4.2. Identification des secteurs d’infrastructures d’information essentielles

En Afrique du Sud, la loi 8 de 2019 sur la protection des infrastructures essentielles prévoit que le ministre responsable des services de police peut déclarer les infrastructures comme « essentielles » sur la base de la recommandation du Conseil des infrastructures essentielles, de la demande de déclaration des infrastructures en tant qu’infrastructures essentielles et de toute autre information pertinente.

Dans la loi tanzanienne de 2015 sur la cybercriminalité, le ministre peut désigner un système informatique comme infrastructure d’information essentielle, par ordonnance publiée dans la Gazette. L’ordonnance peut prescrire des lignes directrices ou des procédures pour l’enregistrement, la protection, la gestion des infrastructures d’information essentielles, la gestion et la conservation des données associées, les plans de reprise après sinistre et l’audit.

 Dans la loi kényane de 2018 sur l’utilisation abusive de l’informatique et la cybercriminalité, le directeur, qui est le secrétaire du Comité national de coordination de l’informatique et de la cybercriminalité (NC4), identifie un système comme étant une infrastructure essentielle si elle répond à la définition des infrastructures essentielles et est conforme à un cadre d’infrastructures essentielles.

Dans la loi nigériane de 2015 sur la cybercriminalité (interdiction, prévention, etc.), le président peut, sur recommandation du conseiller à la sécurité nationale, par ordonnance publiée dans la Gazette fédérale, identifier certains systèmes informatiques et/ou réseaux comme constituant des infrastructures d’information nationales essentielles s’il le souhaite, lorsqu’ils sont inopérants ou détruits, lorsqu’ils affaiblissent la sécurité nationale ou économique, la santé publique et la sûreté.

Dans la loi nigériane de 2015 sur la cybercriminalité (interdiction, prévention, etc.), le président peut, sur recommandation du conseiller à la sécurité nationale, par ordonnance publiée dans la Gazette fédérale, identifier certains systèmes informatiques et/ou réseaux comme constituant des infrastructures d’information nationales essentielles s’il le souhaite, lorsqu’ils sont inopérants ou détruits, lorsqu’ils affaiblissent la sécurité nationale ou économique, la santé publique et la sûreté.

La loi ghanéenne de 2020 sur la cybersécurité (articles 35) a identifié 13 secteurs relatifs aux IIE : sécurité nationale et renseignement, technologies de l’information et de la communication (TIC), banque et finances, énergie, eau, transports, santé, services d’urgence, services administratifs, alimentation et agriculture, fabrication, mines et éducation.

La Stratégie nationale de cybersécurité du Botswana a identifié les secteurs suivants comme secteurs nationaux d’infrastructures essentielles en ce qui concerne la cybersécurité : finances, communications, énergie, eau, services d’urgence, alimentation, sécurité publique, santé, services publics et administration en ligne.

Le directeur du Comité national de coordination de l’informatique et de la cybercriminalité (NC4) du Kenya, dans un avis publié dans la Gazette (en vigueur le 20 janvier 2022), a identifié comme infrastructures essentielles les secteurs suivants : télécommunications, élection, justice, éducation, santé, alimentation, eau, terre, énergie, transports et industrie, banque, finance, défense, sécurité et sûreté publique

La Stratégie nationale de cybersécurité de Maurice identifie les secteurs essentiels tels que les services financiers, le tourisme, l’électricité, l’eau, les TIC et la radiodiffusion, la santé, les services administratifs, la fabrication, les transports et la logistique, le sucre et les douanes.

Discussions lors du webinaire de l’Université de Fairfax :

• Plan américain de protection des infrastructures nationales (NIPP),
• Secteurs relatifs aux infrastructures essentielles,
• Cyber-risques communs partagés par tous les éléments des infrastructures essentielles,
• Comment la directive de politique présidentielle/PPD 21 – Sécurité et résilience des infrastructures essentielles soutient le besoin de résilience aux cyber-risques,
• Aperçu du cadre du National Institute of Standards and Technology (NIST) pour l’amélioration de la cybersécurité des infrastructures essentielles,
• Méthodologie de prise en charge de la protection des infrastructures essentielles et suggestions d’amélioration de la résilience aux cyber-risques.

Les États-Unis d’Amérique comptent 16 secteurs d’IE : chimie ; installations commerciales ; communications ; fabrication essentielle ; barrages ; base industrielle de défense ; services d’urgence ; énergie ; services financiers ; alimentation et agriculture ; établissements administratifs ; soins de santé et santé publique ; technologie de l’information ; réacteurs, matières et déchets nucléaires ; systèmes de transport ; et systèmes d’approvisionnement en eau et de gestion des eaux usées.

La directive de l’Union européenne (UE) sur la sécurité des réseaux et des systèmes d’information (directive SRI) exige que les États membres adoptent une stratégie nationale sur la sécurité des réseaux et des systèmes d’information définissant les objectifs stratégiques et les mesures politiques et réglementaires appropriées couvrant au moins les sept secteurs relatifs aux IE : énergie, transports, banque, marché financier, santé, approvisionnement et distribution d’eau potable, et infrastructures numériques.

Le rapport de la Commission au Parlement européen et au Conseil évalue la cohérence des approches adoptées par les États membres pour identifier les opérateurs de services essentiels (OES) conformément à l’article 23, paragraphe 1, de la directive 2016/1148/UE relative à la sécurité des réseaux et des systèmes d’information.

La loi PCII en France adoptée en décembre 2013 et le cadre pour la « sécurité des activités d’importance vitale » établi en 1998 identifient plus de 200 opérateurs essentiels (appelés « opérateurs d’importance vitale ») dans 12 secteurs dont : l’alimentation, la santé, l’eau, les télécommunications et la radiodiffusion, l’espace et la recherche, l’industrie, l’énergie, les transports, les finances, l’administration civile, les activités militaires et la justice. En vertu de la loi, ces opérateurs sont tenus d’identifier leurs « systèmes d’information essentielles », c’est-à-dire les systèmes « dont l’indisponibilité pourrait fortement menacer le potentiel économique ou militaire, la sécurité ou la résilience de la nation ».

Le Centre for the Protection of National Infrastructure (CPNI) du Royaume-Uni a identifié 13 secteurs d’infrastructures nationales : produits chimiques, nucléaire civil, communications, défense, services d’urgence, énergie, finances, alimentation, administration, santé, espace, transports et eau. Plusieurs secteurs ont défini des « sous-secteurs » ; les services d’urgence, par exemple, peuvent être scindés en police, ambulance, services d’incendie et garde côtière.

Sur la base des exemples nationaux, régionaux et internationaux de définition, d’identification et de classification des infrastructures essentielles évoqués, en prenant exemple sur votre pays :

• Définir les infrastructures essentielles et les infrastructures d’information essentielles I(I)E
• Identifier les I(I)E
• Classer les I(I)E
• Quels principes/critères avez-vous utilisés ?