6. Mise en œuvre et conformité aux normes

Les tests et la mise en œuvre de normes sont recommandés comme un moyen de comprendre et de s’engager en faveur du processus de normalisation. 

La création d’un site Web de sensibilisation aux normes internet est identifiée comme une bonne pratique. Ce site Web doit fournir un service gratuit et public qui favorise la sensibilisation, l’utilisation et le déploiement de normes. L’utilisation d’un langage simple et non-technique apporterait :

  • une documentation compréhensible de soutien sur les normes internet
  • des arguments et la description des écueils concernant le déploiement de normes internet
  • une vérification en temps réel de la conformité aux normes

Le site Internet.nl est un portail et un outil de test et représente un bon exemple de l’établissement d’une collaboration entre de multiples parties prenantes pour promouvoir des normes internet liées à la sécurité. Le portail permet aux utilisateurs de vérifier que leurs  site Web,  messagerie et connexion Internet utilisent des normes internet modernes et fiables. 

L’Open Standards Everywhere (OSE) de l’ISOC encourage les administrateurs et opérateurs de serveurs Web à déployer les toutes dernières normes et les derniers protocoles ouverts.  L’OSE utilise le portail Internet.nl pour vérifier la prise en charge par les sites Web des normes internet modernes, y compris les normes IPv6, DNSSEC, HTTPS et les options de sécurité. L’ISOC informe, éduque, collabore et donne l’exemple pour soutenir les administrateurs de serveurs Web et de sites Web dans le déploiement des toutes dernières normes ouvertes.

Bonne pratique : Donner l’exemple

Donner l’exemple est une bonne pratique identifiée par le GFCE dans l’utilisation de normes liées à la sécurité.  Les gouvernements peuvent donner l’exemple en :

  • Mettant en œuvre les normes liées à la sécurité et autres dans les systèmes et réseaux existants et par le biais de processus d’approvisionnement.
  • Faisant la promotion de l’utilisation de normes internet et de bonnes pratiques dans l’infrastructure des organismes officiels.
  • Assurant une affectation appropriée des ressources, y compris le personnel et le budget, pour mettre en œuvre et configurer les normes.
  • Intégrant les exigences de normes pour les produits ICT aux procédures et politiques d’approvisionnement.
  • Adoptant des normes internet dans leurs plans d’ICT stratégiques.
  • Développant des feuilles de route qui soulignent les activités de mise en œuvre tactique et opérationnelle et les responsabilités des parties prenantes.

Étude de cas : Les normes d’ICT dans le gouvernement

Le mandat élargi de l’autorité d’ICT au Kenya comprend l’application de normes d’ICT dans le gouvernement et le renforcement de la supervision de ses communications électroniques. 

Cette autorité a publié et applique une conformité aux normes dans l’architecture des entreprises gouvernementales, l’informatique dans le cloud, le centre de données, la gestion des enregistrements et données électroniques, l’équipement des utilisateurs finaux, le développement du capital humain et des effectifs dans l’ICT, la sécurité des informations, la gouvernance informatique, le réseau, les systèmes et les applications d’ICT.

Étude de cas : le groupe régional de l’UIT pour la mise en œuvre de normes africaines

Lors de la dernière réunion de l’UIT-T SG17 ‘Sécurité’, en virtuel du 24 août au 3 septembre 2021, l’Afrique (Kenya, Ghana et Sénégal) a enregistré deux références de  contribution pour la recommandation X.1060 : Infrastructure pour la création et l’utilisation d’un centre de cyber-défense (CDC).  Ces contributions étaient les suivantes :

C1098 : Mise en œuvre de l’infrastructure de centre de défense de cybersécurité X.1060 : cette contribution a donné lieu à une requête pour l’ébauche, au 3e trimestre 2017, d’un supplément à la Recommandation X.1060 afin d’aider les États membres à mettre en œuvre la Recommandation. Cette requête devrait être ajoutée au programme de travail du 3e trimestre 2017 et si nécessaire, une nouvelle étude dans ce domaine devrait être mise en place 

C1099 : Proposition d’enquête ‘Évaluation des centres de cyber-défense en Afrique’, dont les résultats devraient renforcer la capacité et l’efficacité des CDC en Afrique grâce au partage de bonnes pratiques en matière de fourniture de services, mais aussi fournir une opportunité de mise en réseau et de développement des capacités. 

La participation des membres du Groupe régional pour la mise en œuvre de la Recommandation en Afrique a permis de comprendre le processus de normalisation, l’engagement des parties prenantes et la publication d’un questionnaire visant à évaluer, planifier et renforcer les services de cybersécurité dans les CDC en Afrique.

Les normes internationales sont souvent adoptées par des pays ou des régions qui souhaitent en faire des normes nationales ou régionales. La conformité aux normes est généralement rendue obligatoire par le biais de réglementations, gérées par une autorité nationale ou régionale. 

L’utilisation des normes peut être obligatoire ou volontaire, selon les exigences réglementaires en vigueur dans un pays ou une juridiction. Dans l’idéal, les gouvernements souhaitent que les entités se conforment volontairement aux exigences des normes. Il est cependant recommandé que les entités publiques et privées ayant une obligation légale de rapporter les problèmes de sécurité mettent en œuvre les normes via des réglementations. L’utilisation de normes par ces entités leur permettrait d’identifier la norme la plus appropriée et d’influencer les mises à jour ultérieures ou les propositions de nouvelles normes, en réduisant le risque de sanctions, de poursuites judiciaires ou d’arrestation pour non-conformité. 

Les incitations économiques et réglementaires afin d’encourager l’adoption de normes internet se traduisent notamment ainsi : 

  • Des réductions fiscales pour les entreprises qui adoptent la norme IPv6 en Corée du Sud.
  • Des déductions fiscales sur le prix d’achat d’équipements IPv6 (routeurs, commutateurs)
  • Des logos et certifications pour les appareils IPv6 appliqués au Japon et en Corée du Sud
  • Une réduction sur les frais d’abonnement aux domaines signés DNSSEC par registraires accrédités et registres de codes nationaux
  • Des campagnes de remises sur les enregistrements de domaines signés DNSSEC de registres internet : AFNIC (France), EURid (Europe, registre .eu), NORID (Norvège) et SIDN (Pays-Bas).
  • SIDN ‘Programme de carte de score de registraire’ pour encourager l’adoption des normes DNSSEC et IPv6

Réflexion

Les gouvernements ont un rôle majeur à jouer dans la promotion et l’utilisation de normes. En prenant l’exemple de votre pays, quelles incitations économiques et politiques le gouvernement devrait-il envisager ?