En parcourant mes fichiers sur mon disque dur, je suis tombé sur ce document que j’ai écrit dans le cadre d’un devoir pour un cours de sécurité informatique que j’ai suivi au sein de l’ucao-uut. Il fallait proposer un plan d’action pour assurer la sécurité cybernétique du Togo.
###Préambule Parmi les menaces majeures auxquelles la plupart des États du monde sont confrontés en ce 21ème siècle, nous avons l’attaque informatique de grande envergure contre les infrastructures nationales. Ce constat a conduit le Gouvernement à décider de renforcer significativement les capacités nationales en matière de cyberdéfense. Le présent document est une proposition de plan d’action pour la défense et la sécurité des systèmes d’information du Togo.
###Information, sensibilisation aux menaces cybernétiques La sécurité des systèmes d’information repose tant sur la vigilance personnelle que sur l’organisation, les choix et mesures techniques portés par les entreprises et l’action des États. Assurer une meilleure défense, c’est avant tout informer les utilisateurs des risques qui peuvent survenir lors de l’utilisation de tout matériel informatique, car quelque soit la protection d’un système informatique, la faille humaine peut causer des dégâts importants. Devant les conséquences potentielles d’une attaque majeure contre les systèmes d’information sur la vie du pays et de ses citoyens, la sensibilisation et la motivation des personnes et des organisations doivent être assurées. Un soutien devra être apporté aux décideurs afin de les aider à élaborer les mesures et à prendre les décisions nécessaires en matière de sécurité des systèmes d’information essentiels au bon fonctionnement de leurs organisations et à la protection de leur patrimoine technique, scientifique, commercial ou financier.
###Mise en place d’un cadre juridique cohérent Les nouveaux usages portés par le développement du cyberespace peuvent, si l’on n’est suffisamment vigilant, présenter des dangers pour nos libertés individuelles, le fonctionnement des infrastructures vitales ou l’équilibre de nos entreprises. Notre cadre législatif et réglementaire doit suivre l’évolution des techniques. Les textes seront adaptés en fonction de l’apparition de nouvelles technologies ou de nouveaux usages, afin de renforcer la sécurité des particuliers. Notre pays doit militer pour la mise en place d’un cadre juridique régional avec ses partenaire de la CEDEAO et participer aux réflexions internationales pour la mise en place de telles structures de mannière à être capable de punir toute attaque dont l’origine n’est pas nationale.
###Création d’une structure de surveillance, de prevention et de défense cybernétique Risques et menaces évoluent rapidement dans le cyberespace. La parution d’un nouveau produit ou d’une nouvelle version d’un logiciel, la publication d’une faille non corrigée d’un logiciel largement utilisé, l’apparition d’une nouvelle technologie ou d’un nouvel usage, une déclaration politique, peuvent entraîner, dans des délais très courts, une mise en danger de la sécurité des systèmes d’information. Dans ce contexte, la défense et la sécurité de nos systèmes d’information passe en premier lieu par un suivi de l’actualité des technologies et par une analyse, une bonne compréhension voire une anticipation du jeu des acteurs publics ou privés. Aussi nous proposons la création d’une cellule informatique constituée d’expert en sécurité cybernétique pour nous permettre : d’anticiper, d’analyser, alerter, détecter et réagir face aux menaces du cyberespace. Compte-tenu de la dépendance croissante à Internet des entreprises, des infrastructures et des services, et en raison des risques systémiques portés par certaines faiblesses, il est nécessaire d’être en mesure de détecter au plus tôt failles et attaques, d’alerter les victimes potentielles ou avérées et de leur proposer dans un délai bref une aide à l’analyse et à l’élaboration de parades. Il faut donc que notre pays développe une capacité de détection des attaques sur les systèmes d’information. Notamment déployés dans les réseaux des ministères, des dispositifs permettent d’alerter leurs responsables, d’aider à élucider la nature des attaques et d’élaborer des parades adaptées. Pour gérer l’ensemble des informations recueillies par les outils de détection, par les dispositifs de veille ou transmises par nos partenaires, afin de présenter une image en temps réel de la situation des réseaux nationaux et pour être capable de gérer une situation de crise, la “cellule informatique crée” devra se doter d’une « salle d’opération » à la hauteur des enjeux.
###Formation, veille technologique, recherches La sécurité des systèmes d’information repose sur une maîtrise de technologies et de savoir-faire, également accessibles aux organisations et individus qui veulent y porter atteinte. Si les acteurs étatiques de la sécurité des systèmes d’information doivent connaître « l’état de l’art », ils doivent également être en mesure d’anticiper voire de créer les évolutions technologiques en maintenant leurs capacités de recherche, seules capables de permettre de limiter l’avantage tactique de l’attaquant sur le défenseur. Nous devons mettre en place un centre de recherche de niveau mondial Ce centre mènera des activités de recherche scientifique (recherche en cryptologie, étude des groupes d’attaquants et de leurs méthodes, expertise sur les logiciels malveillants et les failles informatiques, développement de logiciels libres sécurisés, élaboration de concepts de défense informatique, etc.), et des actions d’expertise et de formation. Un fonds devra être prévu pour la formation d’experts nationaux en cybersécurité.
###Protéger les systèmes d’information de l’État et des opérateurs d’infrastructures vitales Nous devons disposer « d’une offre de produits de très haute sécurité totalement maîtrisés, pour la protection des secrets de l’État, ainsi que d’une offre de produits et de services de confiance labellisés, à laquelle recourront les administrations et qui seront largement accessibles au secteur économique ». Des réseaux sécurisés résilients pour « l’ensemble de la chaîne de décision et de commandement sur le territoire national» doivent être utilisés. Dans les réseaux ministériels, la mise en place de systèmes d’authentification forte reposant, par exemple, sur l’utilisation de cartes à puce va permettre d’en améliorer très significativement la sécurité. Dans le domaine de la sécurité des systèmes d’information des opérateurs d’importance vitale, un partenariat public-privé sera mis en place afin, d’une part, de faire profiter les opérateurs de l’information dont dispose l’État en matière d’analyse des menaces, et d’autre part, de permettre à l’État de s’assurer que les infrastructures essentielles au bon fonctionnement de la Nation disposent d’un niveau de protection adéquat.
###Développer la collaboration internationale La sécurité des systèmes d’information repose en partie sur la qualité de l’échange d’informations entre les services compétents des divers États. Le Togo cherchera à établir un large tissu de partenaires étrangers afin de favoriser le partage des données essentielles, comme, par exemple, les informations concernant les vulnérabilités ou les failles des produits et services. Elle renforcera également ses échanges avec ses partenaires en matière de lutte contre la cybercriminalité. De la même manière, les relations fortes entre alliés sont la base d’une cyber defense efficace. Il faudra construire un cercle très restreint de partenaires de confiance avec lesquels des échanges opérationnels très approfondis seront menés.
###Sécurité physique Mis à part l’aspect logiciel ou logique qu’une attaque cybernétique peut prendre, il faut considérer aussi la sécurité physique, le support sur lequel notre réseau est établi. Les installations des infrastructures TIC devront bénéficier d’une sécurité adéquate en fonction du risque encourus et des impacts sur d’autres services. Les postes de travail devront être protégés et éteint lorsqu’ils ne sont pas utilisés. Les câbles de transmission téléphonique, les fibres optiques devront bénéficier d’une bonne sécurité afin qu’un sabotage ne puisse mettre a mal la compétivité de notre pays.
###Conclusion Ce plan, s’il est suivi devrait permettre au Togo d’être un tant soit peu en sécurité dans l’espace cybernétique, le risque zéro n’existant pas, ce document pourrait être modifier pour parer aux nouvelles menaces et même aux insuffisances de cette version du document.
