Les 9 principes

Principe 1

Principe 1

Protéger les individus et les infrastructures

Empêcher les cyberactivités malveillantes qui menacent des individus et des infrastructures critiques ou qui leur causent des dommages importants, sans discernement ou systémiques, et y remédier.

Services d’intervention d’urgence : l’Association européenne du numéro d’appel d’urgence propose des recommandations en matière de cybersécurité pour assurer la sécurité des citoyens

Les cyberattaques perpétrées récemment dans le monde entier, notamment contre des hôpitaux, nous rappellent qu’il est nécessaire d’être mieux préparés à ces événements. Les organisations de sécurité publique ne sont pas épargnées par ces risques informatiques, qui évoluent constamment. Lorsque des centres d’appel d’urgence sont touchés par des cyberattaques, la perturbation des premiers secours qui en résulte peut provoquer des décès.

L’Association européenne du numéro d’appel d’urgence estime qu’il est indispensable, pour la sécurité des citoyens, de faire en sorte que les services de sécurité publique ne subissent aucune interruption. Les services d’intervention d’urgence doivent mettre en œuvre des garanties adaptées et efficaces pour protéger les infrastructures critiques et les informations sensibles.

Après les attaques du logiciel rançonneur WannaCry en 2017, l’Association européenne du numéro d’appel d’urgence a mis en place un groupe de travail sur la cybersécurité, pour échanger des bonnes pratiques et élaborer un ensemble de recommandations concrètes spécifiques pour les organisations d’intervention d’urgence. Ce groupe de travail a consacré un séminaire en ligne à ces questions et a publié des recommandations en matière de cybersécurité. Depuis plusieurs années, la conférence annuelle de l’Association européenne du numéro d’appel d’urgence met en lumière l’importance de ces enjeux, que le séminaire 2018 des membres de l’Association a également soulignée.

Ces recommandations portent notamment sur la nécessité de prendre en compte la cybersécurité dans l’évaluation générale des risques, de former les employés, de mettre en œuvre des solutions technologiques et de réaliser des tests de vulnérabilité et des exercices de réaction aux incidents informatiques.

Association européenne du numéro d’appel d’urgence – European Emergency Number Association (EENA)

Principe 2

Principe 2

Protéger l’internet

Empêcher les activités qui portent atteinte intentionnellement et dans une large mesure à la disponibilité ou à l’intégrité du cœur public de l’internet.

Protection du système de noms de domaines (DNS) : l’entreprise française Nameshield garantit identité et résilience

La protection de la disponibilité et de l’intégrité du cœur public de l’internet exige une étroite coopération entre différents types d’acteurs, notamment la Société pour l’attribution des noms de domaines et des numéros sur Internet (ICANN), organisation à but non lucratif, et des entreprises privées comme Nameshield. Cette entreprise française indépendante garantit la protection de l’identité et la résilience de l’internet grâce à ses propres infrastructures DNS résilientes et basées sur la diffusion.

Le système de noms de domaines est une sorte d’annuaire de l’internet, dont il est un pilier fondamental. Ce dispositif traduit un nom de domaine en une adresse de protocole internet, à partir d’une base de données répartie sur des milliers d’ordinateurs. En cas de défaillance du système de noms de domaines provoquée par une altération des données ou par une attaque par déni de service, les sites internet et les messageries électroniques ne sont plus accessibles. Il est donc indispensable de garantir la protection et la disponibilité du système de noms de domaines.

Pour traiter les vulnérabilités de ce système, un nouveau protocole, appelé extensions de sécurité du système des noms de domaine (DNSSEC), a été élaboré avec le soutien de l’ICANN. D’autres solutions, comme le verrouillage de registre ou les certificats SSL (Secure Socket Layer) peuvent aussi permettre de garantir la résilience de l’identité. En protégeant les données sur des cartes d’identité de noms de domaines et en offrant un service de haute disponibilité, Nameshield contribue au deuxième principe de l’Accord de Paris et protège le cœur public de l’internet.

Nameshield

Principe 3

Principe 3

Défendre les processus électoraux

Développer notre capacité de prévenir les interférences de la part d’acteurs étrangers destinées à déstabiliser des processus électoraux au moyen de cyberactivités malveillantes.

Intégrité des élections démocratiques: la Transatlantic Commission on Election Integrity (TCEI) promeut des solutions pour garantir les processus électoraux

Les interférences dans les élections font peser une lourde menace sur le droit universel des personnes à prendre part à des processus démocratiques. Les gouvernements démocratiques et les entreprises du secteur des technologies du monde entier s’efforcent pourtant de résoudre les problèmes soulevés par les tactiques et technologies d’ingérence les plus récentes. Il s’agit d’un phénomène d’ampleur mondiale et des cas d’interférence dans les élections ont été observés au Mexique, en Macédoine du Nord, en Ukraine, au Kenya, à Taïwan ou encore en Turquie.

Cependant, les attaques et la manipulation coordonnée ne sont plus seulement le fait de puissances étrangères malveillantes : de plus en plus, les stratégies de désinformation internationale sont utilisées par des acteurs nationaux cherchant à diviser et à polariser les sociétés, tant dans des contextes autoritaires que démocratiques.

La TCEI rassemble d’éminentes personnalités engagées, issues d’horizons variés mais partageant un même objectif : faire en sorte que les citoyens choisissent leurs représentants librement, en se fondant sur une information indépendante. Cette commission, transatlantique et bipartisane par essence, souhaite échanger les bonnes pratiques entre décideurs et institutions du monde démocratique, sensibiliser la population aux risques d’interférence, tout en mettant en œuvre sur le terrain de nouveaux modèles et de nouvelles technologies, afin de donner les moyens à la société civile et aux pouvoirs publics de défendre la démocratie. Il s’agit d’une initiative de la fondation Alliance of Democracies, créée par Anders Fogh Rasmussen en 2017.

Transatlantic Commission on Election Integrity (TCEI)

Lutte contre l’ingérence électorale : Microsoft et l’Alliance for Securing Democracy s’associent pour prévenir les interférences malignes d’acteurs étrangers

Microsoft et l’Alliance for Securing Democracy mettent en place une communauté sur la lutte contre les interférences électorales, qui rassemblera des soutiens gouvernementaux, privés et issus de la société civile dans le but de renforcer la capacité à prévenir les interférences malignes d’acteurs étrangers dans les processus électoraux.

Microsoft et l’Alliance for Securing Democracy estiment que les défis croissants qu’entraînent les cybermenaces pour les processus électoraux s’inscivent dans le cadre d’une menace plus large et protéiforme pour les institutions démocratiques. Les deux organisations, de concert avec un partenaire gouvernemental, ont donc choisi de formaliser leur collaboration en s’associant au sein d’une communauté dédiée à ces sujets.

Ensemble, les deux organisations s’efforceront de sensibiliser l’opinion mondiale à la menace que les cyberattaques font peser sur les élections et les institutions démocratiques et de réunir les principales parties prenantes pour faire avancer la réflexion autour de la définition des ingérences étrangères dans les élections, suivre les outils et tactiques utilisés pour saper les institutions et processus démocratiques, et élaborer les meilleures pratiques et réponses politiques pour assurer la tenue des élections et autres processus démocratiques en fonction des menaces informatiques. Les organisations aideront également les partenaires partageant les mêmes idées à renforcer leurs capacités en élaborant des mécanismes pour faciliter l’échange d’information sur les nouvelles tendances, en encourageant la collaboration au sein de l’industrie pour soutenir les petites organisations qui manquent de ressources pour développer leurs propres capacités et en menant des exercices de simulation de menaces visant à produire des solutions réalisables.

Microsoft et The Alliance for Securing Democracy

Principe 4

Principe 4

Défendre la propriété intellectuelle

Empêcher le vol de propriété intellectuelle à l’aide des technologies de l’information et de communication, notamment des secrets industriels ou autres informations commerciales confidentielles, dans l’intention de procurer des avantages concurrentiels à des entreprises ou à un secteur commercial.

Protéger les logiciels s’appuyant sur les licences libres : la Linux Foundation accompagne les communautés qui partagent leur savoir

Dans un monde dont la dynamique s’appuie sur le partage du savoir, le modèle du logiciel libre et l’application des licences libres prennent une importance grandissante. Les logiciels libres sont dotés d’outils juridiques, tels le copyleft, permettant de cadrer l’implication sur une base coopérative et d’une logique don/contre-don, de produire des logiciels performants et d’empêcher l’appropriation privée des codes ou le vol de propriété intellectuelle, puisque ce qui est partagé volontairement ne peut être réapproprié.

Le modèle du logiciel libre empêche ainsi le vol dans l’intention de procurer des avantages concurrentiels puisqu’il offre un mode de conciliation entre intérêt privé et efficience collective : il n’est pas question d’abandonner la paternité intellectuelle, mais d’autoriser la réutilisation afin que quiconque puisse utiliser et améliorer le logiciel libre créé sous la seule condition que toute nouvelle version puisse, elle aussi, circuler librement. La propriété intellectuelle ainsi mise en partage se diffuse dans le tissu industriel plus rapidement et bénéficie d’effets de réseau, ce qui permet de pousser à la création de standards évolutifs autour du logiciel et de ses promoteurs.

Soutenue aujourd’hui par plus de mille entreprises partenaires dans le monde, la Linux Foundation offre un soutien majeur aux communautés open source par le biais de ressources financières et intellectuelles, d’infrastructures, de services, d’événements et de formations. Ensemble, ses projets constituent un des investissement les plus ambitieux et les plus réussis dans la création d’une technologie partagée : la valeur collective du code dans les projets de la Linux Foundation est estimée à environ 16 milliards de dollars US.

How the Linux Foundation Assists

Vers un équilibre entre protection et accès face aux nouvelles menaces numériques : le Centre indien pour internet et la société participe aux négociations internationales sur la propriété intellectuelle

La gestion de la propriété intellectuelle dans le cyberespace pose de nombreux défis. Il est nécessaire que les entreprises et les auteurs protègent la propriété intellectuelle dans le monde numérique, qui favorise l’innovation, la différenciation et les revenus. Les droits d’auteur, les brevets et les marques de commerce constituent une partie importante du paysage numérique.

Au fur et à mesure que des pratiques et logiciels malveillants se développent, les entreprises et les individus peuvent être confrontés à de nouvelles difficultés occasionnées par le vol de propriété intellecutelle ou le piratage. Dans le même temps, l’accès à l’information joue un rôle important en termes d’éducation et d’innovation. Les évolutions de l’infrastructure informationnelle et les nouvelles menaces qui en découlent peuvent perturber l’équilibre entre protection et accès.

En Inde, le Centre pour Internet et la société défend la position selon laquelle cet équilibre doit être réétalonné dans le cyberespace. Le Centre a ainsi participé à des négociations aux niveaux régional et international dans le cadre de l’Accord de partenariat économique global régional (RCEP) et du Comité permanent du droit d’auteur et des droits connexes de l’Organisation mondiale de la propriété intellectuelle (OMPI-SCCR). En outre, le Centre mène ses propres recherches empiriques sur la propriété intellectuelle et les TIC.

Centre indien pour Internet et la société – Centre for Internet & Society India

Principe 5

Principe 5

Non-prolifération

Élaborer des moyens d’empêcher la prolifération de logiciels malveillants et de pratiques informatiques destinés à nuire.

Combattre la prolifération des logiciels malveillants à la racine : YesWeHack organise des programmes de Bug Bounty pour révéler et corriger les vulnérabilités avant que des outils malveillants ne s’en saisissent

Les programmes de Bug Bounty récompensent les personnes qui signalent des failles de sécurité. Les participants qui découvrent des insuffisances dans un équipement matériel ou dans un logiciel en font part à l’entité organisatrice du programme (« le fournisseur ») afin que des mesures correctives puissent être prises.

En faisant le lien entre les découvreurs de vulnérabilités et les fournisseurs, les programmes de Bug Bounty permettent la structuration d’un processus de divulgation coordonnée de la vulnérabilité (CVE). Ils empêchent les acteurs étatiques et non-étatiques d’accumuler des vulnérabilités et limitent le développement de marchés noirs axés sur la vulnérabilité. En conséquence, ils freinent la prolifération de pratiques et d’outils TIC malveillants qui prospèrent sur ces vulnérabilités.

YesWeHack, leader européen du Bug Bounty, promeut la divulgation proactive des vulnérabilités en organisant des programmes publics et privés de Bug Bounty. L’entreprise offre également de tels programmes aux ONG et aux associations civic tech pour améliorer la sécurité de leurs infrastructures. En mobilisant une communauté de hackers « chapeaux blancs » et en contribuant à une approche harmonieuse des CVE, YesWeHack limite les points d’entrée disponibles pour les outils informatiques malveillants.

YesWeHack

Principe 6

Principe 6

Sécurité de tout le cycle de vie

Accroître la sécurité des processus, produits et services numériques tout au long de leur cycle de vie et d’un bout à l’autre de la chaîne d’approvisionnement.

Intégrité des chaînes d’approvisionnement : la Fondation Carnegie propose aux pouvoirs publics et aux entreprises des recommandations dans le domaine des technologies de l’information et des technologies opérationnelles

La Fondation Carnegie pour la paix internationale a publié un rapport sur l’intégrité de la chaîne d’approvisionnement des technologies de l’information et de la communication (TIC), rédigé par Ariel E. Levite. Ce rapport appelle à agir de manière urgente pour mettre un terme aux évolutions en cours qui nuisent à la confiance dans les produits et services numériques et fragmentent la chaîne d’approvisionnement mondiale des TIC.

Accroître la sécurité des produits et services numériques d’un bout à l’autre de la chaîne d’approvisionnement est un principe fondamental de l’Appel de Paris. Des acteurs malveillants peuvent mettre en danger les pouvoirs publics, les entreprises et les citoyens en attaquant le maillon faible de la chaîne, ce qui peut avoir des conséquences néfastes en matière de géopolitique, d’espionnage, d’échanges commerciaux et de protection des consommateurs. Des efforts de coopération sont nécessaires pour rétablir la confiance dans l’intégrité des chaînes d’approvisionnement.

Le rapport souligne notamment l’importance pour les pouvoirs publics et les entreprises de prendre des mesures complémentaires pour renforcer l’intégrité de la chaîne d’approvisionnement dans le domaine des TIC et des technologies opérationnelles. Il précise les obligations concrètes que les pouvoirs publics et les entreprises doivent accepter à cet égard. Le rapport définit également un ensemble de critères objectifs pour identifier les fournisseurs de confiance et propose des mécanismes pour vérifier le respect de ces critères de confiance, ainsi qu’une structure incitative pour récompenser ceux qui assument et respectent leurs engagements.

Le rapport de la Fondation Carnegie pour la paix internationale – Carnegie Endowment for International Peace

Charter of Trust : les entreprises membres renforcent la cybersécurité de leurs produits et services tout au long de la chaîne d’approvisionnement

Le monde numérique est en train de tout changer en matière de sécurité. Aujourd’hui, des milliards d’appareils sont connectés via l’Internet des objets. Bien que cela crée de grandes opportunités, cela comporte aussi de grands risques. Pour rendre le monde numérique plus sûr, plusieurs partenaires industriels se sont associés dans le cadre de l’initiative Charter of Trust.

Charter of Trust est une initiative unique en son genre qui rassemble aujourd’hui 16 grandes entreprises mondiales, dont la coopération a permis de franchir des étapes importantes en matière de cybersécurité et d’établir des objectifs ambitieux pour l’avenir. Charter of Trust appelle à l’adoption de règles et de normes contraignantes pour renforcer la confiance dans la cybersécurité et faire progresser la numérisation.

Après deux ans de travail, les membres ont réalisé beaucoup de choses, notamment en ce qui concerne la sécurité des processus, des produits et des services numériques. Au sein de leurs entreprises, ils ont réussi à renforcer la cybersécurité tout au long de la chaîne d’approvisionnement et ont fait de la « sécurité par défaut » une caractéristique incontournable de leurs produits. Charter of Trust fournit à ses membres une vision harmonisée de la sécurité tout au long de la chaîne d’approvisionnement numérique et a défini 12 exigences minimales concernant la cybersécurité des chaînes d’approvisionnement.

Les membres de Charter of Trust se sont engagés à renforcer leurs capacités sur cette question importante, ainsi que sur les autres principes énoncés dans l’Appel de Paris. Ils s’engagent non seulement à offrir une formation avancée à leur main-d’œuvre, mais aussi au secteur privé et à la société en général, et à continuer d’ancrer fermement le sujet de la cybersécurité au plus haut niveau politique, local et mondial.

Charter of Trust

Principe 7

Principe 7

Hygiène informatique

Soutenir les actions visant à développer une hygiène informatique avancée pour tous les acteurs.

Seguros en la red : l’Association équatorienne pour la cybersécurité encourage l’hygiène informatique auprès des enfants en Équateur

Les enfants et les adolescents étudient, jouent et dialoguent en ligne des heures durant. Mais le cyberespace, comme tout nouvel univers que l’on découvre, présente de nombreux risques dont les enfants et les adolescents doivent être conscients.

L’Association équatorienne pour la cybersécurité (Asociación Ecuatoriana de Ciberseguridad – AECI) a lancé le projet Seguros en la Red (« En sécurité sur le net ») pour enseigner aux enfants l’utilisation responsable des TIC et les risques associés. Elle a créé des personnages amusants, qui permettent de doter les filles et les garçons d’un niveau minimal de connaissances afin de favoriser, promouvoir et renforcer une culture de la sécurité numérique. Ces personnages imaginaires, appelés « Cyber » et « Alerte », font découvrir aux enfants le cyberespace, ses ressources et ses possibilités, mais également les dangers qu’il présente.

La sensibilisation, la culture et la prévention sont les trois piliers sur lesquels l’AECI souhaite créer un écosystème de programmes de sécurité numérique, en coordination avec les établissements d’enseignement et les organisations publiques et privées.

Association équatorienne pour la cybersécurité – Asociación Ecuatoriana de Ciberseguridad (AECI)

Principe 8

Principe 8

Pas de cyber-riposte privée

Prendre des mesures pour empêcher les acteurs non étatiques, y compris le secteur privé, de mener des actions cyber offensives en réponse à une attaque dont ils seraient victimes, pour leur propre compte ou pour celui d’autres acteurs non étatiques.

Hack-back, défense active et contre-mesures : le Tech Accord lance une conversation sur des définitions et bonnes pratiques

Alors que la fréquence et la gravité des cybermenaces mondiales augmentent, les organisations investissent dans de nouvelles techniques innovantes pour se protéger. Cependant, toutes les mesures développées ne sont pas purement défensives : on parle de plus en plus de techniques de « défense active » plus intrusives – l’exemple le plus important étant le hack-back.

Les signataires du Tech Accord ont fermement soutenu la décision d’inclure le Principe 8 dans l’Appel de Paris, qui envisage des mesures pour empêcher les acteurs non étatiques de mener des actions cyber offensives en réponse à une attaque. Toutefois, il s’agit là d’un domaine ambigu, et les signataires souhaitent approfondir la question pour établir des limites claires en matière d’intention, d’autorité et d’intrusion afin que les gouvernements et les acteurs privés puissent mettre en oeuvre ce principe.

Il est particulièrement important de s’assurer que l’interdiction ne s’applique pas aux techniques positives de cybersécurité, comme les tests d’intrusion. À cette fin, les signataires de l’Accord Tech s’engagent à travailler ensemble pour soutenir la mise en œuvre effective du principe de l’Appel de Paris sur le hack-back, notamment en mettant en évidence les définitions potentielles et les meilleures pratiques.

Les discussions débuteront lors d’une réunion au Forum sur la gouvernance de l’Internet à Berlin, où les signataires de l’Accord espèrent recueillir les points de vue de l’industrie mais aussi de la société civile sur ce sujet crucial. Les organisations qui souhaitent prendre part à cet effort peuvent envoyer un courriel à info@cybertechaccord.org.

Tech Accord

Principe 9

Principe 9

Normes internationales

Favoriser une large acceptation et la mise en œuvre de normes internationales de comportement responsable ainsi que de mesures de développement de la confiance dans le cyberespace.

Instaurer un point de contact dans chaque État pour échanger des informations sur les incidents liés aux TIC : la France met en œuvre des mesures de développement de la confiance au sein de l’OSCE

L’Organisation pour la sécurité et la coopération en Europe (OSCE) lutte contre divers types de cybermenaces, notamment la cybercriminalité et l’utilisation de l’internet à des fins terroristes. L’élaboration de mesures de développement de la confiance entre les États participants est un élément essentiel pour réduire les risques de conflit. Seize mesures de développement de la confiance ont ainsi été adoptées. Elles ont pour objectif de renforcer la coopération entre États, la transparence et la prévisibilité, afin de réduire les risques d’erreur d’interprétation et d’escalade.

L’une de ces mesures oblige les États participants à nommer un point de contact pour faciliter les communications et le dialogue sur les incidents liés aux TIC, ainsi que pour coordonner les réactions. La France est l’un des pays responsables de la mise en œuvre de cette mesure, notamment grâce à des contrôles et des exercices de communication. Les échanges d’informations et la communication entre États peuvent empêcher un conflit non souhaité, en apaisant les possibles tensions et en interrompant ou en freinant l’engrenage de l’escalade.

Les organisations régionales comme l’OSCE sont des enceintes privilégiées pour renforcer la confiance dans le cyberespace, parce qu’elles ont souvent été conçues pour la prévention des conflits et disposent d’une expérience concrète des mesures de développement de la confiance. Jusqu’à présent, le secrétariat de l’OSCE a lancé avec succès des exercices de « comcheck », ce qui souligne l’utilité de telles mesures pour renforcer la stabilité dans le cyberespace par un dialogue permanent entre les États.

OSCE – Cybersécurité/sécurité des TIC

Empêcher la matérialisation ultime du risque cyber : la Nuclear Threat Initiative réunit les équipes techniques du nucléaire pour qu’elles s’outillent elles-mêmes

Les systèmes nucléaires, qu’ils soient civils ou militaires, comprennent des composants numériques. Le risque de leur compromission est dès lors présent. Une cyberattaque réussie contre des armes nucléaires ou des systèmes connexes pourrait avoir des conséquences catastrophiques. Parmi les scénarios étudiés par la Nuclear Threat Initiative, ceux selon lesquels une cyberattaque conduirait à un lancement nucléaire à la suite de fausses alertes ou d’erreurs de calcul, accroître le risque d’utilisation non autorisée d’une arme nucléaire et miner la confiance dans la dissuasion nucléaire, ce qui compromettrait la stabilité stratégique.

L’ONG Nuclear Threat Initiative chercher à élaborer des lignes directrices pour la cybersécurité dans les installations nucléaires, en réunissant la communauté technique mondiale du cybernucléaire au sein du Cyber Nuclear Forum, afin de faciliter l’échange d’informations et favoriser un réseau relationnel sur lequel les exploitants nucléaires peuvent s’appuyer pour obtenir conseils et assistance.

Elle soutient également des études visant à formuler des recommandations sur les pratiques de cybersécurité dans les installations nucléaires. Par exemple à travers un comparatif des approches et règlementations nationales pour protéger les installations nucléaires contre les cyberattaques dans cinq pays dotés d’armes nucléaires. Mais aussi avec une approche prospective de la protection des installations nucléaires contre les cyberattaques susceptibles de conduire au vol de matières nucléaires utilisables à des fins militaires ou à un acte de sabotage radiologique.

CyberNuclearForum — Nuclear Threat Initiative

États, collectivités locales, entreprises, organisations de la société civile : rejoignez-nous !

Soutenir l’appel