Combiner les termes de paix et de cyberhygiène dans une même phrase peut sembler au premier abord quelque peu incongru. Pourtant, il y a une raison pour laquelle ces deux mots se retrouvent au Forum de Paris sur la Paix cette semaine. Et cette raison est simple. La cyberhygiène – c’est-à-dire la prise de mesures de base et communes pour sécuriser les logiciels, les appareils et les réseaux – réduit les vecteurs d’attaque qui peuvent être utilisés par les criminels et les acteurs étatiques. La cyberhygiène réduira les risques que votre réseau soit perçu comme un acteur belliqueux juste parce qu’il a été piraté par d’autres. La cyberhygiène contribue à créer un environnement plus sûr et digne de confiance où les gens peuvent vivre leur quotidien en toute confiance, sachant que rien de grave ne leur arrivera. C’est l’un des outils de la boîte à outils des mesures de confiance qui permettent la paix.
Les partisans de l’Appel de Paris pour la paix, lancé l’année dernière lors du Forum sur la Paix, se sont engagés à travailler ensemble, entre autres, pour «…améliorer la sécurité des produits et services numériques ainsi que la « cyberhygiène » de chacun. » L’Internet Society s’est associée à un nombre important d’États, d’entreprises et d’organisations pour signer l’Appel de Paris.
Le thème de la cyberhygiène n’est pas une nouveauté pour l’Internet Society, mais au Forum de Paris sur la Paix, trois activités organisées se sont démarquées.
Cyberhygiène et comportement normatif mondial
La Commission mondiale sur la stabilité du cyberespace parle explicitement de la cyberhygiène. Elle propose deux normes connexes : la Norme de réduction et d’atténuation des vulnérabilités importantes et la Norme sur la cyberhygiène de base comme fondement de la défense. Ces deux normes disent respectivement :
- Les développeurs et producteurs de produits et de services dont dépend la stabilité du cyberespace devraient penser prioritairement à la sécurité et à la stabilité, prendre des mesures raisonnables pour s’assurer que leurs produits ou services sont exempts de vulnérabilités importantes, prendre des mesures pour, en temps opportun, atténuer les vulnérabilités découvertes par la suite et faire preuve de transparence en ce qui concerne leur processus. Tous les acteurs ont le devoir de partager des informations sur les vulnérabilités afin d’aider à prévenir ou à atténuer les cyberactivités malveillantes.
- Les États devraient adopter des mesures appropriées, y compris des lois et règlements, pour assurer une cyberhygiène de base.
La première norme requiert la contribution des nombreux acteurs qui sont impliqués dans le fonctionnement quotidien. La deuxième requiert que les États jouent leur rôle dans la mise en place d’un environnement politique et juridique propice à la cyberhygiène.
Le rapport final de la CSGC, en plus des normes proposées, fournit un ensemble de principes, ainsi qu’un certain nombre de recommandations, pour aborder la paix et la stabilité cybernétiques.
L’Internet Society promeut depuis longtemps l’idée que l’amélioration de la sécurité de l’Internet est une responsabilité de ceux qui exploitent, conçoivent et utilisent le réseau. De nombreuses initiatives contribuent à améliorer la sécurité de l’Internet et du cyberespace en général. Quel est le contexte des deux prochaines activités ?
Utiliser la technologie pour renforcer la cyberhygiène
Nous nous sommes joints à CyberGreen, à l’Accord technique sur la cybersécurité, à la Global Cyber Alliance et à Microsoft dans le cadre d’une initiative visant à promouvoir les bonnes pratiques existantes qui pourraient aider à faire face à l’ensemble croissant d’attaques qui sont à l’origine de vulnérabilités depuis un bon moment. L’initiative rassemble ceux qui contribuent à favoriser l’adoption de mesures essentielles pour se défendre contre les dangers évitables du cyberespace. Les mesures comprennent l’adoption des Normes mutuellement convenues pour la sécurité du routage (MANRS) et le déploiement de l’authentification, de la communication et de la conformité des messages par domaine (DMARC).
Nous espérons qu’au cours des semaines et mois à venir, d’autres se joindront aux efforts de promotion du principe de cyberhygiène de l’Appel de Paris et s’ajouteront à la liste des bonnes pratiques qui visent à accroître la sécurité et la sûreté de notre environnement en ligne mondial.
Veuillez consulter l’Accord technologique pour de plus amples informations sur cet appel.
Efforts de collaboration en faveur de la cyberhygiène
L’accès à un Internet sûr et digne de confiance est une opération complexe et présentant de multiples facettes. Il exige des approches sur mesure qui, selon le contexte et la nature du sujet, impliquent différentes parties prenantes. Quoi qu’il en soit, la collaboration semble être l’ingrédient vital de la réussite. Au cours du Forum sur la Paix, nous présentons des exemples de deux initiatives qui abordent des questions différentes mais conduisent à un cyberespace plus sûr : l’approche collaborative pour faire face aux défis croissants de la sécurité de l’IdO et les Normes mutuellement convenues sur la sécurité du routage (MANRS), qui concernent le tissu même de l’Internet.
Nous avons beaucoup écrit sur les MANRS, mais si vous voulez en savoir plus, consultez manrs.org. Concentrons-nous maintenant sur les développements de l’IdO.
Le travail de collaboration sur l’IdO se fait sur plusieurs fronts. Le processus multipartite canadien sur l’amélioration de la sécurité de l’IdO a produit un rapport exhaustif sur le sujet :
- Un ensemble commun de définitions et de points de référence concernant la sécurité des appareils connectés à Internet.
- Des lignes directrices communes pour assurer la sécurité des dispositifs connectés à Internet tout au long de leur durée de vie, y compris les processus de développement, de fabrication, de communication et de gestion.
- Des recommandations visant à éclairer les politiques nationales relatives à la sécurité de l’IdO au Canada.
Le gouvernement et la communauté ont commencé à travailler ensemble pour relever les défis posés par les déploiements d’IdO non sécurisés.
En plus du processus multipartite canadien sur l’amélioration de la sécurité de l’IdO, le chapitre français de l’Internet Society a travaillé avec l’AFNIC, l’ANSSI, l’ARCEP, CINOV-IT, le Conseil National du Numérique (CNNum), La Quadrature du Net, Nokia et Pôle Systematic Paris-Région pour explorer des stratégies afin de renforcer la sécurité et la protection des données personnelles dans l’IdO. Leur rapport sera bientôt publié. L’évolution de la situation au Canada et en France ne se fait pas de manière isolée. Des activités similaires ont été lancées au Sénégal et en Uruguay.
Afin de rassembler les expériences de ces initiatives, nous avons contribué à la mise en place d’une plateforme innovante. La plateforme de politique de sécurité de l’IdO est composée d’agences gouvernementales nationales et d’organisations non gouvernementales (ONG) travaillant dans ce domaine, qui s’appuient sur la force et l’expertise de toutes les parties prenantes pour développer des solutions visant à protéger les personnes et l’innovation en ligne. Par la pollinisation croisée des idées, des pratiques et des expériences, la plateforme peut contribuer à l’harmonisation des différentes approches et accélérer le développement et le déploiement des mesures. Pour autant que je sache, il s’agit d’une approche unique.
L’univers d’Internet
Le Forum de Paris sur la Paix réunit des dirigeants du monde entier qui s’intéressent à la paix et à la stabilité – dans le contexte d’une société numérisée. Il commence par la prise de conscience qu’Internet n’est pas une chose mais plutôt un résultat. Un résultat qui reflète les valeurs du partage et de la collaboration pour le bien commun. Rendre plus sûrs Internet et tout ce qui y est connecté doit se faire dans le même esprit. L’Appel de Paris sur la cyberhygiène n’exprime pas seulement un objectif commun, mais une vision. Tout comme l’Internet lui-même, un vaste ensemble d’efforts de collaboration partagés nous permettra d’y parvenir.