Sécurité économique dans un monde en mutation

Laurent Bernat
Direction de la science, de la technologie et de l’innovation de l’OCDE

Lauren Crean
Direction de la science, de la technologie et de l’innovation de l’OCDE

Protéger la cybersécurité revêt une importance grandissante à mesure que les technologies numériques gagnent en complexité et deviennent une composante essentielle des secteurs critiques de l’économie – ce qui a pour corollaire de rendre leurs perturbations plus coûteuses – et que la fréquence des cyberattaques augmente. Les rançongiciels et autres actes de malveillance en ligne représentent une menace croissante, notamment pour les institutions, les infrastructures et les services publics. En 2021, par exemple, une cyberattaque a entraîné la fermeture du plus grand oléoduc des États-Unis pendant six jours et, ce faisant, causé des pénuries de carburant sur la côte est du pays. Malgré la difficulté notoire à établir le nombre d’incidents de cybersécurité et leur impact économique, il semble que la tendance soit à la hausse. En moyenne, dans les pays de l’OCDE, un tiers des individus (âgés de 16 à 74 ans) ont déclaré en 2022 avoir subi un incident de sécurité1. Selon certaines estimations, le nombre de cyberattaques a presque doublé par rapport à la période antérieure à la pandémie de COVID-19. Depuis 2020, les pertes directes liées aux cyberincidents qui ont été déclarées s’élèvent au total à près de 28 milliards USD (en termes réels) dans le monde, et des milliards de données ont été volées ou compromises. Les coûts directs et indirects totaux liés à ces incidents sont très probablement beaucoup plus élevés, les estimations variant sensiblement de 1 à 10 % du PIB mondial2.

Les administrations publiques jouent un rôle important dans la cybersécurité. Les entreprises sont souvent peu incitées à investir suffisamment dans ce domaine, et la complexité des chaînes d’approvisionnement rend difficile la détermination des responsabilités. L’évolution rapide des technologies fait de la cybersécurité une cible mouvante qui nécessite une attention soutenue et permanente. Les mécanismes du marché ne permettent pas à eux seuls de faire face aux risques et aux menaces. Ces défis étant par essence mondiaux, les pouvoirs publics ne peuvent les relever qu’en prenant des mesures cohérentes et coordonnées, fondées sur des principes reconnus au niveau international.

Au cours des 30 dernières années, l’OCDE a élaboré des politiques en matière de cybersécurité au service de la prospérité économique et sociale. Cette approche transparaît dans une série de Recommandations du Conseil exposées dans le Cadre d’action de l’OCDE sur la sécurité numérique : La cybersécurité pour la prospérité (OCDE, 2023[1]). Ce chapitre présente ce Cadre ainsi que les Recommandations connexes. Il donne également un aperçu des travaux menés par l’OCDE sur la sécurité numérique des activités critiques (OCDE, 2019[2] ; Bernat, 2021[3]) et la sécurité des réseaux de communication (OCDE, 2023[4]).

L’OCDE définit la sécurité numérique comme l’ensemble des mesures prises pour gérer le risque de sécurité numérique au service de la prospérité économique et sociale (OCDE, 2023[1]). En tant que priorité de l’action publique à l’échelle mondiale, la cybersécurité sous-tend plusieurs domaines clés, qui souvent se recoupent et sont interdépendants (Graphique 6.1.) :

• Les opérations techniques, qui visent à s’assurer que les systèmes d’information fonctionnent comme prévu. Cet aspect, qui recouvre les erreurs humaines, est à l’origine de la cybersécurité, perçue initialement comme une question technique gérée par des experts et communément appelée sécurité informatique, sécurité de l’information (« infosec ») ou encore sécurité des données.

• La prospérité : il s’agit là de s’assurer que la sécurité sert plus largement les objectifs économiques et sociaux. Cette dimension met l’accent sur la sauvegarde des activités économiques et sociales qui dépendent de l’environnement numérique plutôt que sur la protection de ce dernier. L’OCDE qualifie ce domaine de sécurité numérique ou de gestion du risque de sécurité numérique.

• L’application du droit pénal, c’est-à-dire la mise en œuvre de la législation relative à la cybercriminalité pour réduire les menaces. La cybercriminalité peut recouvrir non seulement les aspects liés à la sécurité présentés ci-après, mais aussi des crimes tels que l’exploitation des enfants sur l’internet.

• La sécurité nationale et internationale, soit la mise en place de mesures propres à renforcer la confiance et d’autres destinées à prévenir l’extension des conflits armés au cyberespace et à œuvrer en faveur de la désescalade. Cette dimension est souvent qualifiée de cyberdéfense, de cyberguerre ou de cyberespionnage.

Les pouvoirs publics ont adopté des cadres institutionnels divers pour élaborer et mettre en œuvre des mesures liées à chacune de ces dimensions, en s’appuyant sur différents organismes nationaux, avec des degrés variables de centralisation et de coordination avec d’autres organismes publics. Au niveau international, chaque dimension relève généralement de différentes organisations internationales, selon leurs missions respectives. Ainsi, l’OCDE traite des politiques de sécurité numérique conformément à sa mission dans les domaines économique et social, notamment dans celui des politiques de la science, de la technologie et de l’innovation ; des organisations de normalisation comme l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI), le Groupe de travail sur l’ingénierie internet (IETF), l’Institut européen de normalisation des télécommunications (ETSI) ou la Commission d’études 17 de l’Union internationale des télécommunications (UIT-T) élaborent des normes techniques ; le Conseil de l’Europe, l’Office des Nations Unies contre la drogue et le crime (ONUDC) et Interpol (à un niveau plus opérationnel) se concentrent sur la cybercriminalité ; et le Groupe d’experts gouvernementaux et le Groupe de travail à composition non limitée des Nations Unies traitent des questions de sécurité internationale. S’appuyant sur l’expertise de l’OCDE, le reste de ce chapitre s’intéresse plus précisément aux politiques de sécurité numérique. L’Encadré 6.1 présente les concepts clés liés à la sécurité numérique.

La Recommandation de l’OCDE sur la gestion du risque de sécurité numérique (OCDE, 2022[6]) énonce des principes de haut niveau visant à aider à définir une approche économique et sociale efficace de la cybersécurité. Ces principes sont essentiels pour insuffler une culture de la sécurité numérique aux responsables de l’action publique, ainsi qu’aux dirigeants et décideurs des organisations publiques et privées. Ils aident les parties prenantes à protéger contre les cybermenaces les activités qui reposent sur l’environnement numérique, sans entraver ces activités, brider l’innovation, faire obstacle à la transformation numérique ni compromettre les droits humains. De plus, cette protection doit tenir compte du caractère dynamique des technologies, des activités économiques qui en dépendent, et des menaces qui les entourent.

Les principes généraux sont destinés à toutes les parties prenantes, tandis que les principes opérationnels s’adressent aux dirigeants et aux décideurs des organisations (Tableau 6.1).

Il est essentiel d’instaurer une culture de la sécurité numérique pour gérer le risque de sécurité numérique (principe n° 1). C’est en gardant cette idée fondamentale à l’esprit que les parties prenantes devraient aborder la question de la sécurité numérique, que ce soit pour élaborer et mettre en œuvre les politiques publiques ou pour protéger leur organisation, leurs actifs personnels et leur sécurité, sans compromettre les avantages et possibilités offerts par les TIC, ni le respect des droits humains. Une culture de la sécurité numérique implique d’avoir conscience de l’existence d’un tel risque et d’acquérir les compétences appropriées – par l’éducation, la formation, l’expérience et/ou la pratique – pour être en mesure de prendre des décisions responsables (autonomisation). Si les conséquences possibles d’un accident de voiture sont intuitives, la complexité de l’environnement numérique brouille le lien entre l’incident et ses répercussions. Par exemple, de nombreuses personnes sont conscientes du fait qu’un virus peut infecter leur équipement, mais n’en mesurent pas les conséquences potentielles telles que l’usurpation d’identité, la fraude financière ou le vol de secret commercial. Sans compter qu’au-delà des répercussions immédiates au niveau individuel, les conséquences sont encore moins visibles.

Les individus assument tous la responsabilité partagée de leurs décisions en matière de sécurité numérique, ou de leur absence de décision (principe n° 2). Néanmoins, la nature et le degré de cette responsabilité varient selon le rôle des différentes parties prenantes. Ainsi, la responsabilité de l’utilisateur d’un appareil numérique est différente de celle du vendeur de cet appareil, de son fabricant, des tierces parties ayant développé les composants logiciels qu’il intègre, des fournisseurs de services infonuagiques hébergeant les données traitées par l’appareil, etc. La responsabilité vis-à-vis d’autrui est au cœur des recommandations de l’OCDE relatives à la diligence raisonnable fondée sur les risques énoncées dans les Principes directeurs EMN de l’OCDE (OCDE, 2011[8]) et dans le Guide OCDE sur le devoir de diligence pour une conduite responsable des entreprises (OCDE, 2018[9]).

Les droits humains et les valeurs fondamentales doivent être protégés dans l’environnement numérique (principe n° 3). Selon leurs modalités d’utilisation, les mesures de sécurité peuvent favoriser ou compromettre le respect des droits humains et des valeurs fondamentales. Ainsi, certaines mesures de sécurité peuvent contribuer à renforcer la protection de la vie privée, assurer l’anonymat des lanceurs d’alerte et protéger les défenseurs des droits humains contre la surveillance des régimes autoritaires. Elles peuvent en revanche permettre une surveillance illégitime de citoyens ou d’employés, ou empêcher l’accès aux contenus produits par des militants.

L’interconnexion mondiale qui caractérise l’environnement numérique permet certes d’en tirer des avantages économiques et sociaux considérables, mais elle se traduit aussi par une complexité accrue, facilite la propagation des menaces et des vulnérabilités, et accentue le risque collectif. La coopération est essentielle aux niveaux national et international pour remédier à ces inconvénients (principe n° 4). Isolément, les parties prenantes ne peuvent réussir à traiter la question de la sécurité numérique. Ainsi, les dirigeants et les décideurs des organisations doivent coopérer avec des experts techniques pour évaluer le risque de sécurité numérique, et les experts techniques doivent coopérer avec ces responsables pour garantir que les mesures de sécurité techniques ne compromettent pas les objectifs et les activités de leur organisation. Une coopération s’impose également entre les organisations et en leur sein, par exemple pour partager des informations notamment via les centres d’échange et d’analyse d’informations (ISAC).

Les principes opérationnels portent sur la mise en œuvre de la gestion du risque de sécurité numérique dans les organisations. La première étape à suivre pour gérer le risque de sécurité numérique dans les organisations consiste à adopter une approche stratégique et à mettre en place une gouvernance adaptée (principe n° 5). Il est primordial d’intégrer la gestion du risque de sécurité numérique dans le cadre général de gestion du risque de l’organisation (que l’on appelle souvent « gestion du risque d’entreprise ») afin que les décisions concernant la sécurité numérique soient prises en fonction des objectifs économiques plutôt qu’à la lumière des seules considérations techniques, et qu’elles soient conformes aux bonnes pratiques établies en matière de gestion du risque (approche systématique, cycle d’amélioration continue, etc.). Le conseil d’administration de l’entreprise joue un rôle clairement défini dans la gestion du risque de sécurité numérique, conformément au chapitre sur les conseils d’administration des Principes de gouvernance d’entreprise du G20 et de l’OCDE, qui stipule que l’une des fonctions essentielles du conseil d’administration est de fixer les politiques de gestion des risques et de s’assurer « de l’intégrité des systèmes de comptabilité et de communication financière de la société, [...] et que l’entreprise est dotée de dispositifs de contrôle adéquats, en particulier de dispositifs de gestion des risques [...] » (Principe VI.D.7) (OCDE, 2015[10]).

La structure de gouvernance devrait définir des rôles, des responsabilités et des processus clairs et prévoir des ressources et des compétences appropriées. Les dirigeants et les décideurs responsables de la réalisation des objectifs économiques et sociaux devraient être responsables de la prise en charge du risque de sécurité numérique inhérent à ces activités (« responsabilité à l’égard de la gestion du risque »). Les risques et les bénéfices sont intrinsèquement mêlés, puisque les risques affectent, par définition, les bénéfices de toute activité. Étant donné que la gestion du risque constitue un moyen d’accroître les chances de réussite d’une activité, les dirigeants et décideurs de l’organisation qui sont responsables des retombées positives de cette activité devraient être également responsables de la gestion du risque de sécurité numérique correspondant et ne pas se contenter de la déléguer aux spécialistes techniques parce que les conséquences économiques et sociales des incidents de sécurité numérique peuvent être bien plus graves que leur coût technique (autrement dit, informatique) pour l’organisation concernée, ses partenaires et les tierces parties. De plus, les mesures de sécurité peuvent compromettre l’activité qu’elles visent à protéger. Elles peuvent créer des obstacles à cette activité et des contraintes, notamment accroître son coût financier et la complexité du système, allonger les délais de mise sur le marché, ou encore limiter les performances, la facilité d’utilisation, la capacité d’évolution, l’innovation et le confort d’utilisation.

Pour accroître les chances de réussite, un cycle d’évaluation et de traitement du risque (principe n° 6) permet d’aborder la question des incertitudes. Comme l’illustre le Graphique 6.2., la première étape du processus consiste à définir les objectifs et concevoir les activités qui reposent sur l’environnement numérique. Le risque est ensuite évalué pour calculer sa probabilité et les effets possibles des incertitudes sur les objectifs de l’activité. À la lumière de ce processus d’évaluation, une décision est prise sur ce qu’il convient de faire du risque (traitement du risque), autrement dit s’il convient de le modifier et dans l’affirmative, comment, de manière à accroître les chances de succès des activités menées à l’appui des objectifs visés et de leur maintien.

Le processus de traitement du risque permet de déterminer quelle part du risque devrait être :

• Assumée (ou prise, acceptée), le risque se trouvant dans des limites que l’entité juge acceptables pour mener son activité, ce que l’on désigne par les expressions « appétence pour le risque » ou « tolérance au risque ». Assumer le risque signifie que l’on en accepte les éventuelles conséquences économiques et sociales préjudiciables en cas d’incident.

• Évitée, sachant qu’il n’est pas possible d’éliminer intégralement le risque de sécurité numérique sans renoncer dans le même temps aux avantages de l’utilisation des TIC. En d’autres termes, le meilleur moyen d’éviter le risque de sécurité numérique est de s’abstenir d’utiliser les technologies numériques.

• Réduite à un niveau acceptable en fonction de l’appétence pour le risque de l’entité, en mettant en place des mesures de sécurité qui limitent la survenue d’incidents ou leurs conséquences. Des événements préjudiciables pouvant se produire en dépit des mesures de sécurité mises en place, il subsistera toujours un risque résiduel qui ne peut être éliminé et doit être accepté. C’est pourquoi il est primordial de développer la résilience et d’assurer la continuité des activités, afin de se préparer à la survenue d’incidents éventuels et à la réduction de leurs conséquences.

• Transférée à un tiers, au moyen d’une assurance par exemple, s’il existe une offre de marché en la matière.

Un processus systématique et cyclique continu d’évaluation du risque est essentiel pour que les dirigeants et les décideurs puissent prendre des décisions sur le traitement à y apporter, qui soient éclairées et adaptées à la nature changeante du risque. Les menaces, les vulnérabilités, les incidents, les technologies, leur utilisation et leurs avantages – pour ne citer que quelques-unes des variables de l’équation des risques d’une activité – évoluent très rapidement. L’évaluation doit tenir compte des risques inhérents aux fournisseurs et aux partenaires auxquels l’organisation est reliée numériquement. Les décisions en termes de traitement du risque qu’il est possible de prendre (assumer, réduire, transférer, éviter le risque) exigent que les dirigeants et décideurs déterminent le niveau d’appétence de leur organisation pour le risque de sécurité numérique (ou son niveau de tolérance) pour chaque activité qui dépend de l’environnement numérique.

Des mesures de sécurité peuvent ensuite être définies et mises en œuvre pour réduire le risque (principe n° 7). Ces mesures, appelées aussi « mécanismes », « contrôles » ou « protections », peuvent être de nature diverse : numérique (un logiciel de sécurité, par exemple), physique (des verrous, caméras, clôtures, etc.) ou hybride (comme une carte à puce) ; s’appliquer aux personnes (une formation, par exemple), aux processus (règles ou pratiques organisationnelles, etc.), ou aux technologies (cryptographie) ; être d’ordre juridique (comme un contrat), procédural (normes, par exemple) ou managérial, etc. Les mesures de sécurité peuvent également être axées sur des vulnérabilités.

En plus de l’adoption de mesures de sécurité, les parties prenantes peuvent réduire leur exposition au risque de sécurité numérique par l’innovation, que celle-ci porte sur l’activité concernée ou sur les mesures de sécurité (principe n° 8). L’innovation visant à réduire le risque de sécurité numérique peut revêtir des formes très diverses, touchant ou non aux aspects numériques. Elle peut, par exemple, avoir trait au modèle économique ou structurel de l’organisation, à des processus comme les méthodes de paiement, voire à une nouvelle conception des composantes non numériques, physiques, juridiques ou autres, d’un produit. L’introduction d’une innovation pouvant créer des incertitudes dans une activité, elle doit donner lieu à un cycle de réévaluation et de traitement du risque, comme l’illustre le Graphique 6.2. La sécurité numérique peut ainsi ajouter de la valeur à une organisation, un produit ou un service et devenir un levier d’innovation et d’avantage concurrentiel, à condition qu’elle soit considérée non comme une question à part d’ordre purement technique, mais comme faisant partie intégrante des processus décisionnels économiques et sociaux liés à une activité donnée.

Afin de réduire encore le risque, des mesures permettant d’assurer la résilience, la préparation et la continuité d’activité peuvent être définies pour être appliquées en cas d’incident (principe n° 9). Outre les mesures de sécurité et l’innovation, dont l’objet est d’empêcher la survenue d’incidents préjudiciables, les mesures de résilience, de préparation et de continuité d’activité visent à atténuer les conséquences économiques et sociales des incidents lorsqu’ils surviennent. Des plans de préparation et de continuité sont indispensables pour définir à l’avance la manière de se protéger contre ces incidents, de les détecter, d’y répondre et d’assurer la reprise des activités. Ces plans devraient prendre en considération l’extrême rapidité à laquelle ces incidents peuvent se propager et s’aggraver dans l’environnement numérique.

La cybersécurité (désignée également par des expressions comme sécurité de l’information, sécurité des données, sécurité des systèmes d’information, sécurité informatique, ou sûreté de l’information) est une question relevant de l’action publique depuis plus de 35 ans, voire plus si l’on considère les exigences de sécurité énoncées dans les législations sur la protection de la vie privée et des données adoptées dans certains pays dès les années 70. Toutefois, ce n’est qu’avec l’adoption généralisée des technologies de l’internet et la large disponibilité de la connectivité à haut débit qu’elle est progressivement devenue un domaine d’action indépendant assorti de structures de gouvernance, de stratégies et de plans spécifiques ainsi que de programmes d’action.

La sécurité numérique s’est progressivement développée dans ce contexte. À l’heure actuelle, l’OCDE dispose au total de sept Recommandations du Conseil qui reflètent une unité de vue des pays membres quant à la manière d’aborder la cybersécurité sur le plan économique et social, ainsi que leur engagement à élaborer des politiques sur cette base. Ces Recommandations sont présentées dans le Cadre d’action de l’OCDE sur la sécurité numérique : La cybersécurité pour la prospérité (ci-après dénommé le « Cadre ») (OCDE, 2023[1]), illustré par le Graphique 6.3. Cet ensemble de Recommandations aborde les aspects les plus importants des politiques de sécurité numérique, sans traiter de toutes les facettes de ce domaine complexe et en constante évolution.

Le niveau élémentaire constitue le fondement de l’élaboration des politiques de sécurité numérique, sur lequel reposent tous les autres niveaux, et correspond à la gestion du risque de sécurité numérique. Il recouvre les principes fondamentaux à garder à l’esprit pour aborder la cybersécurité sous l’angle économique et social, et pour instaurer une culture de la sécurité numérique permettant de protéger les activités, les individus et la société sans compromettre les avantages et possibilités offerts par les technologies de l’information et des communications (TIC), ni le respect des droits humains. Tous les autres niveaux de ce Cadre reposent sur ces principes de haut niveau. Cette couche correspond à la Recommandation sur la gestion du risque de sécurité numérique (OCDE, 2022[6]).

Le niveau stratégique se rapporte à la façon dont les responsables de l’action publique devraient utiliser le niveau élémentaire pour élaborer des stratégies nationales en matière de sécurité numérique (ci-après dénommées « stratégies nationales ») offrant une vision claire, afin de s’assurer que toutes les parties prenantes, des organismes publics aux organisations des secteurs public et privé, en passant par les individus, unissent leurs forces de manière cohérente et homogène. Outre le fait qu’elles permettent d’adopter une approche globale à l’échelle de l’ensemble de l’administration concernant la politique de sécurité numérique, les stratégies nationales facilitent la création d’interfaces et de synergies avec d’autres domaines de l’action publique, tels que la politique de l’économie numérique, la protection de la vie privée et des données, les politiques sectorielles (dans des domaines tels que la finance, l’énergie, l’éducation ou les compétences) et la coopération internationale. Le niveau stratégique correspond à la Recommandation de l’OCDE sur les stratégies nationales de sécurité numérique (OCDE, 2022[11]).

Les stratégies nationales devraient énoncer une vision claire des objectifs d’un pays en matière de sécurité numérique. Elles devraient viser à insuffler une culture de la sécurité numérique et à protéger les individus, ainsi que les organisations publiques et privées, contre les menaces de sécurité numérique, sans perdre de vue la nécessité de préserver la sécurité nationale et internationale et de protéger les droits humains et les valeurs fondamentales. En sus de la sécurité numérique, une stratégie nationale peut couvrir plusieurs autres dimensions de la cybersécurité, telles que celles présentées dans le Graphique 6.1., qui dépassent le cadre du mandat de l’OCDE.

La stratégie nationale doit attribuer des responsabilités claires à au moins un organisme public en place ou nouveau pour l’élaboration et la mise en œuvre des mesures de sécurité numérique qui y sont préconisées. L’OCDE recommande que les stratégies nationales couvrent au moins neuf domaines, à commencer par la sensibilisation, la mise en place de capacités en matière de réponse aux incidents (généralement via une ou plusieurs équipe(s) de réponse aux incidents de sécurité informatique [CSIRT] ou équipe(s) d’intervention en cas d’urgence informatique [CERT]) et la promotion de normes de gestion du risque. Parmi les autres domaines figurent le développement et la fidélisation d’une main-d’œuvre qualifiée, la mise en place de mécanismes de coordination de la gestion des vulnérabilités pour favoriser la divulgation coordonnée des vulnérabilités, le développement d’une industrie de la cybersécurité, ainsi que des initiatives visant à encourager la recherche et l’innovation (OCDE, 2020[12]), et la protection des individus et des PME (OCDE, 2021[13]). Dernier point, et non des moindres, la coopération internationale devrait occuper une place importante dans les stratégies nationales pour favoriser la mise en commun des expériences et des bonnes pratiques, l’assistance mutuelle, l’amélioration de la réponse aux incidents au niveau opérationnel et l’élaboration d’indicateurs relatifs aux risques permettant des comparaisons.

Le niveau relatif à la réglementation des marchés se rapporte aux domaines dans lesquels l’intervention des pouvoirs publics est nécessaire parce que les mécanismes du marché sont insuffisants pour aboutir à un niveau optimal de sécurité numérique. Si l’intervention des pouvoirs publics est sans doute nécessaire sur de nombreux marchés pour renforcer la sécurité numérique dans l’ensemble de la société, jusqu’à présent les Recommandations de l’OCDE se sont essentiellement concentrées sur les deux domaines suivants :

• La sécurité numérique des activités critiques telles que les services dans les domaines de la finance, de la santé ou de l’énergie, dont la perturbation ou la destruction menacerait le fonctionnement de l’économie et de la société, les vies humaines et la sécurité nationale. Ce domaine d’action, évoqué plus en détail dans la section suivante, est l’objet de la Recommandation de l’OCDE sur la sécurité numérique des activités critiques (OCDE, 2019[2]).

• La sécurité numérique des produits contenant du code (informatique) et des services connexes – comme les services infonuagiques – dont dépendent les parties prenantes pour mener à bien leurs activités économiques et sociales. Les travaux de l’OCDE montrent que le seul jeu des mécanismes du marché est souvent insuffisant pour garantir que ces produits et services soient suffisamment sûrs, et qu’il est peu probable que les incitations de marché permettent à elles seules de parer aux insuffisances de ces produits et services en matière de sécurité numérique. La Recommandation de l’OCDE sur la sécurité numérique des produits et des services fournit des orientations dans ce domaine (OCDE, 2022[14]).

Le seul jeu des mécanismes du marché ne permettant pas à certaines parties prenantes de gérer de manière optimale la sécurité numérique, l’intervention des pouvoirs publics est nécessaire pour les inciter à renforcer la sécurité numérique. Dans un monde idéal, le jeu des mécanismes du marché devrait garantir que les produits contenant du code (logiciels, appareils connectés à l’internet, etc.) et les services connexes sont suffisamment sûrs et que leurs mesures de sécurité sont proportionnées au risque qui pèse sur leurs utilisateurs, ce qui se traduirait par une augmentation du coût marginal des cyberattaques pour les acteurs malveillants et aurait un effet dissuasif. Des analyses de l’OCDE montrent cependant que des défaillances de marché empêchent souvent les parties prenantes d’estimer de manière optimale la valeur de la sécurité numérique des produits et services, et qu’il est peu probable que les incitations de marché permettent à elles seules de combler les lacunes de la gestion du risque de sécurité numérique (OCDE, 2021[15] ; OCDE, 2021[16] ; OCDE, 2021[17]). Pour réajuster les incitations de marché, les pouvoirs publics peuvent adopter des mesures visant à garantir que les fournisseurs assument la responsabilité de la sécurité numérique de leurs produits et services tout au long de leur cycle de vie. Ces mesures pourraient être décomposées en lignes d’action, par lesquelles les fournisseurs intègrent la sécurité dès la conception et la sécurité par défaut, assument et coordonnent la gestion des vulnérabilités, adoptent des politiques de fin de support responsables et coopèrent avec les responsables de code tout au long de la chaîne d’approvisionnement. Les pouvoirs publics peuvent également intervenir pour réduire les asymétries d’information en vue de renforcer la transparence et de favoriser le partage d’informations sur la sécurité numérique des produits et des services, notamment par la réalisation d’évaluations par des tierces parties (telles que des audits, des tests d’inspection ou des certifications).

Le niveau technique a trait à des aspects plus techniques exigeant des orientations pratiques. Il recouvre la nécessité d’encourager les parties prenantes à coordonner la divulgation des vulnérabilités de sécurité présentes dans leurs produits, à mieux gérer les vulnérabilités des systèmes d’information, et à protéger les chercheurs de vulnérabilités. La Recommandation de l’OCDE sur la gestion des vulnérabilités de sécurité numérique (OCDE, 2022[18]) traite de ces questions. Il recouvre également la politique de cryptographie, traitée dans la Recommandation de l’OCDE relative aux Lignes directrices régissant la politique de cryptographie (dénommée ci-après les « Lignes directrices sur la politique de cryptographie ») (OCDE, 1997[19]), et l’authentification électronique, abordée dans la Recommandation de l’OCDE sur l’authentification électronique (OCDE, 2007[20]).

Les vulnérabilités sont une source majeure de risques de sécurité numérique. De fait, le code informatique n’est jamais parfait et contient presque toujours des vulnérabilités, et il en va de même pour les systèmes d’information. Elles sont un corollaire de la complexité grandissante du code et des systèmes, à laquelle s’ajoutent les pratiques de sécurité numérique lacunaires des fournisseurs et des utilisateurs. S’il est impossible d’éliminer entièrement les vulnérabilités du code et des systèmes, l’amélioration de leur gestion permet sans conteste de réduire le risque de sécurité numérique et de renforcer la confiance à l’ère de la transformation numérique. Traiter ces vulnérabilités avant que des criminels n’en tirent parti est un moyen efficace de limiter le risque d’incidents. Pour réduire le risque de sécurité, les parties prenantes devraient, chacune selon son rôle, gérer les vulnérabilités. Les développeurs devraient rechercher et tester les vulnérabilités présentes dans leur code, mettre au point des mesures d’atténuation pour les corriger (par exemple, des correctifs ou des mises à jour de sécurité) et les diffuser auprès des autres acteurs tout au long de la chaîne de valeur, jusqu’aux utilisateurs finaux. Les organisations devraient surveiller leurs systèmes d’information pour s’assurer que ces mesures sont appliquées de manière appropriée et éviter les erreurs de configuration des produits. La gestion des vulnérabilités désigne le processus global recouvrant la découverte des vulnérabilités et la façon elles sont traitées par les fournisseurs (les « responsables de code »), administrées par les responsables des systèmes et divulguées au public. Au cours des dernières années, la communauté technique a progressé dans l’élaboration de bonnes pratiques de gestion des vulnérabilités, notamment grâce à la divulgation coordonnée des vulnérabilités (DCV).

Cependant, d’importants défis économiques et sociaux empêchent les parties prenantes d’adopter des bonnes pratiques. Par exemple, les développeurs logiciels et les responsables de systèmes ont souvent insuffisamment conscience qu’il est de leur responsabilité conjointe de gérer les vulnérabilités. Ils manquent parfois de ressources et de compétences, et des incitations de marché inadaptées peuvent les décourager de prendre des mesures. Il arrive que certains d’entre eux ignorent les chercheurs de vulnérabilités, voire les menacent de poursuites judiciaires. Les chercheurs de vulnérabilités découvrent les vulnérabilités et les signalent aux développeurs logiciels et aux responsables des systèmes qui peuvent ensuite les corriger, ce qui aide à réduire les coûts et la « fenêtre d’exposition » des utilisateurs au risque de sécurité numérique. Quand ils sont ignorés ou menacés, les chercheurs de vulnérabilités peuvent être tentés de porter à la connaissance du public des informations relatives auxdites vulnérabilités sans coordination préalable avec les autres parties prenantes, avec à la clé un risque pour l’ensemble des utilisateurs et pour l’économie. Des acteurs malveillants peuvent également se tourner vers le marché noir pour monnayer les informations sur les vulnérabilités, alimentant par là même l’écosystème de la criminalité.

La Recommandation de l’OCDE sur la gestion des vulnérabilités de sécurité numérique couvre cinq axes d’action des pouvoirs publics : clarifier les responsabilités de chaque catégorie de parties prenantes ; encourager les chercheurs de vulnérabilités responsables et adopter des règles d’exonération pour les protéger contre les menaces de poursuites judiciaires de la part des responsables de la gestion des vulnérabilités ; susciter la confiance, en veillant à ce que les parties prenantes aient accès à au moins un coordinateur de confiance à même d’aider à résoudre les difficultés qu’elles peuvent rencontrer dans le cadre de leurs interactions ; généraliser les bonnes pratiques ; améliorer la coopération nationale et internationale, par exemple pour réduire le marché gris des vulnérabilités, partager les bonnes pratiques à l’échelle internationale et veiller à l’interopérabilité internationale des cadres juridiques afin de protéger les chercheurs de vulnérabilités (OCDE, 2022[18]). Un autre document de l’OCDE, à savoir le Guide de bonnes pratiques sur la coordination de la gestion des vulnérabilités de sécurité numérique, a pour objet d’aider les responsables de l’action publique à acquérir une compréhension globale de la coordination concrète de la gestion des vulnérabilités de sécurité numérique, sans toutefois recourir au jargon technique ni entrer dans des considérations détaillées (OCDE, 2022[21]).

La transformation numérique des activités critiques telles que la fourniture d’eau, d’énergie, de soins de santé, de services de communication et de services bancaires expose de plus en plus ces activités à des menaces de cybersécurité qui peuvent affecter la santé, la sûreté et la sécurité des citoyens, le fonctionnement des services essentiels, ou plus largement, la prospérité économique et sociale. Cette section fait fond sur la Recommandation de l’OCDE sur la sécurité numérique des activités critiques (OCDE, 2019[2]), ainsi que sur la note consacrée au même sujet, publiée dans le cadre de la Boîte à outils sur la transformation numérique (Bernat, 2021[3]). On y présente les concepts clés d’activités critiques, d’infrastructure d’information critique, de cybersécurité, et de gestion du risque de sécurité numérique. L’objectif est d’aider les décideurs à identifier les éléments à protéger et les types de mesures que les opérateurs d’activités critiques devraient adopter. On y examine également le cadre institutionnel à mettre en place pour élaborer et superviser les politiques en vue d’améliorer la sécurité numérique des activités critiques, y compris dans le cadre de partenariats basés sur la confiance.

Cette expression désigne les activités économiques et sociales dont l’interruption ou la perturbation aurait de graves conséquences sur la santé, la sûreté et la sécurité des citoyens, sur le fonctionnement efficace des services essentiels à l’économie et à la société, ainsi que sur celui des pouvoirs publics, ou plus largement sur la prospérité économique et sociale (OCDE, 2019[2]). Ce dernier type d’activités critiques recouvre celles qui sont essentielles à la prospérité sans être nécessairement critiques pour le fonctionnement de l’économie et de la société, ni affecter la santé, la sûreté et la sécurité des citoyens. Tel pourrait être le cas, par exemple, de la construction automobile ou du secteur minier dans un pays où ces activités représenteraient une part importante du produit intérieur brut (PIB). Certains pays utilisent une terminologie différente pour désigner les activités critiques, les qualifiant par exemple de « fonctions critiques » (CISA, 2024[22]) ou de « services essentiels » (Union européenne, 2022[23]). La notion d’activité critique (ou de « fonction critique » ou « service essentiel ») est différente de celle d’infrastructure critique, car elle se concentre sur le risque qui pèse sur la prestation de service plutôt que sur les actifs sur lesquels repose cette prestation.

La notion d’infrastructure critique est apparue à la fin des années 1990, lorsque certains pays de l’OCDE ont commencé à adopter des politiques de protection des infrastructures critiques. Ces politiques concernaient généralement des secteurs d’infrastructures critiques tels que l’énergie, la finance, les communications ou la santé publique.

Progressivement, la nécessité d’élaborer des politiques en vue de protéger les systèmes et réseaux d’information qui sous-tendent ces secteurs d’infrastructures critiques est devenue de plus en plus évidente. Vers 2008, il a semblé naturel de qualifier ces actifs TIC d’« infrastructure d’information critique », comme s’il s’agissait d’un secteur d’infrastructure critique supplémentaire. Toutefois, bien que largement adoptée par les experts, la notion d’infrastructure d’information critique a rarement été utilisée pour l’élaboration des cadres d’action nationaux. Cela pourrait s’expliquer par la difficulté à délimiter leur périmètre dans la pratique. Par exemple, l’internet peut être considéré comme faisant partie d’une telle infrastructure, puisque la plupart des opérateurs d’autres infrastructures critiques (banques, hôpitaux, distributeurs d’énergie, etc.) en dépendent. Or ces opérateurs dépendent également de leurs réseaux et systèmes d’information critiques internes, qui font par conséquent aussi partie des infrastructures d’information critiques. Certaines composantes de ces réseaux et systèmes d’information peuvent être internes aux opérateurs des infrastructures critiques eux-mêmes, c’est-à-dire « sur site », mais d’autres peuvent résider « dans le nuage », à savoir sur l’internet, et être détenues et gérées par des tierces parties, parfois dans d’autres pays et territoires. Cette combinaison de composantes techniques partagées et isolées, internes et externes, rend l’infrastructure d’information critique difficile à représenter et plus complexe que les secteurs d’« infrastructure critique » plus traditionnels dont s’inspirait la notion d’infrastructure d’information critique.

En 2019, l’OCDE a décidé de simplifier le cadre établi dans sa Recommandation de 2008 sur la protection des infrastructures d’information critiques (OCDE, 2008[24]) en se concentrant sur la nécessité de renforcer la sécurité numérique des activités critiques, à savoir d’encourager les opérateurs d’activités critiques à mieux gérer le risque de sécurité numérique.

Du point de vue de l’OCDE, le principal défi à relever pour améliorer la sécurité numérique des activités critiques est d’élaborer des politiques qui incitent et, dans certains pays, obligent les opérateurs d’activités critiques à renforcer la sécurité numérique, sans créer de charges inutiles qui les empêcheraient de concrétiser le plein potentiel de la transformation numérique ou réduiraient leur capacité à le faire. Ces politiques doivent être compatibles avec les principes de l’OCDE en matière de gestion du risque de sécurité numérique, notamment pour ce qui est du respect des droits humains et des valeurs fondamentales.

Les politiques destinées à renforcer la sécurité numérique des activités critiques visent essentiellement à inciter les opérateurs publics et privés de ces activités (banques, hôpitaux, distributeurs d’eau et d’énergie, fournisseurs de réseaux de communication, aéroports, sociétés de chemin de fer, etc.) à mieux gérer le risque de sécurité numérique. Cibler de trop nombreux opérateurs, qui ne sont pas véritablement vitaux pour la réalisation des activités critiques en jeu, ferait peser un fardeau inutile sur de larges pans de l’économie. À l’inverse, se concentrer sur un nombre trop limité d’opérateurs ne protégerait pas suffisamment l’économie. Les pouvoirs publics ont par conséquent besoin d’un processus leur permettant de déterminer quels opérateurs devraient être visés par leurs politiques.

Pour ce faire, les pouvoirs publics peuvent s’appuyer sur le cadre national existant en matière de protection des infrastructures critiques ou de gestion du risque. En l’absence d’un tel cadre, ils doivent élaborer une méthodologie ex nihilo. La première étape consiste à procéder à une évaluation nationale du risque couvrant toutes les activités économiques et sociales. Sur cette base et en collaboration avec les acteurs publics et privés concernés, les pouvoirs publics doivent recenser les activités critiques ainsi que les opérateurs correspondants. À cet effet, les pays utilisent diverses méthodologies et tiennent compte de différents seuils ou critères de criticité (tels que le nombre possible d’utilisateurs ou de citoyens touchés par un incident). Par exemple, la directive de l’Union européenne sur la sécurité des réseaux et des systèmes d’information 2 (SRI 2) prend en compte les entités importantes et essentielles, sur la base de critères tels que leur secteur, leur taille et leur chiffre d’affaires (Union européenne, 2022[23]).

Si les opérateurs sont responsables de la sécurité numérique de leurs activités, les pouvoirs publics – dans le cadre de leur mission de protection de l’intérêt public – sont censés intervenir, notamment pour déterminer le niveau de risque que la société peut tolérer en ce qui concerne les activités critiques, et pour assurer la continuité de ces activités.

L’intervention des pouvoirs publics prend diverses formes et s’appuie sur de nombreux outils, notamment la promotion de normes, l’instauration d’obligations juridiques, la réglementation, la coréglementation, la promotion de l’autoréglementation, ou encore l’aide à la gestion de crise et l’appui technique. La tendance récente est à l’adoption de réglementations à caractère obligatoire, largement motivée par la mise en œuvre, dans l’Union européenne, de la Directive SRI de 2016, aux termes de laquelle les membres de l’UE devaient imposer des exigences de conformité aux opérateurs de services essentiels, et renforcée par la Directive SRI 2 de 2022 qui étend les objectifs et le champ d’application de la précédente Directive afin de renforcer la protection (Union européenne, 2022[23]). En revanche, certains pays comme le Japon et les États-Unis privilégient une approche volontaire, qui consiste à apporter un soutien et prodiguer des conseils aux opérateurs sans établir d’exigences contraignantes.

Dans l’ensemble, les pouvoirs publics affichent des objectifs communs en ce qui concerne les types de mesures que les opérateurs devraient prendre, comme l’adoption d’une gestion renforcée du risque de sécurité numérique et le partage d’informations sur les risques ou les pratiques exemplaires, ou encore le signalement des incidents.

Comme il est impossible d’assurer un niveau de protection uniforme, les opérateurs désignés doivent recenser les fonctions sans lesquelles ils ne peuvent pas mener efficacement leurs activités critiques, ainsi que les parties critiques de l’écosystème numérique qui sous-tendent ces fonctions critiques. Les écosystèmes numériques comprennent le matériel, les logiciels, les réseaux et les données, les technologies opérationnelles qui détectent ou provoquent des changements dans les processus physiques (tels que les systèmes de contrôle industriel), ainsi que les entités internes et externes, les personnes et les processus qui les conçoivent, assurent leur maintenance et les exploitent, et les relations qui les lient. Enfin, les opérateurs doivent mettre en œuvre une gestion systématique et cyclique du risque de sécurité numérique lié à ces fonctions critiques. Ils doivent procéder à une évaluation du risque de sécurité numérique et faire le choix de le gérer.

L’un des principaux défis rencontrés par les pouvoirs publics dans le cadre de leur intervention consiste à formuler des recommandations ou des exigences quant à la mise en œuvre d’une gestion du risque de sécurité numérique à la pointe du progrès, au niveau de détail approprié. Les technologies numériques évoluent rapidement, tout comme les menaces, les vulnérabilités, ainsi que les techniques et les processus de protection des écosystèmes numériques. Si les instruments d’action sont trop détaillés, les politiques publiques visant à inciter les opérateurs à prendre des mesures de sécurité plus robustes risquent d’être rapidement dépassées et de devenir un facteur inhibant pour les opérateurs, sans pour autant assurer le niveau de sécurité escompté. S’ils sont trop génériques, les opérateurs qui rencontrent des difficultés à interpréter les politiques à des fins de mise en œuvre et de conformité risquent d’être confrontés à une insécurité juridique.

Ainsi, aux États-Unis, les pouvoirs publics promeuvent le Cadre de cybersécurité élaboré par l’Institut national des normes et de la technologie (National Institute of Standards and Technologies – NIST) en coopération avec l’industrie (NIST, 2024[25]). Le Cadre de cybersécurité est un document d’orientation non contraignant fondé sur les normes, les lignes directrices et les pratiques existantes. Son utilité est largement reconnue, y compris en dehors des États-Unis et au-delà des opérateurs d’activités critiques. Au Japon, le Centre national de préparation aux incidents et de stratégie pour la cybersécurité (National Center of Incident readiness and Strategy for Cybersecurity – NISC) fournit des orientations par le biais de la Politique de cybersécurité pour la protection des infrastructures critiques, qui comprend les Lignes directrices pour l’établissement de principes de sécurité destinés à garantir la sécurité de l’information des infrastructures critiques. En mars 2021, l’Agence coréenne pour l’internet et la sécurité (Korea Internet & Security Agency – KISA) a publié des Directives pour l’analyse et l’évaluation des vulnérabilités techniques des infrastructures d’information critiques en vue de renforcer les capacités de cybersécurité des opérateurs d’infrastructures critiques.

La Recommandation de l’OCDE sur la sécurité numérique des activités critiques est l’expression du consensus des Membres de l’Organisation concernant l’ensemble de mesures de gestion du risque de haut niveau qu’il devrait être recommandé aux opérateurs d’adopter (OCDE, 2019[2]).

Les politiques destinées à renforcer la sécurité numérique des activités critiques se trouvent à la croisée de plusieurs domaines (Graphique 6.4). Elles visent à soutenir la transformation numérique en garantissant la confiance dans les activités qui sont essentielles au fonctionnement et à la prospérité des économies et des sociétés. Elles font donc partie d’un programme national de politique de transformation numérique, ainsi que d’un programme national de sécurité numérique. Comme expliqué ci-dessus, les politiques destinées à renforcer la sécurité numérique des activités critiques peuvent s’appuyer sur l’évaluation nationale des risques découlant du cadre de protection des infrastructures critiques du pays, qui fait souvent partie d’un programme de sécurité nationale et de sûreté publique. En outre, elles couvrent différents secteurs tels que la finance, l’énergie, les communications, les transports et les soins de santé, avec des caractéristiques techniques, commerciales, économiques, réglementaires, culturelles et autres qui leur sont propres. Par conséquent, ces politiques peuvent également être considérées comme faisant partie de plusieurs programmes sectoriels (notamment sur les villes intelligentes, les réseaux électriques intelligents, la santé connectée) et doivent tenir compte des réglementations sectorielles et des conditions du marché. Le Décret présidentiel 14117 de 2024 des États-Unis visant à empêcher l’accès à des volumes élevés de données personnelles sensibles des Américains et de données relatives au gouvernement des États-Unis par des pays considérés comme « préoccupants » et la règle connexe sur la sécurité des données, qui limite le transfert en masse de données personnelles sensibles vers les pays préoccupants, protègent la sécurité nationale des États-Unis tout en répondant aux exigences transversales liées à la protection de la vie privée et à la cybersécurité et en évitant les mandats étendus de localisation des données (US Department of Justice, 2025[26]).

Prendre en compte ces différents points de vue de manière équilibrée constitue généralement un défi de taille pour les pouvoirs publics. Pour y parvenir, ils doivent : 1) fixer, au plus haut niveau de l’administration et dans le cadre d’une stratégie nationale de sécurité numérique, des objectifs clairs destinés à renforcer la sécurité numérique et la résilience des activités critiques, 2) adopter un mécanisme de gouvernance nationale qui attribue à un ou plusieurs organisme(s) public(s) la responsabilité de renforcer la sécurité numérique des activités critiques à l’échelle des différents secteurs et en leur sein, et 3) garantir une coordination nationale mobilisant l’ensemble de l’administration en vue d’établir une coopération intra-gouvernementale, d’assurer la cohérence des mesures adoptées dans les différents secteurs, de répartir les ressources entre les organismes publics responsables et de créer une masse critique d’expertise et de compétences, ainsi que de faciliter la coopération internationale.

Les pays de l’OCDE n’ont pas adopté une approche unique de la coordination à l’échelle de l’ensemble de l’administration. Les cadres de gouvernance varient considérablement, en fonction notamment de la constitution, du style de gouvernement et de la structure administrative du pays. Dans tous les cas, ils doivent garantir le respect des droits humains et des valeurs fondamentales.

La gouvernance couvre généralement trois fonctions clés : 1) la définition de la stratégie ou du cadre d’action global, 2) la mise en œuvre du cadre dans chaque secteur et 3) la capacité opérationnelle. Les trois fonctions peuvent être centralisées au sein d’un organisme unique, comme c’est le cas en France avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI), ou réparties de différentes manières.

Ainsi, l’élaboration de la stratégie peut être pilotée par un ministère (comme en Allemagne, au Royaume-Uni ou au Japon), et la capacité opérationnelle confiée à un organisme distinct (NCSC au Royaume-Uni, Office fédéral de la sécurité de l’information [BSI] en Allemagne, NISC au Japon). La mise en œuvre du cadre et la supervision peuvent être centralisées ou décentralisées par le biais de régulateurs sectoriels. Au Danemark, le cadre d’action général a été élaboré par le ministère des Finances au titre de la stratégie nationale de sécurité numérique, mais chaque ministère responsable d’un secteur critique (énergie, santé, transports, etc.) est tenu d’établir une sous-stratégie spécifique dans son domaine de compétence (Ministère des Finances, Danemark, 2018[27]). En Türkiye, les stratégies de cybersécurité sont élaborées par le Conseil de la cybersécurité, qui dépend du ministère des Transports et des Infrastructures. Les autorités chargées de réglementer les secteurs d’infrastructures critiques, le cas échéant, ou les ministères concernés sont responsables de la mise en œuvre des mesures de portée générale énoncées dans les plans d’action du Conseil de la cybersécurité. Dans de nombreux pays, l’organisme chargé de l’assistance opérationnelle en matière de sécurité numérique peut assurer la liaison avec les services de répression et de renseignement.

Chaque approche présente des avantages et des inconvénients. Ainsi, une approche centralisée facilite la cohérence réglementaire, mais rend plus difficile une réglementation sectorielle détaillée, imposant à l’organisme central de consulter les régulateurs sectoriels concernés et de créer des liens avec les opérateurs privés d’activités critiques. Une approche décentralisée quant à elle facilite l’élaboration et la mise en œuvre d’une réglementation sectorielle spécifique, mais requiert davantage d’efforts pour assurer la cohérence entre les secteurs et présenter aux pouvoirs publics une image globale de la situation. L’un des principaux avantages de l’approche décentralisée tient au fait que les régulateurs sectoriels entretiennent déjà des relations avec les opérateurs de leur secteur et comprennent leurs contraintes. Toutefois, les opérateurs peuvent être réticents à l’idée de divulguer aux régulateurs sectoriels des informations relatives à la sécurité numérique qui pourraient être utilisées à d’autres fins réglementaires (Commission européenne, 2019[28]).

Il est important de veiller à ce que les organismes responsables disposent de capacités suffisantes pour accomplir leurs tâches, notamment en termes de financement et de ressources, ainsi que d’expertise en matière de sécurité numérique, qui est rare dans la plupart des pays et difficile à conserver dans le secteur public. Il peut sembler plus facile de bâtir une masse critique d’expertise en matière de sécurité numérique au sein d’un organisme central, car la plupart des défis techniques connexes sont communs à tous les secteurs.

Les pouvoirs publics peuvent résoudre ce problème en séparant l’action publique de l’expertise opérationnelle. Par exemple, au Royaume-Uni, le NCSC apporte son soutien aux régulateurs sectoriels en leur offrant des conseils techniques et les services d’une équipe de réponse aux incidents de sécurité informatique (CSIRT). Un organisme central peut également fournir des orientations et des lignes directrices pour aider les agences sectorielles à mener à bien leur mission, comme c’est le cas au Japon et au Royaume-Uni (DCMS, 2018[29] ; Gouvernement du Japon, 2024[30]). Dans les faits, la plupart des pays suivent un modèle relativement hybride. Les pays ayant adopté une approche centralisée compensent la centralisation par des consultations et une coopération intragouvernementales, tandis que ceux qui ont opté pour un modèle décentralisé disposent généralement d’un organe opérationnel central chargé d’aider les régulateurs sectoriels et d’informer sur la situation globale.

Dans ce cadre général, les pouvoirs publics devraient renforcer les capacités dédiées au soutien à la gestion du risque de sécurité numérique et à la résilience des activités critiques. Il s’agit notamment de développer de nouvelles capacités de réponse aux incidents ou de renforcer des capacités existantes par l’intermédiaire d’une équipe de réponse aux incidents de sécurité informatique (CERT/CSIRT), d’un centre opérationnel de sécurité (SOC), ou de plusieurs acteurs de ce type fonctionnant par exemple par secteur. Si les pouvoirs publics doivent disposer d’au moins une CERT/CSIRT pour gérer les incidents affectant leurs propres systèmes, les autres CERT/CSIRT ne sont pas nécessairement des organismes du secteur public. Les pouvoirs publics jouent souvent un rôle de premier plan dans l’organisation d’exercices de cybersécurité sectoriels et intersectoriels avec les opérateurs afin de tester et d’améliorer les mesures existantes, y compris les flux d’informations entre les parties prenantes en cas de crise. Ces exercices peuvent impliquer des partenaires internationaux au niveau régional (comme c’est le cas de l’exercice Cyber Europe organisé par l’ENISA) ou international (à l’instar de l’exercice Cyberstorm, organisé par l’agence CISA et dirigé par les États-Unis) (ENISA, 2024[31] ; CISA, 2024[32]).

En 2023, l’OCDE a analysé la sécurité des infrastructures de communication (OCDE, 2023[4]) à la lumière des dernières évolutions survenues, telles que la généralisation de la transformation numérique et la façon dont elle affecte les opérateurs de communication. Compte tenu du rôle crucial joué par les réseaux de communication dans la transformation numérique, leur résilience et leur sécurité numérique sont devenues une priorité pour les responsables de l’action publique des pays de l’OCDE, qui doivent assurer le fonctionnement de nos économies et de nos sociétés dépendantes du numérique et renforcer la confiance dans la transformation numérique à l’œuvre. Cependant, le nombre et la sophistication des cyberattaques menées contre ces réseaux augmentent. Dans le même temps, les réseaux de communication connaissent des changements importants et sont mis à niveau de sorte à respecter les nouvelles normes technologiques (notamment la 5G), ce qui a une incidence sur leur sécurité.

Le rapport recense quatre tendances qui sont en train de transformer les réseaux de communication et présente leurs conséquences sur le plan de la sécurité numérique (OCDE, 2023[4]) :

• L’augmentation de la criticité des réseaux de communication et de la dépendance de l’économie et de la société à leur égard, ce qui modifie les conditions de leur sécurité numérique.

• La progression de la virtualisation des réseaux et de l’utilisation des services infonuagiques.

• L’évolution des réseaux vers une plus grande ouverture, y compris pour le réseau d’accès radioélectrique (RAN).

• Le rôle joué par l’intelligence artificielle dans les réseaux de communication.

Chacune de ces tendances façonne les réseaux de communication et, partant, soulève des questions quant à leurs répercussions sur la sécurité numérique.

D’une part, elles profitent à la gestion du risque de sécurité numérique des infrastructures de communication. Elles peuvent contribuer à améliorer la visibilité et la gestion des réseaux, permettre la segmentation et l’isolement des réseaux, allouer plus efficacement les ressources de sécurité et automatiser la détection précoce des activités et des logiciels malveillants (OCDE, 2023[4]). La transparence accrue et la réduction de la dépendance à l’égard de certains fournisseurs sont d’autres avantages qu’une ouverture croissante pourrait apporter à la sécurité numérique.

D’autre part, ces tendances mettent à l’épreuve la gestion du risque de sécurité numérique au sein des infrastructures de communication. Dans l’ensemble, le rapport met en lumière plusieurs incidences :

• Une expansion de la surface d’attaque (soit l’ensemble des points d’un système d’information qui sont potentiellement vulnérables à une attaque). L’architecture des réseaux de communication se caractérisant par une complexité croissante et les réseaux étant de plus en plus définis par logiciel, basés sur l’infonuagique et virtualisés, ils présentent davantage de vulnérabilités logicielles susceptibles d’être exploitées (OCDE, 2023[4]).

• Une diversification et une complexification de la chaîne d’approvisionnement. Certaines des avancées technologiques qui accompagnent ces tendances tendent à accroître la dépendance des opérateurs de réseaux vis-à-vis de certains de leurs fournisseurs et à redistribuer le contrôle et la responsabilité de la gestion du risque de sécurité numérique tout au long de la chaîne de valeur. Sont concernés notamment les fournisseurs d’équipements de communication, ainsi que les prestataires de services infonuagiques et d’infrastructure infogérée, qui sont susceptibles de jouer un rôle de plus en plus important dans la sécurité numérique des réseaux de communication. La chaîne d’approvisionnement de l’infrastructure de communication est souvent complexe, ce qui rend encore plus difficile l’attribution des responsabilités en cas de survenue d’un incident de sécurité numérique.

• Un environnement de menaces de plus en plus préoccupant, alimenté en partie par la banalisation des attaques (de type « rançongiciel-service », par exemple) et le savoir-faire croissant des acteurs malveillants, notamment ceux agissant pour le compte d’États. Dans ce contexte, la motivation des acteurs malveillants à porter atteinte à la disponibilité, à l’intégrité ou à la confidentialité des réseaux de communication augmente considérablement à mesure que la criticité de ces derniers progresse (OCDE, 2023[4]).

Le paradoxe auquel sont confrontés les pouvoirs publics est qu’alors que l’on tend de plus en plus à considérer les réseaux de communication comme des infrastructures critiques, leur sécurité numérique dépend en fin de compte de décisions prises par des tierces parties, à savoir les opérateurs de réseaux et leurs fournisseurs. Les pouvoirs publics ont toutefois un rôle clair à jouer pour encourager l’adoption de pratiques exemplaires en matière de sécurité numérique et pour soutenir l’instauration d’un environnement favorable qui permet aux parties prenantes d’atteindre un niveau optimal de sécurité numérique (OCDE, 2023[4]). Les objectifs stratégiques suivants, qui visent à aider à structurer les interventions des pouvoirs publics afin d’améliorer la sécurité numérique des infrastructures de communication, peuvent y contribuer (OCDE, 2023[4]) :

• Premièrement, adopter une approche stratégique globale en vue de renforcer la sécurité numérique des infrastructures de communication, qui i) prend en compte l’ensemble du cycle de vie des produits et des services dont dépendent les opérateurs, ii) rassemble toutes les parties prenantes concernées et iii) est coordonnée à l’échelle de l’ensemble de l’administration et au niveau international. Il est primordial que les organismes publics soient coordonnés et que leurs responsabilités et leurs mandats respectifs soient clairement définis.

• Deuxièmement, inciter les opérateurs de réseaux à renforcer la sécurité numérique et à adopter des cadres exhaustifs de gestion du risque (couvrant à la fois l’évaluation et la gestion du risque) et les encourager à étudier des approches de sécurité plus avancées, telles que le modèle « zéro confiance ».

• Troisièmement, traiter le risque de sécurité numérique de la chaîne d’approvisionnement en incitant les fournisseurs à améliorer la transparence de la chaîne d’approvisionnement (notamment par une meilleure traçabilité des composants et une certification de la sécurité numérique) et en soutenant sa diversification.

Pour compléter ces objectifs stratégiques, les pouvoirs publics peuvent prendre différentes mesures afin de relever les défis transversaux et respecter leurs objectifs. Cela peut aller d’approches modérées à des approches plus interventionnistes : orientations et cadres non contraignants, initiatives multipartites et financement de la recherche, évaluation et certification par des tierces parties, marchés publics et obligations juridiques (OCDE, 2023[4]). Ces mesures peuvent être adaptées en fonction des besoins de sorte à affronter efficacement les défis transversaux en termes de portée, d’ampleur et de rapidité des cyberattaques. Les pays de l’OCDE ont lancé des programmes intégrant ces mesures, qui vont de cadres non contraignants à des obligations juridiques en matière de sécurité numérique. Toutefois, la sécurité numérique est un objectif en constante évolution qui nécessite une réévaluation permanente, tant au niveau des pratiques exemplaires que les acteurs privés peuvent mettre en œuvre qu’au niveau de la structure et de l’objectif de l’action publique afin de créer un environnement propice à l’adoption des pratiques exemplaires par les acteurs privés (OCDE, 2023[4]).

Ce chapitre s’est intéressé à la façon dont l’OCDE aborde la sécurité numérique d’un point de vue économique et social. Il a décrit les principales différences entre la sécurité numérique et les autres dimensions de la cybersécurité et présenté la gestion du risque de sécurité numérique. Après un bref aperçu des domaines de l’action publique liés à la sécurité numérique, on y a détaillé l’approche adoptée par l’OCDE en vue de renforcer la sécurité numérique des activités critiques, un domaine à la croisée de l’élaboration des politiques économique et de sécurité nationale, en mettant notamment l’accent sur la sécurité des infrastructures de communication.

Comme le montre ce chapitre, l’OCDE dispose d’une série d’outils destinés à aider les pouvoirs publics à promouvoir la sécurité numérique. Le Cadre d’action sur la sécurité numérique : La cybersécurité pour la prospérité présente l’approche de l’OCDE dans ce domaine, telle qu’elle transparaît dans sept Recommandations adoptées par le Conseil pour guider les pouvoirs publics dans leurs efforts visant à renforcer la résilience numérique et à établir des bases de confiance solides pour notre avenir numérique. Le Cadre couvre les Recommandations sur :

• la gestion du risque de sécurité numérique (OCDE, 2022[6])

• les stratégies nationales de sécurité numérique (OCDE, 2022[11])

• la sécurité numérique des activités critiques (OCDE, 2019[2])

• la sécurité numérique des produits et des services (OCDE, 2022[14])

• la gestion des vulnérabilités de sécurité numérique (OCDE, 2022[18])

• la politique de cryptographie (OCDE, 2007[20])

• l’authentification électronique (OCDE, 1997[19]).

Outre les Recommandations et les documents d’orientation, l’OCDE a analysé d’autres aspects de la sécurité numérique, tels que la sécurité du système de noms de domaine (DNS) (OCDE, 2022[33]) et la sécurité du routage (OCDE, 2022[34]). Le Forum mondial de l’OCDE sur la sécurité numérique pour la prospérité offre également un cadre multilatéral de portée internationale au sein duquel toutes les communautés d’experts peuvent dialoguer, partager leurs expériences et influer sur l’élaboration des politiques publiques en matière de sécurité numérique. Il organise chaque année des événements thématiques. Les résultats de ces réflexions influencent les débats d’orientation internationaux et peuvent conduire à l’élaboration de travaux d’analyse, de principes et de recommandations sur l’action à mener au niveau international, tant au sein de l’OCDE que dans d’autres enceintes internationales. Le Forum a abordé des questions telles que l’open source et le modèle « zéro confiance » en 2024, l’internet des objets en 2023 et l’innovation en matière de sécurité numérique en 2019 (OCDE, 2024[35]).

Alors que les répercussions de la sécurité numérique sur l’économie et la société s’accentuent et que le rythme du développement technologique s’accélère, l’OCDE continuera à s’intéresser de près à ce domaine essentiel de la sécurité économique et à soutenir les pouvoirs publics et les parties prenantes, notamment en s’attachant à :

• Recenser et analyser les implications, pour l’action des pouvoirs publics, de la sécurité numérique de technologies d’avant-garde telles que l’informatique quantique et l’IA générative. Les technologies de l’information quantique, en particulier, devraient avoir des effets perturbateurs sur la sécurité numérique dans la mesure où elles rendraient moins sûres certaines des méthodes de chiffrement largement utilisées aujourd’hui, mais pourraient dans le même temps stimuler la mise au point de nouvelles défenses plus robustes (OCDE, 2024[36]).

• Soutenir la mise en œuvre du Cadre d’action de l’OCDE sur la sécurité numérique : La cybersécurité pour la prospérité (OCDE, 2023[1]), notamment en examinant et en analysant le rôle des labels et des dispositifs de certification en tant que mesures complémentaires, les vulnérabilités liées aux risques systémiques pour les chaînes d’approvisionnement mondiales que représentent les fournisseurs d’infrastructure infogérée (OCDE, 2024[36]), et les mesures visant à combler le déficit de compétences dans le domaine de la sécurité numérique.

• À la faveur des travaux de l’OCDE sur la mesure de la situation et des performances en matière de cybersécurité dans différents pays (OCDE, 2024[37]), des travaux destinés à évaluer l’incertitude en matière de cybersécurité peuvent compléter les statistiques existantes et aider à anticiper les nouvelles tendances dans ce domaine, à élaborer des programmes de sensibilisation à la cybersécurité plus ciblés, et à promouvoir l’instauration d’un écosystème numérique plus sûr et plus résilient. Les efforts visant à mesurer l’innovation en matière de cybersécurité peuvent également permettre de disposer d’une base factuelle plus solide pour élaborer et mettre en œuvre les politiques de sécurité numérique.

Ces travaux auront pour but de tenir les responsables de l’action publique au fait des nouveaux développements dans le domaine en constante évolution de la sécurité numérique et de renforcer les défenses au service de l’avenir numérique.

[3] Bernat, L. (2021), « Enhancing the digital security of critical activities », OECD Going Digital Toolkit Notes, n° 17, https://goingdigital.oecd.org/data/notes/No17_ToolkitNote_DigitalSecurity.pdf.

[32] CISA (2024), Cyber Storm: Securing Cyber Space, https://www.cisa.gov/cyber-storm-securing-cyber-space.

[22] CISA (2024), National Critical Functions, https://www.cisa.gov/topics/risk-management/national-critical-functions.

[28] Commission européenne (2019), Rapport de la Commission au Parlement européen et au Conseil évaluant la cohérence de l’approche adoptée par les États membres pour identifier les opérateurs de services essentiels, https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52019DC0546&from=FR.

[29] DCMS (2018), NIS Regulations: Guidance for Competent Authorities, https://www.gov.uk/government/publications/nis-regulations-guidance-for-competent-authorities.

[31] ENISA (2024), Cyber Europe, https://www.enisa.europa.eu/topics/training-and-exercises/cyber-exercises/cyber-europe-programme.

[30] Gouvernement du Japon (2024), The Cybersecurity Policy for Critical Infrastructure Protection (4th Edition), https://www.nisc.go.jp/eng/pdf/cip_policy_2024_eng.pdf.

[7] ISO/IEC (2022), ISO 31073:2022(en) - Risk management — Vocabulary, https://www.iso.org/obp/ui/#iso:std:iso:31073:ed-1:v1:en.

[27] Ministère des Finances, Danemark (2018), Danish Cyber and Information Security Strategy, https://en.digst.dk/media/17189/danish_cyber_and_information_security_strategy_pdf.pdf.

[25] NIST (2024), NIST Cybersecurity Framework 2.0, https://www.nist.gov/cyberframework.

[35] OCDE (2024), Forum mondial sur la sécurité numérique pour la prospérité, https://www.oecd.org/fr/networks/global-forum-on-digital-security-for-prosperity.html.

[37] OCDE (2024), New perspectives on measuring cybersecurity, Éditions OCDE, Paris, https://doi.org/10.1787/b1e31997-en.

[36] OCDE (2024), Perspectives de l’économie numérique de l’OCDE 2024 (Volume 2) : Renforcer la connectivité, l’innovation et la confiance, Éditions OCDE, Paris, https://doi.org/10.1787/fe8e1010-fr.

[1] OCDE (2023), Cadre d’action de l’OCDE sur la sécurité numérique : La cybersécurité pour la prospérité, Éditions OCDE, Paris, https://doi.org/10.1787/a0517600-fr.

[4] OCDE (2023), Enhancing the security of communication infrastructure, Éditions OCDE, Paris, https://doi.org/10.1787/bb608fe5-en.

[21] OCDE (2022), Guide de bonnes pratiques sur la coordination de la gestion des vulnérabilités, OCDE, Paris, https://one.oecd.org/document/DSTI/CDEP/SDE(2021)9/FINAL/fr/pdf.

[18] OCDE (2022), Recommandation du Conseil sur la gestion des vulnérabilités de sécurité numérique, https://legalinstruments.oecd.org/fr/instruments/OECD-LEGAL-0482.

[6] OCDE (2022), Recommandation du Conseil sur la gestion du risque de sécurité numérique, https://legalinstruments.oecd.org/fr/instruments/OECD-LEGAL-0479.

[14] OCDE (2022), Recommandation du Conseil sur la sécurité numérique des produits et des services, https://legalinstruments.oecd.org/fr/instruments/OECD-LEGAL-0481.

[11] OCDE (2022), Recommandation du Conseil sur les stratégies nationales de sécurité numérique, https://legalinstruments.oecd.org/fr/instruments/OECD-LEGAL-0480.

[34] OCDE (2022), Routing security: BGP incidents, mitigation techniques and policy actions, Éditions OCDE, Paris, https://doi.org/10.1787/40be69c8-en.

[33] OCDE (2022), Security of the Domain Name System (DNS): An introduction for policy makers, Éditions OCDE, Paris, https://doi.org/10.1787/285d7875-en.

[13] OCDE (2021), « Digital security in SMEs », dans The Digital Transformation of SMEs, Éditions OCDE, Paris, https://doi.org/10.1787/cb2796c7-en.

[16] OCDE (2021), Enhancing the digital security of products: A policy discussion, Éditions OCDE, Paris, https://doi.org/10.1787/cd9f9ebc-en.

[17] OCDE (2021), Smart policies for smart products: A policy maker’s guide to enhancing the digital security of products, https://www.oecd.org/digital/smart-policies-for-smart-products.pdf, https://www.oecd.org/digital/smart-policies-for-smart-products.pdf.

[15] OCDE (2021), Understanding the digital security of products : An in-depth analysis, Éditions OCDE, Paris, https://doi.org/10.1787/abea0b69-en.

[12] OCDE (2020), Encouraging digital security innovation: Global Forum on Digital Security for Prosperity, Éditions OCDE, Paris, https://doi.org/10.1787/e65d02af-en.

[5] OCDE (2020), Going Digital integrated policy framework, Éditions OCDE, Paris, https://doi.org/10.1787/dc930adc-en.

[2] OCDE (2019), Recommandation du Conseil sur la sécurité numérique des activités critiques, https://legalinstruments.oecd.org/fr/instruments/OECD-LEGAL-0456.

[9] OCDE (2018), Guide OCDE sur le devoir de diligence pour une conduite responsable des entreprises, https://mneguidelines.oecd.org/duediligence/OECD-Due-Diligence-Guidance-for-Responsible-Business-Conduct-FR.pdf.

[10] OCDE (2015), Principes de gouvernement d’entreprise du G20 et de l’OCDE, Éditions OCDE, Paris, https://doi.org/10.1787/9789264236905-fr.

[8] OCDE (2011), Les principes directeurs de l’OCDE à l’intention des entreprises multinationales, Éditions OCDE, Paris, https://doi.org/10.1787/9789264115439-fr.

[24] OCDE (2008), Recommandation du Conseil sur la protection des infrastructures d’information critiques, https://legalinstruments.oecd.org/fr/instruments/OECD-LEGAL-0361.

[20] OCDE (2007), Recommandation du Conseil sur l’authentification électronique, https://legalinstruments.oecd.org/fr/instruments/OECD-LEGAL-0353.

[19] OCDE (1997), Recommandation du Conseil relative aux Lignes directrices régissant la politique de cryptographie, https://legalinstruments.oecd.org/fr/instruments/OECD-LEGAL-0289.

[23] Union européenne (2022), Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, http://data.europa.eu/eli/dir/2022/2555/oj.

[26] US Department of Justice (2025), Data security, https://www.justice.gov/nsd/data-security.

Notes