2. Qu’est-ce que les infrastructures essentielles (IE) et les infrastructures d’information essentielles (IIE) ?
Il n’existe pas de définitions universellement reconnues pour les infrastructures essentielles (IE) et les infrastructures d’information essentielles (IIE). Il existe différentes définitions nationales, régionales et internationales des IIE disponibles sur CIPedia. Une définition standard est fournie par l’IETF Request for Comments (RFC): 4949 comme des systèmes qui sont si vitaux pour une nation que leur incapacité ou leur destruction aurait un effet débilitant sur la sécurité nationale, l’économie ou la santé et la sécurité publiques. La définition des IE et des IIE est importante pour la classification, l’enregistrement et les ressources.
Lors de la définition des infrastructures essentielles d’un pays, il est recommandé de comprendre les définitions des secteurs et des services relatifs aux IIE d’autres pays… « on peut s’inspirer des ensembles de secteurs et de services relatifs aux IE définis par d’autres pays ».
LaConvention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel définit les infrastructures essentielles de cybersécurité et de TIC comme des « cyber-infrastructures essentielles aux services vitaux pour la sécurité publique, la stabilité économique, la sécurité nationale, la stabilité internationale, ainsi que pour la durabilité et la restauration du cyberespace essentiel ».
Le guide de bonnes pratiques GFCE-MERIDIAN définit les infrastructures d’information essentielles (IIE) comme « les infrastructures d’information et de communication interconnectées qui sont essentielles au maintien des fonctions vitales de la société (santé, sûreté, sécurité, bien-être économique ou social des personnes) – dont la perturbation ou la destruction aurait de graves conséquences ».
Les États-Unis et la Cybersecurity and Infrastructure Security Agency (CISA) définissent les secteurs essentiels de l’économie comme des secteurs d’infrastructure dont les actifs, les systèmes et les réseaux, qu’ils soient physiques ou virtuels, sont considérés comme si vitaux que leur incapacité ou leur destruction aurait un effet débilitant sur la sécurité, la sécurité économique nationale, la santé ou la sûreté publique nationale, ou toute combinaison de ces éléments.
La Recommandation du Conseil de l’OCDE sur la protection des infrastructures d’information essentielles (anglais, français) définit les infrastructures d’information essentielles (IIE) comme « des systèmes et réseaux d’information interconnectés dont la perturbation ou la destruction aurait un impact grave sur la santé, la sûreté, la sécurité ou le bien-être économique des citoyens, ou sur le fonctionnement efficace du gouvernement ou de l’économie ».
La définition britannique des infrastructures nationales essentielles est la suivante : « les éléments essentiels de l’infrastructure (à savoir les actifs, les installations, les systèmes, les réseaux ou les processus et les travailleurs essentiels qui les exploitent et les facilitent), dont la perte ou la compromission pourrait entraîner : a) un impact préjudiciable majeur sur la disponibilité, l’intégrité ou la fourniture de services essentiels – y compris les services dont l’intégrité, si elle est compromise, pourrait entraîner de nombreux décès ou blessures – compte tenu des répercussions économiques ou sociales importantes ; et/ou b) un impact significatif sur la sécurité nationale, la défense nationale ou le fonctionnement de l’État. »
Études de cas : Définitions des IE et des IIE selon les pays africains
La loi ghanéenne de 2020 sur la cybersécurité (loi 1038) définit les infrastructures d’information essentielles comme un « ordinateur ou système informatique identifié comme essentiel à la sécurité nationale ou au bien-être économique et social des citoyens ».
Au Kenya, la référence à la loi de 2018 sur l’utilisation abusive de l’informatique et la cybercriminalité identifie « comme infrastructures essentielles celles dont la perturbation du système entraînerait :
Le Cadre national de cybersécurité pour l’Afrique du Sud définit les infrastructures nationales d’information essentielles comme « tous les systèmes informatiques, systèmes de données, bases de données, réseaux (y compris les personnes, les bâtiments, les installations et les processus) qui sont fondamentaux pour le fonctionnement efficace de la République ».
TLa Stratégie nationale de cybersécurité du Botswana définit les infrastructures d’information essentielles comme « les infrastructures numériques dont les perturbations ou les dommages affectent négativement le bon fonctionnement de l’économie ».