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques et technologies qui peuvent être utilisés pour protéger les personnes et les actifs informatiques matériels et immatériels (connectés directement ou indirectement à un réseau) des États et des organisations (avec un objectif de disponibilité, intégrité et authenticité, confidentialité, preuve et non-répudiation)[1].
Origine et définition
modifierLe terme cybersécurité est construit à partir du préfixe « cyber », d’origine grecque, réapparu au milieu du XXe siècle avec le mot cybernétique, ce dernier concernant l'étude des processus de contrôle et de communication chez l’être vivant et la machine[2].
Ce préfixe « cyber » a donné avec le développement d'Internet et la généralisation du numérique un grand nombre de mots tels que cyberespace, cyberdéfense, cyberattaque, cybercrime, cybercafé, cyberculture, cyberdémocratie, cybermarché, cyber-réputation.
C'est par réaction contre les risques liés à l'omniprésence des technologies de l'information et de la communication et à leur capacité d'interconnexion et d'échange de données que la cybersécurité se constitue progressivement en tant que nouvelle discipline (spécialité) pleine et entière.
Concept général de la cybersécurité
modifierLa cybersécurité, qui concerne la sécurité et la souveraineté numérique de chaque État-Nation, présente des enjeux économiques, stratégiques et politiques qui vont donc bien au-delà de la seule Sécurité des systèmes d'information. Elle concerne d'ailleurs aussi bien l'informatique de gestion, l'informatique industrielle, l'informatique embarquée que les objets connectés. La cybersécurité doit être appréhendée de manière holistique pour prendre en compte les aspects économiques, sociaux, éducatifs, juridiques, techniques, diplomatiques, militaires et de renseignement[3]. Excellence technique, adaptabilité et coopération sont essentielles dans ce domaine.
Une stratégie nationale de cybersécurité va demander de la continuité politique et une vision à long terme. Des différentes publications des États semble se dégager un consensus reconnaissant la nécessité d'organiser et d'assurer la sécurité et la défense des systèmes techniques eux-mêmes, et celles des sociétés qui utilisent ces systèmes.
Cela dit, afin d'encourager une culture mondiale et motiver les pays pour qu'ils intensifient leurs efforts en matière de cybersécurité, l'Union internationale des télécommunications a développé un indice de la cybersécurité dans le monde (GCI) qui mesure le niveau de développement de chaque pays dans ce domaine. Le premier rapport a été publié en avril 2015[4]. Le GCI évalue l'engagement des pays en faveur de la cybersécurité au regard de cinq piliers stratégiques (juridique, technique, organisation, prise de conscience et savoir-faire, coopération internationale).
Dans le domaine de la cybersécurité, les cycles de réaction et de décisions doivent être brefs. L'ISACA invite à utiliser un processus simple, développé par le NIST[5], pour identifier les menaces, se protéger, détecter les attaques, y répondre, puis revenir à un mode de fonctionnement normal. L'obligation de signaler ces attaques relève d'un niveau de maturité des organisations et des États qu'il reste encore à travailler. L'ISACA, comme à son habitude, inscrit ce processus dans le cadre d'une méthodologie reposant sur l'analyse de risques pour identifier les actifs critiques (patrimoine informationnel), définir des objectifs de sécurité et d'optimisation des risques. L'approche doit être très opérationnelle pour être capable de gérer des cyberattaques en temps réel, de réagir et de donner des ordres afin que des mesures concrètes soient prises et que des actions pertinentes soient menées[6].
La notion de ISOC, pour Information security operations center[7] devient une composante pleine et entière de la mise en œuvre des politiques de cybersécurité dans les organisations publiques et privées. Pour être efficace, une ISOC doit « monitorer » l'ensemble des composants d'un système d'information et être capable de détecter et de sélectionner parmi des milliards d’octets des éléments caractéristiques d'une cyberattaque puis, le cas échéant, d’adapter le plus intelligemment possible la réactivité des différents composants concernés dudit système d'information.
La notion de cyber-résilience quant à elle est, bien entendu, complémentaire du management de la cybersécurité par les risques, comme cela avait d'ailleurs été introduit lors du Forum de Davos en 2012[8].
En cybersécurité, au moins deux questions sont donc à considérer : Comment protéger ses infrastructures vitales ? Comment faire coopérer acteurs privés ou publics ?
La maîtrise du patrimoine informationnel, constitué de documents et de données informatiques, constitue également un des enjeux de la cybersécurité.
Au cœur des enjeux de sécurisation de la société numérique et en matière d'innovation, la cybersécurité devrait tirer parti des recherches dans le domaine des mégadonnées (big data) qui combineront apprentissage automatique et intelligence artificielle.
La prévention des cyberattaques. Les experts en cybersécurité peuvent utiliser l'intelligence artificielle pour détecter et prévenir les cyberattaques en temps réel. Les algorithmes d'apprentissage automatique peuvent analyser les schémas de trafic réseau et les comportements suspects pour identifier les tentatives d'intrusion et les activités malveillantes.
L'identification des vulnérabilités dans les systèmes informatiques. L'intelligence artificielle peut être utilisée pour analyser les codes sources des logiciels et des systèmes afin de détecter les failles de sécurité potentielles. Cela permet aux développeurs de renforcer la sécurité de leurs produits et de prévenir les attaques.
La réglementation internationale
modifierFace à l’augmentation des menaces, la réglementation est internationale, avec, dans chaque pays, l'État responsable de la cyberdéfense et garant de la cybersécurité.
L'ONU a engagé dès 2003 une réflexion sur les enjeux du numérique, dont ceux de la cybersécurité[9]. La Commission économique pour l'Europe des Nations unies a d'ailleurs adopté le 25 juin 2020 deux nouveaux règlements complémentaires sur la cybersécurité et la mise à jour des logiciels embarqués dans les véhicules connectés autonome[10].
Et au-delà de la réglementation, pour développer une prise de conscience générale des enjeux de la cybersécurité, le département de la Sécurité intérieure des États-Unis, en collaboration avec l'Alliance américaine pour la cybersécurité[11] a, dès 2003, décrété le mois d'octobre comme le mois de la sensibilisation à la cybersécurité[12]. Cet événement est maintenant décliné en Europe avec le support de l'ENISA et de la Commission européenne[13] et dans un grand nombre de pays.
États-Unis
modifierPour les États-Unis on peut citer deux premières directives de la Maison-Blanche de 2013[14] et de 2015[15], ainsi que la création en février 2015 d'une nouvelle agence consacrée à la cybersécurité, la CTIIC[16]. Le département de la Défense des États-Unis met à jour régulièrement sa cyberstratégie[17] qui inclut notamment en 2019 l'apport de l'intelligence artificielle et le développement des compétences en cybersécurité[18].
Les cinq priorités de l'Administration américaine dans le domaine de la cybersécurité deviennent :
- Protéger les infrastructures critiques des États-Unis[19] ;
- Améliorer la capacité des États-Unis à identifier les cyberattaques et à rapporter celles-ci afin que le pays puisse y répondre rapidement et efficacement de manière coordonnée ;
- Développer les partenariats internationaux afin de continuer à promouvoir la liberté sur Internet ;
- Sécuriser les réseaux des différents États en définissant des objectifs clairs et mesurables, et responsabiliser les agences fédérales pour qu'elles atteignent ces objectifs ;
- Éduquer pour façonner une main-d'œuvre avertie, sensibilisée aux enjeux de la cybersécurité.
La directive CISA[20], qui crée de manière spécifique un cadre juridique encourageant l’échange entre le secteur privé et le gouvernement fédéral d’information concernant les cyber-menaces et les mécanismes de défense, a été promulguée en loi par Barack Obama le 18 décembre 2015. Elle restera effective jusqu'au 30 septembre 2025.
Début 2016, Barack Obama a renforcé ces initiatives par l'annonce d'un plan d'actions national en cybersécurité[21]. Ce plan, baptisé CNAP, a pour objectif d'encore mieux protéger la vie privée et la sécurité publique, de continuer à améliorer la sécurité économique dans le domaine du numérique, de renforcer la sensibilisation et la protection de l'ensemble des parties prenantes, y compris en augmentant le niveau de sécurité informatique des agences fédérales. CNAP est associé à un budget de plus de 19 milliards de dollar US en 2017.
En février 2016, le département de la Sécurité intérieure des États-Unis a publié un référentiel complet pour l'évaluation de la maturité des organisations en cyber-résilience[22].
La cybersécurité est aussi une des priorités du président-élu Donald Trump, qui avait rappelé en octobre 2016 vouloir mettre en place, dès sa prise de fonction le 20 janvier 2017, un comité d'experts pour renforcer les mesures et adresser les problématiques gouvernementales et privées dans ce domaine[23]. Le 2 novembre 2017, un projet de loi, baptisé SHIELD Act, a été annoncé pour renforcer la cybersécurité dans l'État de New York[24]. En juin 2019, en réaction à la destruction par l'Iran d'un drone américain[25], Donald Trump lance une cyberattaque contre les systèmes de lancement de missiles et un réseau d'espionnage iraniens[26],[27].
Le référentiel sur la cybersécurité développé par le NIST en 2013 pourrait maintenant, à la demande de plusieurs associations américaines, être étendu à l'Internet des objets[28].
Union européenne
modifierL'ENISA, l'Agence Européenne de cybersécurité, a été créée en 2004 et renforcée par l'adoption du "Cybersecurity Act" européen[29] le 11 juin 2019. L'ENISA contribue à la création d'une culture interétatique en cybersécurité au niveau européen.
Dans le cadre de l'Union européenne, un projet de directive sur la sécurité des réseaux et des systèmes d’information du Parlement et du Conseil Européens avait fait l'objet d'une consultation courant 2013 (référence SWD 2013-31 et 32). Il concernait des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union qui imposerait un niveau de sécurité minimum pour les technologies, les réseaux et les services numériques dans l'ensemble des États membres. Le texte a proposé également d'obliger certaines entreprises et organisations à signaler les incidents de sécurité informatique majeurs dont elles sont victimes. La stratégie de cybersécurité de l'UE définit ainsi l'approche adoptée par l'UE pour prévenir au mieux les perturbations et les attaques informatiques et y apporter une réponse. Elle passe en revue une série d'actions visant à augmenter la cyber-résilience des systèmes informatiques, à réduire la cybercriminalité et à renforcer la politique de l'UE en matière de cybersécurité et de cyberdéfense à l'échelle internationale, pour protéger le cyberespace, dans les domaines tant civil que militaire.
Le Forum international de la cybersécurité s’inscrit dans une démarche de réflexions et d’échanges visant à promouvoir une vision européenne de la cybersécurité et à renforcer la lutte contre la cybercriminalité, priorité de l’Union européenne affichée dans le programme européen de Stockholm de 2010-2015.
L'organisation européenne de la cybersécurité (ECSO)[30] a été créée en juin 2016 avec pour objectif d'aider les projets qui permettraient de développer, de promouvoir ou d'encourager les initiatives sur la cybersécurité en Europe.
En juillet 2016, le Parlement européen et le Conseil de l’Union européenne ont adopté la directive sur la sécurité des réseaux et des systèmes d’information connue sous l’appellation « directive NIS ». Cette directive prévoit le renforcement des capacités nationales de cybersécurité ; l’établissement d’un cadre de coopération volontaire entre États ; le renforcement par chaque État de la cybersécurité d’opérateurs dits de services essentiels (OSE) au fonctionnement de l’économie et de la société (élargissement de la notion d'opérateur d'importance vitale OIV) ; l’instauration de règles européennes communes en matière de cybersécurité des prestataires de services numériques dans les domaines de l’informatique en nuage, des moteurs de recherche et places de marché en ligne. Mai 2018 étant la date limite pour la transposition de la directive NIS au niveau national[31]. Le règlement d'exécution de NIS a été publié au Journal officiel de l'Union européenne le 30 janvier 2018[32].
A noter également que la composante juridique de la cybersécurité a indirectement été renforcée par l'adoption en 2016 puis l'application à partir de 2018 du Règlement général sur la protection des données.
Le 5 octobre 2019, les membres de l'Union européenne, avec le support de la Commission européenne ainsi que celui de l'Agence de l'union européenne pour la cybersécurité, publient un premier rapport sur l'évaluation des risques liés à l'arrivée des réseaux mobiles de 5e génération (5G)[33].
Les députés européens ont voté le 10 novembre 2022 la directive NIS 2 qui vise à harmoniser et à renforcer la cybersécurité du marché européen[34]. Le 11 novembre 2022, le Parlement européen conjointement avec le Conseil de l'Europe fait une communication sur la nécessité de renforcer la coopération entre les États membres de l'Union européenne dans le domaine de la cybersécurité. Et ceci dans le contexte du retour de la guerre en Europe avec l'Invasion de l'Ukraine par la Russie de 2022[35]. Le cadre juridique nécessaire au renforcement de cette coopération entre État sera fixé par le Cyber Solidarity Act qui est présenté par la Commission européenne le 18 avril 2023. Cette présentation est accompagnée par l'annonce d'un budget de 1,1 milliard d’euros, dont 666 millions apportés par la Commission, pour créer des centres opérationnels de sécurité transfrontaliers[36].
France
modifierEn France, Jean-Marc Ayrault, alors Premier ministre, déclarait le 21 février 2014 : la cybersécurité « est une question d’intérêt majeur et d’intérêt national qui concerne tous les citoyens, tous les Français, et c’est pourquoi il est important que le gouvernement s’engage totalement »[37]. Et Axelle Lemaire, secrétaire d’État au numérique, indiquait le 6 juillet 2015 : « Le Gouvernement présentera dès la rentrée prochaine une stratégie nationale globale sur la cybersécurité ». Comme ainsi prévu, Manuel Valls, alors Premier Ministre, présente le 16 octobre 2015 cette Stratégie nationale pour la sécurité du numérique[38] qui doit s'appuyer sur la formation et la coopération internationale (proposition d'élaboration d'une feuille de route pour l'autonomie stratégique numérique de l'Europe ; participation renforcée de la France aux négociations multilatérales sur la cybersécurité au sein de l'ONU et de l'OSCE).
Cette stratégie, élaborée avec l'ensemble des ministères, fixe les objectifs à atteindre et les orientations qui en découlent afin de conforter la sécurité et la défense de nos infrastructures critiques et d’accompagner la transition numérique en définissant les leviers humains, techniques et opérationnels nécessaires à l’innovation, au développement économique et à la confiance des Français dans le numérique[39].
Enfin, la mise en place d’un dispositif susceptible d’assister sur tout le territoire les victimes d’actes de cybermalveillance (particuliers, collectivités territoriales et entreprises de toute taille), annoncée en 2015, a été confirmée début 2017 par l'ANSSI (Agence nationale de la sécurité des systèmes d'information)[40]. Le 3 mars 2017 est constitué le Groupement d’Intérêt Public « Action contre la Cybermalveillance » (GIP ACYMA)[41]. Il réunit les acteurs publics et privés de la cybersécurité : représentants de l’État, utilisateurs (associations de consommateurs, de victimes, clubs d’utilisateurs et organisations professionnelles), prestataires et sociétés de services (syndicats et fédérations professionnelles). Il assiste les victimes d'actes de cybermalveillance grâce à la plateforme Cybermalveillance.gouv.fr, ouverte au public le 17 octobre 2017 ; il informe et sensibilise sur la sécurité numérique ; il observe et anticipe le risque numérique.
Toujours en France, l’article 15 de la Loi de programmation militaire pour 2014-2019 (votée en décembre 2013) détaille les obligations que le Premier ministre peut imposer aux opérateurs d'importance vitale (OIV) en matière de sécurisation de leur réseau, de qualification de leurs systèmes de détection, d'information sur les attaques qu'ils peuvent subir et de soumission à des contrôles. Il prévoit également les sanctions pénales applicables en cas de non-respect de ces obligations (Il y a environ 200 OIV dont 120 dans le secteur privé et 80 dans le secteur public). Le fait que ces obligations soient traitées dans la Loi de programmation militaire montre simplement que la défense et la sécurité nationale doivent être traitées globalement et de manière cohérente. L'article 22 de cette Loi impose aux OIV la mise en place d’équipements de détection d’attaques informatiques et leur exploitation par des prestataires qualifiés par l’ANSSI ou par d'autres services de l'État désignés par le Premier ministre.
La cybersécurité est d'ailleurs aussi un des 12 domaines du plan Vigipirate qui concerne directement l'ANSSI, les OIV et leurs sous-traitants, ainsi que les Administrations. Les collectivités territoriales, les Opérateurs non-OIV sont simplement incités à mettre en œuvre le plan Vigipirate. Des objectifs permanents de sécurité communs à tous sont donc également considérés comme des conditions du succès de la mise en œuvre du plan Vigipirate[42].
Parmi les différentes associations actives en France dans le domaine de la cybersécurité, l'on peut notamment citer l'Alliance pour la Confiance Numérique (ACN[43]) ou encore Tech in France (éditeurs de logiciels) ainsi qu'Hexatrust[44], association regroupant des PME d'édition et d'intégration informatiques. Ces trois associations sont membres de la FIEEC qui assure la liaison de leurs travaux respectifs.
Un label « France Cybersecurity »[45], a été créé pour sensibiliser les utilisateurs, attester de la qualité et des fonctionnalités des produits et services labellisés, promouvoir en France et à l'international les solutions de cybersécurité françaises, accroître leur visibilité et leur usage pour élever le niveau de protection des utilisateurs.
Le Conseil général de l'économie, de l'industrie, de l'énergie et des technologies publie en janvier 2018 un rapport consacré à la cyber-résilience pour notamment renforcer la gouvernance interministérielle et mesurer le niveau de maturité des organisations dans ce domaine complémentaire et de plus en plus indispensable à la cybersécurité[46].
Le décret d'application de la loi de transposition de la directive européenne baptisée NIS est publié au Journal officiel le 25 mai 2018[47]. Une nouvelle étape d'application de cette directive est franchie avec l’identification d’une première vague d’OSE le 9 novembre 2018[48]. Constatant l'augmentation des attaques au rançongiciel, une centaine d’hôpitaux est ajoutée à la liste des OSE en 2021[49].
Le 18 février 2021, le Président de la République française, Emmanuel Macron, à la suite de l'étude d'opportunité qu'il avait demandée courant 2019, confirme la création d'un cybercampus à La Défense, consacré aux enjeux du numérique, donc notamment à la cybersécurité, et qui réunira en un même lieu des grandes entreprises et des PME pour favoriser les échanges dans ces domaines[50]. Le Campus Cyber a été inauguré le 15 février 2022[51].
Royaume-Uni
modifierLe 1er novembre 2016, le Royaume-Uni publie son plan stratégique 2016-2021 sur la cybersécurité. Ce plan s'articule autour de 3 objectifs :
- Défendre le Royaume-Uni contre les menaces et y répondre efficacement en s'assurant que les entreprises privées et le secteur public ont bien le bon niveau de connaissance et la capacité d'assurer leur propre protection ;
- Dissuader les possibles attaquants en allant de la détection de leurs attaques jusqu'à leur poursuite pénale ;
- Développer un secteur d'activité autour de la cybersécurité étayé par un effort spécifique en recherche et développement.
Ces 3 objectifs étant aussi soutenus par un renforcement de la coopération internationale. Ce plan stratégique fait l'objet d'un effort d'investissement annoncé de 1,9 milliard de livres sterling[52]. Sa mise en œuvre s'appuie notamment sur l'organisme gouvernemental National Cyber Security Centre créé en octobre 2016.
L'évaluation des mesures gouvernementales publiée en décembre 2016 au Royaume-Uni[53] confirme que le Règlement général sur la protection des données est un levier pour améliorer la gestion des risques dans le domaine de la cybersécurité.
Japon
modifierLe 10 juin 2013, le Conseil Stratégique en Sécurité Informatique du Japon a adopté une première version de Plan stratégique en Cybersécurité[54] ayant pour objectifs de créer un cyberespace dynamique et résilient et de faire du Japon un leader dans ce domaine à partir de 4 principes de base :
- Maintenir un accès libre à l’information ;
- Adresser les nouveaux risques informatiques ;
- Répondre aux cybermenaces à partir d’une analyse de risque ;
- Coopérer avec les parties prenantes conformément à une compréhension commune des enjeux de responsabilité sociale.
Ce Plan stratégique distingue 6 catégories de parties prenantes ayant chacune leur propre domaine de responsabilité :
- L’État ;
- Les opérateurs d’infrastructures critiques ;
- Les grandes entreprises et universités ;
- Les petites et moyennes entreprises ;
- Les utilisateurs individuels ;
- Les acteurs du monde informatique[55].
Le Cyberespace devenant alors un cinquième domaine stratégique en matière de défense nationale avec la terre, la mer, l’air et l’espace.
Dès cette époque, le Japon prévoyait de donner plus de responsabilités à son Centre National de Sécurité de l’Information (NISC) pour que cet organisme puisse coordonner toutes les actions opérationnelles d’intérêt national en cybersécurité. Ce qui a été fait depuis avec la seconde version de Plan stratégique en Cybersécurité publié en septembre 2015[56]. Dans ce contexte, le NISC a d’ailleurs été rebaptisé Center National de préparation contre les incidents et de la stratégie en Cybersécurité[57]. Cette seconde version du Plan stratégique en Cybersécurité anticipe notamment la problématique de l’utilisation massive de l’Internet des Objets dans la perspective des Jeux olympiques d'été de 2020 à Tokyo. Le gouvernement japonais entend coopérer dans le domaine de la cybersécurité au sein de la région Asie-Pacifique, avec l’Amérique du Nord dans le cadre des accords Japon – USA et plus généralement avec chaque pays partageant les mêmes valeurs que le Japon.
Chine
modifierLe 7 novembre 2016, le Congrès National du Peuple chinois[58] a adopté sa première loi fondamentale sur la Cybersécurité. Le projet de loi avait été l'objet d'une consultation publique en deux étapes, en juillet 2015 puis en juillet 2016[59]. Cette loi sur la Cybersécurité est entré en vigueur le 1er juin 2017. Elle formalise la notion de souveraineté nationale dans le Cyberespace et introduit des définitions proches de celles données en France pour les opérateurs d'importance vitale et leurs infrastructures critiques.
D'une manière générale, la loi sur la Cybersécurité a pour but de maintenir la sécurité des réseaux informatiques, de sauvegarder la sécurité nationale et les intérêts publics, de protéger les droits des citoyens (et les données à caractère personnel), des sociétés et autres organisations intervenant en Chine ainsi que de promouvoir un développement sain des technologies de l'information dans les secteurs économiques et sociaux.
Cette loi sur la Cybersécurité donne un cadre juridique à la définition des niveaux de sécurisation offerts par les réseaux informatiques et leurs composants, qu'il reste encore à préciser. Concernant la géolocalisation des données en Chine, l'effort a été porté dans un premier temps sur les opérateurs d'importance vitale qui doivent notamment éviter les fuites de données[60]. Puis, indirectement (puisqu'ils utilisent les réseaux d'opérateurs de télécommunications chinois) sur les opérateurs Cloud qui doivent encourager le stockage des données de leurs utilisateurs chinois en Chine[61]. Enfin, cette même loi encourage la définition de standards de sécurité informatique plus rigoureux que les standards actuellement reconnus.
Cuba
modifierLe 17 août 2021, les autorités cubaines promulguent une première loi sur la cybersécurité. Comme la plupart des lois en la matière, la loi cubaine vise d'abord à gérer les incidents de cybersécurité par la prévention, la détection et de promptes réponses aux attaques en provenance du Cyberespace. Mais, à la suite des manifestations du 11 juillet 2021, cette loi cubaine encadre aussi l'usage des réseaux sociaux[62]. Ce qui entraine une polémique relayée dans la presse internationale autour de la pénalisation de la « subversion sociale » qui peut « troubler l’ordre public » et « promouvoir l’indiscipline »[63].
Notes et références
modifier- Source ITU X.1205 [1]
- Dictionnaire historique de la langue française, édition Le Robert.
- Daniel Ventre, « Étude prospective et stratégique - Les évolutions de la cybersécurité : contraintes, facteurs, variables » [PDF], sur defense.gouv.fr,
- ITU Global Cybersecurity Index (GCI) [2]
- Framework for Improving Critical Infrastructure Cybersecurity [3]
- Armée de l'Air, Centre d’études stratégiques aérospatiales, Ministère de la Défense - Réflexions sur le cyber : Quels enjeux ? juillet 2015.
- Source article ISOC Information security operations center sur la version anglaise de wikipedia
- (en) « Partnering for Cyber Resilience » [PDF]
- Rapport de l'Assemblée Nationale sur l'avenir de la cybersécurité européenne, enregistré le 14 novembre 2019 [4]
- (en) « UN Regulations on Cybersecurity and Software Updates to pave the way for mass roll out of connected vehicles », sur unece.org
- (en) « National Cyber Security Alliance (NCSA) »
- (en) « National Cybersecurity Awareness Month (NCSAM) »
- (en) « European Cybersecurity Month »
- (en) « Executive Order - Improving Critical Infrastructure Cybersecurity » [PDF], sur gpo.gov,
- (en) « Executive Order - Promoting Private Sector Cybersecurity Information Sharing », sur obamawhitehouse.archives.gov,
- (en) « FACT SHEET: Cyber Threat Intelligence Integration Center », sur obamawhitehouse.archives.gov,
- The DOD Cyberstrategy, avril 2015 [5]
- (en) « DOD Leaders Highlight Talent, Technology in Cybersecurity Strategy », sur defense.gov,
- Concernant la protection des infrastructures critiques, le gouvernement américain a mis en place un plan national, baptisé NIPP, intégrant non seulement la cybersécurité mais aussi les autres menaces telles que pandémie, terrorisme, perturbation atmosphérique extrême et, bien entendu, panne et accident majeurs.
- Cybersecurity Information Sharing Act
- (en) « FACT SHEET: Cybersecurity National Action Plan », sur obamawhitehouse.archives.gov,
- (en) « Cyber Resilience Review (CRR) »
- Donald Trump immediate action on Cybersecurity[6]
- (en) « A.G. Schneiderman Announces SHIELD Act To Protect New Yorkers From Data Breaches », sur ag.ny.gov,
- « L’Iran abat un drone américain, Donald Trump évoque « une très grosse erreur » », Le Monde, (lire en ligne, consulté le )
- « Les États-Unis ont lancé des cyberattaques contre l'Iran », sur 20minutes.fr (consulté le )
- (en) « Trump approved cyber-strikes against Iran’s missile systems », sur Washington Post (consulté le )
- Multi-Association Letter to White House on IoT Cybersecurity, February 7, 2019 [7]
- Adoption définitive du Cybersecurity Act [8]
- European Cyber Security Organisation [9]
- Adoption de la directive Network and Information Security (NIS)[10]
- Règlement d'exécution (UE) 2018/151[11]
- (en) « EU-coordinated risk assessment of 5G network security »
- « Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 »
- (en) « Joint communication to the European Parliament and the Council »
- « La Commission européenne déterminée à équiper l’Europe d’un « bouclier cyber » », Le Monde.fr, (lire en ligne, consulté le )
- Discours du Premier ministre tenu à l’ANSSI [12]
- Stratégie nationale pour la sécurité du numérique [13]
- Source Égalité des droits : la confiance, socle de la société numérique - Cybersécurité et cyberprotection [14]
- Communiqué de Presse ANSSI - Le dispositif national d'assistance aux victimes ACYMA avait été dévoilé au FIC 2017 [15]
- Groupement d’Intérêt Public Action contre la Cybermalveillance [16]
- Source Vigipirate - Partie publique du Plan gouvernemental, 2013.
- « Accueil », sur confiance-numerique.fr (consulté le )
- « Hexatrust »
- Label France Cybersecurity [17]
- « La Cyber Résilience » [PDF], sur economie.gouv.fr
- Règlement d'exécution (UE) 2018/151[18]
- Communiqué de presse ANSSI[19]
- Interview de Guillaume Poupard, directeur de l'ANSSI[20]
- Campus cybersécurité https://www.ssi.gouv.fr/agence/cybersecurite/un-campus-dedie-a-la-cybersecurite/
- Campus Cyber : Ensemble au service d'une grande Nation numérique https://www.ssi.gouv.fr/actualite/campus-cyber-ensemble-au-service-dune-grande-nation-numerique/
- (en) « Policy paper - National Cyber Security Strategy 2016 to 2021 », sur gov.uk,
- (en) « Policy paper - Cyber Security Regulation and Incentives Review », sur gov.uk,
- Cybersecurity Strategy | Summarizing (June 2013)[21]
- Cybersecurity Strategy Plan (June 10, 2013)[22]
- Cybersecurity Strategy Plan (September 4, 2015)[23]
- National center of Incident readyness and Strategy for Cybersecurity [24]
- National People's Congress of the People's Republic of China[25]
- Cybersecurity Law of the People’s Republic of China (Third Reading Draft)[26]
- Legal Update: China’s Cybersecurity Law by the American Chamber of Commerce in China[27]
- In 2018, Apple moved all of its Chinese user data to China[28]
- Cuban government unveils controversial cybersecurity regulation[29]
- « Cuba criminalise la « subversion sociale » dans sa première loi sur la cybersécurité », sur Le Monde, (consulté le )
Voir aussi
modifierBibliographie
modifier- Christian Aghroum, Les mots pour comprendre la cybersécurité : Et profiter sereinement d'Internet, Lignes de Repères Editions, , 217 p. (ISBN 978-2-915752-64-9)
- Nicolas Arpagian, La Cybersécurité, Paris, PUF, coll. « Que sais-je ? », , 127 p. (ISBN 978-2-13-065219-9)
- Aymeric Bonnemaison et Stéphane Dossé, Attention : Cyber ! : Vers le combat cyber-électronique, Economica, , 224 p. (ISBN 978-2717866667)
- Bertrand Boyer, Cyberstratégie, l'art de la guerre numérique, Nuvis, , 238 p. (ISBN 978-2363670137)
- Bertrand Boyer, Cybertactique : conduire la guerre numérique, Nuvis, , 280 p. (ISBN 978-2363670601)
- Stéphane Dossé, Olivier Kempf et Christian Malis, Le cyberespace - Nouveau domaine de la pensée stratégique, Economica, , 192 p. (ISBN 978-2717865684)
- Yannick Fourastier et Ludovic Pietre-Cambacedes, Cybersecurite des installations industrielles : défendre ses systèmes numériques, Toulouse, Éditions Cépaduès, , 528 p. (ISBN 978-2-36493-168-8)
- François-Bernard Huyghe, Olivier Kempf et Nicolas Mazzucchi, Gagner les cyberconflits, Economica, , 176 p. (ISBN 978-2717868104)
- Olivier Kempf, Introduction à la cyberstratégie, Economica, , 235 p. (ISBN 978-2717867695)
- Hugo Loiseau, Daniel Ventre, Hartmut Aden (Eds.), Cybersecurity in Humanities and Social Sciences: A Research Methods Approach, Wiley-ISTE, novembre 2020, 234pages, Print (ISBN 9781786305398) |Online (ISBN 9781119777588) |DOI:10.1002/9781119777588
- Myriam Quéméner et Jean-Paul Pinte, Cybersécurité des acteurs économiques : Risques, réponses stratégiques et juridiques, Paris, Hermes Science Publications, coll. « Cyberconflits et cybercriminalité », , 239 p. (ISBN 978-2-7462-3915-9)
- Yann Salamon, Cybersécurité et cyberdéfense : enjeux stratégiques, Éditions Ellipses, , 336 p. (ISBN 978-2-34004-241-4)
- Stéphane Taillat, Amaël Cattaruzza et Didier Danet, La Cyberdéfense - Politique de l'espace numérique: Politique de l'espace numérique, Armand Colin, , 256 p. (ISBN 978-2200621292)
- Daniel Ventre, Cyberattaque et cyberdéfense, Lavoisier, , 312 p. (ISBN 978-2746232044)
- Daniel Ventre, Intelligence artificielle, cybersécurité et cyberdéfense, ISTE, Londres, Septembre 2020, 246 pages (ISBN papier : 9781784056797)
- Hugo Loiseau, Daniel Ventre, La cybersécurité en sciences humaines et sociales. Méthodologies de recherche, ISTE, Londres, Mars 2021, 202 pages (ISBN papier : 9781784057572)
Articles connexes
modifier- Cyberdéfense
- Sécurité des systèmes d'information
- Sécurité du cloud
- Sécurité des infrastructures du cloud