5. Directives en matière de politique, de législation et de réglementation
Lors de l’élaboration des politiques, des lois et des directives nationales pour la protection des IE et des IIE, un examen des dispositions des conventions, lois et structures internationales existantes devrait être envisagé.
La résolution 58/199 (2003) de l’Assemblée générale des Nations Unies intitulée « Création d’une culture mondiale de la cybersécurité et de la protection des infrastructures d’information essentielles » reconnaît que chaque pays déterminera ses propres infrastructures d’information essentielles et invite les États membres à prendre en considération les éléments de protection des infrastructures d’information essentielles dans l’élaboration des stratégies visant à réduire les risques pour les infrastructures d’information essentielles, conformément aux lois et réglementations nationales ;
La stratégie antiterroriste mondiale des Nations unies dans le cadre du deuxième pilier « Mesures de lutte et de prévention du terrorisme », les États membres ont décidé « d’intensifier tous les efforts visant à améliorer la sécurité et la protection des cibles particulièrement vulnérables, telles que les infrastructures et les lieux publics, ainsi que la réponse aux attaques terroristes et autres problèmes, en particulier dans le domaine de la protection civile ».
Le Rapport de 2015 du Groupe d’experts gouvernementaux des Nations Unies sur l’évolution de la situation dans le domaine de l’information et des télécommunications dans le contexte de la sécurité internationale (paragraphe 13g) recommande d’examiner des normes volontaires et non contraignantes pour un comportement responsable des États dans le cyberespace, notamment en prenant des mesures appropriées pour protéger leurs infrastructures essentielles contre les menaces liées aux TIC, compte tenu de la résolution 58/199 de l’Assemblée générale sur la création d’une culture mondiale de la cybersécurité et la protection des infrastructures d’information essentielles, et d’autres résolutions pertinentes.
L’article 24 de la Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel exige des signataires qu’ils élaborent, en collaboration avec les parties prenantes, une politique nationale de cybersécurité qui reconnaisse l’importance des infrastructures d’information essentielles (IIE) pour la nation afin d’identifier les risques auxquels la nation est confrontée en utilisant l’approche tous risques et de décrire comment les objectifs de cette politique doivent être atteints.
En vertu de l’article 25 de la convention, les États sont tenus d’adopter les mesures législatives et/ou réglementaires qu’ils jugent nécessaires pour identifier les secteurs considérés comme sensibles pour leur sécurité nationale et le bien-être de l’économie, ainsi que les systèmes de technologies de l’information et de la communication conçus pour fonctionner dans ces secteurs en tant qu’éléments des infrastructures d’information essentielles ; et, à cet égard, proposer des sanctions plus sévères pour les activités criminelles sur les systèmes TIC dans ces secteurs, ainsi que des mesures visant à améliorer la vigilance, la sécurité et la gestion.
En outre, il existe des exigences dans les accords signés dans le cadre des Communautés économiques régionales en Afrique, tels que le Protocole de coopération en matière de politique, de défense et de sécurité de la SADC, 2001, qui visent à établir un cadre institutionnel par lequel les États membres pourraient coordonner les politiques et les activités dans les domaines de la politique, de la défense et de la sécurité.
L’Organe pour la politique, la défense et la sécurité créé en vertu de ce protocole appuie la réalisation et le maintien de la sécurité et de l’état de droit dans la région de la SADC. Les objectifs de l’Organe portent sur les domaines de l’armée/défense, de la prévention du crime, du renseignement, de l’application et du maintien de la paix, de la politique étrangère, de la gestion des conflits, de la prévention et de la résolution, et des droits de l’homme. Les activités spécifiques visant à atteindre ces objectifs sont définies dans le Plan indicatif stratégique de l’Organe de coopération politique, de défense et de sécurité (SIPO I). Il s’agit notamment d’évaluations régulières de la situation régionale en matière de sécurité publique et de renforcement des capacités de lutte contre la cybercriminalité et le terrorisme.
Point de réflexion :
Quelles conventions internationales, régionales et exigences législatives et réglementaires nationales votre pays a-t-il utilisées pour mettre en œuvre des politiques, des stratégies et des structures de protection des infrastructures essentielles ?
Exercice
Sur la base des exemples donnés, votre pays devrait-il envisager d’élaborer un plan national de gestion des cybercrises ?
Préparer une justification ou une note conceptuelle faisant référence aux dispositions pertinentes en matière de stratégie, de politique et de législation à présenter au président ou au ministre concerné.