Partager

Sécurité numérique

La sécurité numérique est essentielle pour la confiance à l’ère numérique.

L'OCDE facilite la coopération internationale et élabore des analyses et des recommandations de politiques publiques dans ce domaine depuis le début des années 1990.

Notre travail sur la sécurité numérique vise à élaborer et promouvoir des politiques qui renforcent la confiance sans inhiber le potentiel des technologies de l'information et de la communication (TIC) pour soutenir l'innovation, la compétitivité et la croissance.

Pourquoi «sécurité numérique» plutôt que «cyber-sécurité»?

La sécurité numérique fait référence aux aspects économiques et sociaux de la cybersécurité, par opposition aux aspects purement techniques et à ceux liés à l'application du droit pénal ou à la sécurité nationale et internationale. Le terme «numérique» est cohérent avec des expressions telles que l'économie numérique, la transformation numérique et les technologies numériques. Il constitue une base pour un dialogue international constructif entre les parties prenantes cherchant à renforcer la confiance et à maximiser les opportunités des TIC.

Publications récentes

Travaux en cours

Les travaux en cours de l'OCDE sur la sécurité numérique comprennent trois axes de travail s'appuyant sur les conclusions de l’événement inaugural du Forum mondial sur la sécurité numérique pour la prospérité, qui s'est concentré sur les rôles et les responsabilités des acteurs de la sécurité numérique.

Améliorer la sécurité numérique des produits

Des logiciels «traditionnels» aux services d’infonuagique et à l'Internet des objets (IdO), nos économies et nos sociétés dépendent de plus en plus de «produits intelligents», c'est-à-dire de produits qui contiennent du code informatique et peuvent se connecter les uns aux autres, notamment par Internet.

Ces dernières années, des cyberattaques telles que Mirai, WannaCry, NotPetya et SolarWinds ont montré que l'exploitation des vulnérabilités dans les produits intelligents peut entraîner de lourdes conséquences économiques et sociales. Au-delà des pertes financières et des atteintes à la réputation, ces attaques affectent de plus en plus la sécurité des utilisateurs et peuvent menacer des vies humaines.

Les travaux récents de l'OCDE dans ce domaine révèlent que les facteurs économiques jouent un rôle important dans la relative «insécurité» des produits intelligents.


Comprendre la sécurité numérique des produits: une analyse en profondeur (rapport en anglais)

Ce rapport fournit un cadre analytique basé sur la chaîne de valeur et le cycle de vie des produits intelligents, et l'applique à trois études de cas: ordinateurs et smartphones, appareils grand public de l'Internet des objets (IdO) et services d’infonuagique. L’analyse montre que des chaînes de valeur complexes et opaques conduisent à une mauvaise attribution de la responsabilité pour la gestion des risques de sécurité numérique, tandis que d’importantes asymétries d’information et externalités négatives limitent souvent la capacité des parties prenantes à se comporter de manière optimale.


Les politiques publiques pour améliorer la sécurité numérique des produits (rapport en anglais)

Ce rapport explore comment les décideurs de politiques publiques peuvent résoudre les difficultés qui au plan économique empêchent les produits intelligents d'atteindre un niveau optimal de sécurité numérique. Accroître la transparence et le partage d'informations, promouvoir la coopération (y compris au niveau international) et garantir le devoir de diligence des acteurs de l'offre (par exemple, à travers les principes de sécurité dès la conception, de sécurité par défaut et de fin de vie responsable) représentent à ce titre des axes de travail importants qui pourraient être privilégiés par les décideurs de politiques publiques. De nombreux outils de politiques publiques peuvent être mis à profit pour atteindre ces objectifs, depuis la commande publique, la certification et les partenariats multipartites, jusqu'aux labels, au droit de la responsabilité civile et aux obligations juridiques ex ante.

Ces travaux s'appuient sur la Recommandation de l'OCDE sur la gestion des risques de sécurité numérique pour la prospérité économique et sociale. Les conclusions des deux rapports fournissent une base pour l'élaboration d'une nouvelle Recommandation de l'OCDE dans ce domaine. 

 Note de synthèse : Des politiques intelligentes pour des produits intelligents (en anglais)

Encourager le traitement des vulnérabilités

La plupart des incidents de sécurité numérique sont causés par des acteurs malveillants (par exemple, des cybercriminels ou des groupes soutenus par des États) qui exploitent les vulnérabilités des écosystèmes numériques des organisations.

 

L'OCDE a exploré comment les politiques publiques peuvent contribuer à mieux traiter les vulnérabilités cyber, qui incluent:

 

  • Les vulnérabilités de code informatique, c'est-à-dire les vulnérabilités contenues dans les logiciels et microprogrammes (firmware), notamment les vulnérabilités de «jour zéro» (zero day);
  • Les vulnérabilités des systèmes, c'est-à-dire les mauvaises configurations des systèmes d'information et l’absence d’application des mises à jour de sécurité.

L'analyse de l'OCDE révèle les éléments suivants:

  • Au cours des dernières années, la communauté technique de la cybersécurité a progressé dans l’élaboration de bonnes pratiques pour le traitement des vulnérabilités, telles que la divulgation coordonnée des vulnérabilités (ou CVD pour Coordinated Vulnerability Disclosure), les politiques de divulgation des vulnérabilités et les bug bounties.
  • Des obstacles économiques et sociaux empêchent les parties prenantes d'adopter ces bonnes pratiques, notamment un manque de sensibilisation et de coopération, des incitations limitées du marché, des barrières juridiques, une confiance limitée dans le gouvernement et un manque de ressources et de compétences.
  • Les décideurs de politiques publiques peuvent jouer un rôle décisif. Résoudre les difficultés économiques et sociales identifiées ci-dessus et encourager le traitement des vulnérabilités pourrait réduire considérablement le risque de sécurité numérique pour tous.
  • Les gouvernements doivent se montrer plus proactifs, notamment pour changer la culture liée aux vulnérabilités, donner l'exemple et mettre à jour les cadres juridiques qui ne protègent pas suffisamment les «pirates éthiques» (ethical hackers).

 

Rapports

 Note de synthèse : Encourager le traitement de vulnerabilités


Ces travaux s'appuient sur la Recommandation de l'OCDE sur la gestion des risques de sécurité numérique pour la prospérité économique et sociale. Les conclusions des deux rapports fournissent une base pour l'élaboration d'une nouvelle recommandation de l'OCDE dans ce domaine. 

Réponse responsable

Quelles devraient être les limites de l’action du secteur privé face à une cyber attaque? Devraient-ils, par exemple, être autorisés à contre-attaquer, c'est-à-dire à prendre des mesures visant l'attaquant? Ou devraient-ils uniquement être incités à se protéger plus efficacement?

Bien qu'il semble y avoir une reconnaissance générale que les entreprises ne devraient pas être autorisées à contre-attaquer, certaines mesures de sécurité qui n'entrent pas dans cette catégorie peuvent aller au-delà de la protection stricto sensu (ce que l'on appelle la «zone grise»). Il est important de comprendre ce que pourraient être ces mesures et d'évaluer si elles seraient acceptables ou devraient être interdites, ou peut-être réglementées.

Ces travaux visent à garantir que les entreprises puissent utiliser le plus large éventail de mesures de sécurité pour protéger leurs activités économiques et sociales sans créer de risques pour les autres.

Objectifs

  • Explorer l’opportunité pour les gouvernements d’interdire la contre-attaque des entreprises ou « hack back »
  • Développer une méthodologie pour évaluer l'acceptabilité des mesures de sécurité du point de vue des politiques publiques.
  • Faciliter un dialogue international et multipartite dans ce domaine.

Ces travaux sont soutenus par un groupe consultatif informel multipartite, comprenant des experts des gouvernements, des entreprises, de la société civile, de la communauté technique et du monde universitaire.

Recommandations de l’OCDE sur la sécurité numérique

Ces instruments juridiques établissent des normes internationales dans le domaine des politiques publiques de sécurité numérique.

Recommandation sur la gestion du risque de sécurité numérique pour la prospérité économique et sociale

Cette recommandation appelle les dirigeants et les décideurs de politiques publiques à intégrer systématiquement la gestion du risque de sécurité numérique dans leur prise de décision économique et sociale plutôt que de la traiter uniquement comme une question technique. Elle établit huit principes sur la manière d'aborder la sécurité numérique sans limiter l'utilisation, le caractère dynamique et le degré d’ouverture des technologies numériques, et sans inhiber le potentiel des TIC pour soutenir l'innovation. La Recommandation contient également des conseils sur l'élaboration de stratégies nationales de sécurité numérique pour la prospérité économique et sociale.

Recommandation sur la sécurité numérique des activités critiques

Les activités économiques et sociales critiques telles que la distribution d'énergie et d'eau, les services financiers et la santé sont de plus en plus dépendantes du numérique et font face à un risque croissant de sécurité numérique. Cette Recommandation se concentre sur la manière de les protéger contre l'augmentation du risque de sécurité numérique sans entraver l'innovation ni réduire les bénéfices de la transformation numérique. Il clarifie également la relation qu’entretien ce domaine avec la gestion du risque national et la protection des infrastructures critiques. La Recommandation met à jour et remplace la Recommandation de 2008 sur la protection des infrastructures d'information critiques (CIIP).

Lignes directrices sur la politique de cryptographie

Ces lignes directrices visent à promouvoir l'utilisation de la cryptographie pour renforcer la confiance dans les technologies numériques et la manière dont elles sont utilisées, sans porter atteinte indûment à la sécurité publique, l'application de la loi et la sécurité nationale. Elles visent également à sensibiliser à la nécessité d’assurer la compatibilité internationale des politiques et règlementations sur la cryptographie; à promouvoir la coopération entre les secteurs public et privé dans le développement et la mise en œuvre de politiques nationales et internationales de cryptographie; à faciliter le commerce international; et à promouvoir la coopération internationale entre les gouvernements, les milieux d’affaires et de recherche et les organismes de normalisation afin de parvenir à une utilisation coordonnée des méthodes cryptographiques.

Autres travaux et rapports

Répondre au COVID-19 par les politiques publiques


Mesurer la sécurité numérique (en anglais)

L'OCDE a élaboré plusieurs rapports sur la mesure de la sécurité numérique, y compris un cadre et un ensemble d'indicateurs statistiques pouvant être utilisés pour évaluer les pratiques de gestion du risque de sécurité numérique des entreprises ainsi que des orientations pour améliorer la comparabilité internationale des statistiques issues des équipes d'intervention en cas d'incident de sécurité informatique (CSIRT).


Améliorer la confiance dans l'économie numérique du Brésil (en anglais)

Ce chapitre du rapport Going Digital in Brazil comprend une présentation et une analyse des politiques publiques de sécurité numérique au Brésil, ainsi que des recommandations dans ce domaine.


Digital security policy in Sweden (en anglais)

Un chapitre du rapport OECD Reviews of Digital Transformation: Going Digital in Sweden comprend une présentation et une analyse des politiques publiques de sécurité numérique en Suède. La stratégie nationale de cybersécurité de la Suède pour 2017 vise à mieux intégrer la politique de sécurité numérique dans le programme plus large de transformation numérique et marque un tournant positif vers une approche plus holistique de la sécurité numérique.


Stratégies nationales de cybersecurité (en anglais)

Ce rapport de 2012 analyse les stratégies nationales de cybersécurité dans dix pays et identifie les points communs et les différences.

Le texte intégral de la contribution des parties prenantes non gouvernementales à ces travaux est également disponible.


Malware et botnets (en anglais)


Identité numérique et authentication électronique (en anglais)


Enhancing the digital security of critical activities, Going Digital Toolkit policy note (2021)

Managing digital security and privacy risk, rapport pour la conférence ministérielle de l’OCDE de 2016 sur l’économie numérique


Forum mondial sur la sécurité numérique pour la prospérité

Le Forum mondial de l'OCDE sur la sécurité numérique pour la prospérité organise des événements thématiques internationaux réunissant des décideurs de politiques publiques et des experts issus du secteur privé, de la société civile et de la communauté technique.

Les résultats de ces discussions influencent les débats internationaux sur sécurité numérique et peuvent conduire à l'élaboration de travaux analytiques, de principes et de recommandations de politiques publiques, tant à l'OCDE que dans d'autres enceintes internationales.

Groupe de travail sur la sécurité dans l'économie numérique

Les travaux de l'OCDE sur la sécurité numérique sont menés par le Groupe de travail sur la sécurité dans l'économie numérique (SEN/SDE), qui dépend du Comité de l'OCDE sur les politiques de l'économie numérique (CPEN/CDEP). Le SEN élabore et promeut des politiques publiques basées sur les faits et les preuves, afin de renforcer la sécurité dans l'économie numérique sans inhiber les bénéfices de la transformation numérique. Il met un accent particulier sur la gestion du risque de sécurité numérique pour les activités économiques et sociales, y compris les activités critiques, et sur l'amélioration de la sécurité numérique des produits. Le SEN travaille en coopération étroite avec le Groupe de travail du CPEN sur la gouvernance des données et la vie privée (GDVP) et d’autres organes de l’OCDE.