Résumé analytique
En 2014, les membres de l’Union africaine (UA) ont adopté la Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel (« la Convention »).
Pour faciliter la mise en œuvre de la Convention, la Commission de l’Union africaine (CUA) a demandé à l’Internet Society (ISOC) d’élaborer conjointement des Lignes directrices sur la sécurité de l’infrastructure Internet pour l’Afrique (« les Lignes directrices »). Les Lignes directrices ont été élaborées grâce aux contributions d’experts régionaux et mondiaux de la sécurité de l’infrastructure Internet, des représentants gouvernementaux et des CERT et des opérateurs de réseau et de ccTLD DNS.
Les Lignes directrices soulignent l’importance du modèle multipartite et d’une approche collective de la sécurité dans la protection de l’infrastructure Internet. Les Lignes directrices proposent quatre principes essentiels de la sécurité de l’infrastructure Internet : sensibilisation, responsabilité, coopération et respect des droits fondamentaux et des propriétés de l’Internet.
Les Lignes directrices préconisent aux diverses parties prenantes de prendre des mesures extrêmement critiques en matière de sécurité de l’infrastructure Internet. Ces mesures importantes sont adaptées aux caractéristiques uniques de l’environnement de la cybersécurité africaine : un déficit en ressources humaines qualifiées ; des ressources limitées (y compris financières) que les gouvernements et organisations peuvent consacrer pour la cybersécurité ; des connaissances limitées en matière de cybersécurité parmi les parties prenantes ; et un manque général de connaissance des risques liés à l’utilisation des technologies de l’information et de la communication (TIC).
Étant donné l’étendue de la sécurité de l’infrastructure Internet, un seul document ne suffit pas et des travaux supplémentaires sont nécessaires pour compléter les Lignes directrices avec des recommandations spécifiques traitant des problèmes particuliers. Cette série de recommandations est une première étape, pourtant significative, pour amener un changement visible et positif dans le paysage africain de la sécurité de l’infrastructure Internet.
Au niveau régional (à l’échelle de l’Union africaine)
- Mettre en place un Comité africain de coordination et de collaboration en matière de cybersécurité (ACS3C)
- Le Comité serait un groupe multipartite qui conseillerait les décideurs de la CUA sur les stratégies régionales et le renforcement des capacités et faciliterait le partage de l’information dans toute la région.
- S’engager dans le renforcement des capacités et le partage des connaissances au niveau panafricain
- La CUA devrait développer des programmes de renforcement des capacités, comme le conseille l’ACS3C, dans tous les domaines de la sécurité de l’infrastructure Internet.
Au niveau national
- Identifier et protéger l’infrastructure critique de l’Internet
- Les gouvernements nationaux devraient adopter une approche basée sur les services pour identifier et protéger l’infrastructure critique de l’Internet.
- Faciliter l’échange d’informations par l’intermédiaire d’une structure nationale multipartite
- Les gouvernements nationaux devraient élaborer des structures multipartites pour apporter conseil sur la stratégie et la politique de cybersécurité et pour faciliter le partage d’informations.
- Établir et renforcer au niveau national, les équipes d’intervention en cas d’incident de sécurité informatique (CSIRT)
- Les gouvernements nationaux qui collaborent avec d’autres parties prenantes devraient établir ou appuyer les CSIRT nationales existantes afin de coordonner les interventions menées avant et durant les incidents de sécurité.
- Promouvoir la résilience de l’infrastructure Internet par le biais des points d’échange Internet (IXP)
- Les gouvernements nationaux devraient promouvoir l’utilisation des IXP et une plus grande coopération et connectivité entre les différents réseaux africains afin d’accroître la résilience de l’infrastructure Internet.
- Utiliser les institutions publiques pour donner l’exemple en matière de cybersécurité.
- Les gouvernements devraient adopter et suivre les meilleures pratiques de cybersécurité dans leurs propres infrastructures et institutions, en encourageant leur utilisation auprès d’autres parties prenantes et d’autres secteurs.
Au niveau des FAI et des opérateurs
- Établir la sécurité de base
- Les opérateurs de réseau et les fournisseurs d’accès devraient mettre en place des mesures de sécurité essentielles pour le routage et les systèmes d’adressage par domaines, la sécurité du réseau et d’autres pratiques de sécurité essentielles pour entraîner un changement visible et positif dans le paysage africain de la sécurité de l’infrastructure Internet.
- Établir et maintenir une coopération et une collaboration
- Les opérateurs de réseaux et les fournisseurs d’accès devraient établir et maintenir la coopération et la collaboration en tant que composante essentielle des solutions de sécurité.
Au niveau organisationnel
- Les organisations devraient mettre en œuvre les meilleures pratiques en vigueur et s’efforcer de développer une culture de cybersécurité à tous les niveaux de l’organisation.