LISTE DES 50 RECOMMANDATIONS
1°) Au niveau de l'Etat Recommandation n°1 : Faire de la cyberdéfense et de la protection des systèmes d'information une priorité nationale, portée au plus haut niveau de l'Etat, notamment dans le contexte du nouveau Livre blanc et de la future loi de programmation militaire. Rendre la politique nationale plus « lisible ». > L'ANSSI : Recommandation n°2 : Conforter le modèle français reposant sur l'ANSSI tout en développant ses relations avec les armées, la DGA et les services spécialisés. Poursuivre, voire amplifier, l'augmentation des effectifs et des moyens de l'ANSSI dans les prochaines années, au moyen d'un programme pluriannuel, réévalué régulièrement Recommandation n°3 : Introduire des modifications législatives pour donner les moyens à l'ANSSI, aux armées et aux services spécialisés d'exercer leurs missions, notamment en autorisant la rétroconception à des fins de sécurité, en prévoyant la possibilité de procéder à l'analyse de comportement des codes malveillants, la possibilité de mettre en place des dispositifs permettant de suivre les actions d'un attaquant ou encore l'identification et la collecte de vulnérabilités des outils utilisés par l'attaquant. Recommandation n°4 : Donner réellement à l'ANSSI les pouvoirs afférents à son rôle d'« autorité nationale » en lui conférant un véritable pouvoir d'imposition en ce qui concerne la politique de sécurité des systèmes d'information des acteurs publics et des opérateurs d'importance vitale Recommandation n°5 : Développer le rôle de l'ANSSI en matière de « labellisation » et de « certification » de produits sécurisés et lui donner les moyens de soutenir les services informatiques des administrations pour l'acquisition et l'intégration de ces produits, ainsi que pour l'intégration des produits agréés et qualifiés et pour l'intégration de systèmes d'exploitation durcis Recommandation n°6 : Instaurer une politique des ressources humaines au sein des services de l'Etat concernant les spécialistes de la sécurité informatique en encourageant le recrutement, la formation, les mobilités et le déroulement des carrières au sein et entre les services de l'Etat > Le ministère de la Défense : Recommandation n°7 : Poursuivre et amplifier les moyens techniques et humains consacrés à la cyberdéfense au sein des armées, de la DGA et des services spécialisés. Promouvoir une « cyber réserve » au sein de la réserve citoyenne et opérationnelle. Recommandation n°8 : Conforter et approfondir la nouvelle organisation de cybersécurité mise en place au sein du ministère de la défense en renforçant le rôle du fonctionnaire de la sécurité des systèmes d'information (FSSI) et en révisant son positionnement au sein de la Direction générale des systèmes d'information et de communication (DGSIC) Recommandation n°9 : Encourager et soutenir le rôle de la DGA en matière de conception et de certification de produits de haut niveau de sécurité pour les besoins militaires, civils et interministériels Recommandation n°10 : Poursuivre le développement de capacités offensives au sein des armées et des services spécialisés. Renforcer le suivi de ces capacités par la délégation parlementaire au renseignement. S'interroger sur la pertinence d'un discours public, voire d'une doctrine publique, sur les capacités offensives > L'ensemble des ministères : Recommandation n°11 : Faire de la protection des systèmes d'information une véritable priorité prise en compte dans l'action de chaque ministère, réserver un pourcentage significatif du montant des projets à la sécurité informatique Recommandation n°12 : Rendre obligatoire pour chaque ministère la tenue d'une cartographie à jour de son propre réseau et de son système d'information. Dans l'attente de l'édification du Réseau Interministériel de l'Etat (RIE), réduire le nombre de passerelles entre les réseaux des ministères et l'Internet et développer les systèmes de surveillance de ces passerelles permettant de détecter les attaques Recommandation n°13 : Rehausser l'autorité et le rôle des fonctionnaires de la sécurité des systèmes d'information (FSSI) afin qu'ils deviennent au sein de chaque ministère de véritables directeurs ou secrétaires généraux de la sécurité et de la défense des systèmes d'information (DSSI ou SGSSI) auxquels devront être soumis pour avis les projets informatiques des administrations Recommandation n°14 : Renforcer les effectifs et les moyens de la direction interministérielle des systèmes d'information et de communication de l'Etat (DISIC) en matière de sécurité des systèmes d'information et poursuivre la mise en place du Réseau Interministériel de l'Etat Recommandation n°15 : Accroître les efforts de sensibilisation des personnels des administrations, à tous les échelons, notamment par la signature de charte d'utilisation des systèmes d'information Recommandation n°16 : Instituer un pôle juridictionnel spécialisé à compétence nationale, sur le modèle du pôle de lutte contre le terrorisme ou du pôle financier, pour réprimer les atteintes graves aux systèmes d'information. Former les magistrats de ce pôle 2°) Concernant les entreprises et les opérateurs d'importance vitale > Les entreprises : Recommandation n°17 : Rendre obligatoire une déclaration d'incident à l'ANSSI en cas d'attaque importante contre les systèmes d'information et encourager les mesures de protection par des mesures incitatives Recommandation n°18 : Faire de la protection des systèmes d'information une véritable priorité en matière de management des entreprises en sensibilisant les dirigeants des entreprises et en rehaussant le niveau hiérarchique et le rôle des responsables de la sécurité informatique Recommandation n°19 : Engager une réflexion avec les compagnies d'assurance sur la prise en charge des opérations de traitement d'une cyberattaque moyennant un certain niveau de sécurité initial et la réalisation d'un audit annuel Recommandation n°20 : Renforcer les échanges entre l'ANSSI et les entreprises spécialisées dans la conception de produits ou de services de sécurité informatique en mettant en place un réseau de prestataires de confiance Recommandation n°21 : Encourager par une politique industrielle volontariste le tissu industriel des entreprises françaises, notamment des PME, spécialisées dans la conception de certains produits ou services importants pour la sécurité informatique Recommandation n°22 : Encourager et développer le rôle des sociétés privées de conseil et d'assistance en matière de sécurité informatique, par un système d'agrément ou de label, des modifications législatives et des mesures incitatives Recommandation n°23 : Améliorer et renforcer le soutien à l'export des entreprises françaises proposant des produits de sécurité informatique > Les opérateurs d'importance vitale : Recommandation n°24 : Rendre obligatoire pour les opérateurs d'importance vitale une déclaration d'incident à l'ANSSI dès la détection d'un incident informatique susceptible de relever d'une attaque contre les systèmes d'information et pouvant porter atteinte au patrimoine informationnel ou à l'exercice des métiers de l'opérateur, et encourager les mesures de protection par des mesures incitatives Recommandation n°25 : Réduire le nombre de passerelles entre les réseaux et l'Internet et introduire un système de surveillance des flux permettant de déceler les attaques informatiques, agréé par l'ANSSI et favoriser le groupement d'opérateurs d'importance vitale autour de système de détection partagés opérationnels 24/24 Recommandation n°26 : Encourager la coopération et les échanges entre l'ANSSI et les opérateurs d'importance vitale dans le cadre d'une démarche sectorielle. Rendre obligatoire le maintien d'une cartographie à jour des systèmes d'information, un audit annuel en matière de sécurité des systèmes d'information, ainsi qu'une déclaration à l'ANSSI de systèmes de contrôle des processus ou des automates industriels (SCADA) connectés à l'Internet > Les universités et centres de recherches Recommandation n°27 : Encourager la formation d'ingénieurs spécialisés dans la protection des systèmes d'information et prévoir un module consacré à la protection des systèmes d'information dans toutes les formations d'ingénieurs, dans les grandes écoles d'ingénieurs, les universités et l'enseignement technique. Inclure une sensibilisation obligatoire dans les écoles formant les cadres de l'administration (comme l'ENA par exemple) et proposer une telle sensibilisation aux formations de management destinées aux entreprises Recommandation n°28 : Accentuer la recherche et développement en matière de sécurité des systèmes d'information et renforcer les relations des acteurs publics avec les universités et les centres de recherche > Le grand public Recommandation n°29 : Améliorer la sensibilisation du public par un plan de communication inspiré du plan de prévention de la sécurité routière 3°) Concernant les relations internationales > Les échanges bilatéraux Recommandation n°30 : Poursuivre et développer la coopération en termes quantitatifs et qualitatifs avec les CERT gouvernementaux et militaires Recommandation n°31 : Poursuivre et renforcer la coopération bilatérale avec le Royaume-Uni, autour des capacités techniques et opérationnelles, notamment au profit du domaine militaire et de la sécurité des opérateurs d'infrastructures vitales communs Recommandation n°32 : Poursuivre et renforcer la coopération bilatérale avec l'Allemagne, notamment sur les projets industriels et de recherche conjoints, ainsi qu'au profit de la sécurité des opérateurs d'infrastructures vitales communs Recommandation n°33 : Développer notre influence en renforçant les relations bilatérales avec des pays ayant mis en place, ou souhaitant mettre en place, une organisation nationale de gestion de la cybersécurité, afin de promouvoir le modèle français de gouvernance en matière de cybersécurité, de promouvoir l'industrie française, et de développer une communauté de vue la plus large possible sur les questions internationales en matière de cybersécurité afin de peser plus efficacement dans les enceintes internationales Recommandation n°34 : Favoriser le dialogue : mettre en place des dialogues stratégiques bilatéraux avec les pays pouvant jouer un rôle particulier en matière de cyberattaques à l'encontre de nos intérêts nationaux, afin de développer progressivement la confiance, via l'amélioration de la connaissance mutuelle de nos organisations et de nos postures stratégiques, ainsi que sur l'entraide internationale en matière de cybercriminalité > Les enceintes multilatérales L'OTAN : Recommandation n°35 : Concentrer le rôle de l'OTAN sur la protection des systèmes d'information et de communication propres à l'Alliance et poursuivre le développement de capacités opérationnelles de l'OTAN (centre opérationnel 24h/24 7jours/7) Recommandation n°36 : Encourager la coopération OTAN/Union européenne, en s'appuyant sur la complémentarité de leurs approches, notamment en matière d'infrastructures critiques Recommandation n°37 : Poursuivre les discussions afin d'élaborer une doctrine au sein de l'OTAN (recours à l'article V en cas de cyberattaque) Recommandation n°38 : Prévoir une présence française au sein du centre d'excellence de Tallinn L'Union européenne : Recommandation n°39 : Promouvoir une véritable stratégie globale européenne en matière de protection des systèmes d'information au sein de l'Union européenne. Rendre l'action de l'UE plus « lisible ». Recommandation n°40 : Réformer fondamentalement l'agence européenne ENISA afin d'en faire véritablement un outil de soutien réellement efficace aux Etats membres Recommandation n°41 : Inciter l'Union européenne à assurer la protection de ses propres réseaux en renforçant le rôle du CERT des institutions de l'Union européenne, notamment auprès des organismes dépendants de l'Union européenne Recommandation n°42 : Renforcer la coopération industrielle européenne en matière de conception de produits informatiques ou de sécurité informatique, et soutenir l'industrie européenne des technologies de l'information et de la communication afin d'en assurer la compétitivité et la pérennité, notamment grâce à des financements ou des mécanismes innovants (programme compétitivité et innovation par exemple) en priorité dans le domaine des télécommunications (routeurs et équipements coeur de réseau) mais également dans des domaines comme l'électronique (processeurs, PC), les systèmes d'exploitation ou les environnements sécurisés. Encourager la recherche au niveau européen par le biais du programme cadre de recherche et développement. Recommandation n°43 : Développer le rôle de l'Union européenne en matière de normes juridiques afin de renforcer la protection des systèmes d'information des entreprises et des infrastructures critiques au niveau européen, notamment la protection des infrastructures critiques européennes et les infrastructures d'information (en posant notamment des garanties minimales à l'échelle européenne en matière de sécurité informatique). Recommandation n°44 : Interdire sur le territoire national et européen le déploiement et l'utilisation de « routeurs » ou d'équipements de coeur de réseaux qui présentent un risque pour la sécurité nationale, en particulier les « routeurs » ou d'autres équipements informatiques d'origine chinoise L'ONU : Recommandation n°45 : Défendre l'idée d'un code de bonne conduite ou de mesures de confiance au niveau international et séparant clairement les éléments liés aux contenants techniques de ceux liés aux informations, plutôt qu'un traité international ou d'un texte international juridiquement contraignant Recommandation n°46 : Encourager un dialogue franc et ouvert avec la Chine et la Russie sur ces sujets L'UIT : Recommandation n°47 : Encourager le rôle d'aide au développement de capacités nationales, notamment des pays en voie de développement, de l'UIT, tout en s'opposant à la reconnaissance d'un fondement juridiquement contraignant à l'action de l'UIT sur la cybersécurité (hors du traité des télécommunications) et à un rôle opérationnel en ce domaine L'OCDE : Recommandation n°48 : Utiliser l'OCDE pour s'informer sur les visions promues par les autres Etats et comme enceinte d'influence pour évaluer et promouvoir les visions développées au niveau national L'OSCE : Recommandation n°49 : Encourager au sein de l'OSCE le développement et l'expérimentation de mesures favorisant la confiance avec la Russie, en parallèle des travaux menés à l'ONU > L'Influence sur les standards techniques et la participation dans les enceintes de normalisation : Recommandation n°50 : Engager une activité de veille sur les enjeux de sécurité des systèmes d'information et de cybersécurité soulevés par les standards techniques en cours de développement, au sein ou en dehors de groupes de normalisation, afin de les identifier précocement, s'assurer du développement de positions nationales, et les faire porter par les représentants français ou nos alliés, publics ou privés |