Il y a plus de 20 ans, l’OCDE fut la première organisation internationale à reconnaître la sécurité comme essentielle pour que l’informatique puisse contribuer pleinement à la prospérité économique et au développement social. Adoptées en 1992, révisées en 2002 pour tenir compte de la généralisation de l’Internet, les Lignes directrices de l’OCDE sur la sécurité des systèmes d’information et des réseaux fournissent un ensemble de principes généraux pour aborder les questions de sécurité avec l’objectif de soutenir l’innovation et la croissance. Elles sont aujourd’hui soumises à un nouvel examen en vue d’une possible révision(*). Une initiative d’autant plus nécessaire que l’analyse de l’émergence d’une nouvelle génération de stratégies nationales de cybersécurité dans dix pays de l’OCDE, publiée début décembre(**), révèle un changement très net d’orientation des politiques publiques dans ce domaine.
La cybersécurité bénéficie désormais de la part des gouvernements d’une approche stratégique globale intégrant toutes les dimensions du problème : économique, sociale, juridique, criminelle et policière, éducative, technique mais aussi diplomatique et militaires, sans oublier les aspects liés au renseignement. Une approche « holistique » qui soulève cependant des difficultés de mise en œuvre auxquels les gouvernements répondent en se dotant de divers plans d’action et surtout d’outils de coordination, telle l’ANSSI en France, et dont les caractéristiques varie considérablement en fonction des pays. Que pensent les entreprises de cette situation ? Quelles sont les meilleures pratiques pour le développement de politiques de cybersécurité dans l’entreprise ? Comment concilier la sécurité avec l’ouverture des réseaux et des systèmes ? Quels principes devraient gouverner la distribution de responsabilités ? Comment mieux intégrer la cybersécurité à la stratégie de l’entreprise ? Plus largement, quels sont les besoins des entreprises en matière de politiques publiques nationales de cybersécurité ? Qu’attendent les entreprises de l’Etat et quelles sont leurs craintes en ce domaine ? Autant de questions auxquelles un groupe d’experts sera invité à répondre directement en produisant des suggestions pour la mise à jour des Lignes directrices. Pour plus d’information sur la consultation et le groupe d’experts et les travaux de l’OCDE, contacter laurent.bernat@oecd.org.
(*) Cybersecurity Policy Making at a Turning Point, 2012.http://oe.cd/cybersecurity-strategies
(**) Review of the Security Guidelines, 2012, http://oe.cd/security-guidelines-review
