À qui s’adresse ce manuel ?
Ce manuel a été rédigé dans un but simple : aider votre parlement à élaborer un programme de cybersécurité compréhensible et réalisable. Alors que le monde avance de plus en plus en ligne, la cybersécurité n’est pas seulement un mot à la mode mais un concept essentiel pour le succès des parlements, et la sécurité de l’information (à la fois en ligne et hors ligne) est un défi qui nécessite concentration, investissement et vigilance.
Votre parlement est susceptible de devenir, si ce n’est déjà le cas, la cible d’une attaque de cybersécurité. Ce constat ne se veut pas alarmiste ; c’est la réalité même pour les parlements qui ne se considèrent pas comme des cibles particulières.
Au cours d’une année moyenne, le Center for Strategic and International Studies, qui tient une liste ouverte de ce qu’il appelle des « cyberincidents significatifs », répertorie des centaines de cyberattaques graves, dont beaucoup visent des dizaines, voire des centaines d’organisations à la fois. En plus de ces attaques signalées, il y a probablement des centaines d’autres attaques plus légères chaque année qui passent inaperçues ou ne sont pas signalées, beaucoup visant des institutions gouvernementales, des organes législatifs et des organisations politiques.
Les cyberattaques de ce type ont des conséquences importantes. Que leur objectif soit de perturber les opérations parlementaires, de nuire à votre réputation ou même de voler des informations pouvant entraîner des dommages psychologiques ou physiques à vos membres ou à votre personnel, ces menaces doivent être prises au sérieux.
La bonne nouvelle est que vous n’avez pas besoin de devenir un codeur ou un technologue pour vous défendre, vous et votre parlement, contre les menaces courantes. Cependant, vous devez être prêt à investir des efforts, de l’énergie et du temps pour élaborer et mettre en œuvre un programme de sécurité parlementaire solide.
Si vous n’avez jamais envisagé de renforcer la cybersécurité au sein de votre parlement, si vous n’avez pas eu le temps de vous y consacrer, ou si vous connaissez quelques notions de base sur le sujet mais pensez que votre parlement pourrait améliorer sa cybersécurité, ce manuel est fait pour vous. Peu importe d’où vous venez, ce manuel vise à donner à votre parlement les informations essentielles dont il a besoin pour mettre en place un programme de sécurité solide - un programme qui va au-delà de la simple mise sur papier et vous permet de mettre les meilleures pratiques en action.
Qui gère la cybersécurité parlementaire ?
Un parlement efficace et sûr nécessite un personnel doté des compétences et de l’autorité nécessaires pour mettre en œuvre les recommandations comprises dans ce manuel. Cela dit, les personnes responsables de la cybersécurité au sein des parlements peuvent varier considérablement et il n’existe pas de modèle « correct » pour déterminer qui devrait gérer la cybersécurité. Dans certains cas, il peut s’agir d’une équipe dédiée à la cybersécurité au sein de votre unité informatique, et dans d’autres, d’un groupe de différents membres du personnel administratif ou autres. Quoi qu’il en soit, gardez à l’esprit que s’il est important d’avoir une bonne équipe en charge de la cybersécurité de votre parlement, il est également de la responsabilité de chacun au sein et autour du parlement de suivre les politiques et procédures nécessaires pour assurer la sécurité du parlement. Vous trouverez ci-dessous quelques exemples de différents modèles de dotation en personnel pour la gestion de la cybersécurité parlementaire :
Chambre des députés des États-Unis
À la Chambre des députés des États-Unis, certains bureaux membres individuels embauchent un administrateur système responsable de la gestion de l’ensemble du matériel informatique et des systèmes logiciels utilisés par le bureau - y compris la gestion des considérations de cybersécurité - et forme les membres du personnel aux meilleures pratiques. Au niveau institutionnel, le directeur général de la Chambre des députés abrite une équipe des ressources informatiques, qui comprend un département dédié à la sécurité de l’information.
Assemblée nationale de Zambie
L’Assemblée nationale de Zambie compte sur son département des technologies de l’information et de la communication (TIC) pour diverses fonctions, notamment la gestion des logiciels, du matériel et de l’infrastructure d’information du parlement, la formation des membres ou du parlement et du personnel sur les systèmes technologiques et la sécurisation de l’infrastructure d’information du parlement. contre les menaces de cybersécurité internes et externes.
Parlement de Malaisie
Le parlement de Malaisie abrite sa division des technologies de l’information sous l’administrateur en chef du parlement, ce qui lui permet de servir les deux chambres du parlement. Cette division comprend un poste spécifique pour la sécurité du réseau, qui lui permet de s’assurer que les systèmes de réseau, les centres de données et l’infrastructure TIC sont à jour et aussi sécurisés que possible.
Qu’est-ce qu’un programme de sécurité et pourquoi mon parlement devrait-il en avoir un ?
Un programme de sécurité regroupe l’ensemble des politiques, procédures et instructions écrites sur lesquelles votre parlement s’est accordée pour atteindre le niveau de sécurité que vous et votre équipe jugez approprié pour assurer la sécurité de votre personnel, de vos partenaires et de vos informations.
Un programme de sécurité parlementaire bien conçu et mis à jour peut à la fois vous protéger et vous rendre plus efficace en vous apportant la tranquillité d’esprit nécessaire afin de vous concentrer sur le travail quotidien important de votre parlement. En l’absence d’un programme complet, il est très facile de ne pas percevoir certains types de menaces, de se focaliser sur un seul risque ou d’ignorer la cybersécurité jusqu’à ce qu’une crise survienne.
Lorsque vous commencez à élaborer un programme de sécurité, vous devez vous poser certaines questions importantes qui forment un processus appelé évaluation des risques. En répondant à ces questions, votre parlement peut appréhender les menaces uniques auxquelles elle est confrontée et prendre du recul afin de réfléchir de manière globale à ce que vous devez protéger et contre qui vous devez le faire. Des évaluateurs formés, aidés par des systèmes comme le cadre d’audit SAFETAG d’Internews, peuvent aider votre parlement à mener à bien un tel processus. Si vous pouvez avoir accès à ce niveau d’expertise professionnelle, cela en vaut la peine, mais même si vous ne pouvez pas vous soumettre à une évaluation complète, vous devriez vous réunir avec vos parties prenantes dans tout le parlement afin de réfléchir à ces questions clés :
Quels sont les actifs dont dispose votre parlement et que voulez-vous protéger ?
Vous pouvez commencer à répondre à ces questions en créant un catalogue de tous les actifs de votre parlement. Les informations telles que les messages, les courriels, les contacts, les documents, les calendriers et les lieux sont autant d’actifs potentiels. Les téléphones, ordinateurs et autres appareils peuvent être des actifs. Les personnes, les relations et les liens peuvent aussi être des actifs. Faites une liste de vos actifs et essayez de les cataloguer en fonction de leur importance pour le parlement, de l’endroit où vous les conservez (peut-être plusieurs endroits numériques ou physiques), et de ce qui empêche les autres d’y accéder, de les endommager ou de les perturber. N’oubliez pas que tout n’a pas la même importance. Si certaines des données de le parlement relèvent du domaine public, ou si vous publiez déjà des informations, il ne s’agit pas de secrets que vous devez protéger.
Qui sont vos adversaires et quelles sont leurs capacités et leurs motivations ?
« Adversaire » est un terme couramment utilisé dans le domaine de la sécurité organisationnelle. En termes simples, les adversaires sont les acteurs (individus ou groupes) qui souhaitent cibler votre parlement, perturber votre travail et accéder à vos informations ou les détruire : les méchants. Les adversaires potentiels peuvent être, par exemple, des escrocs financiers, des gouvernements locaux ou nationaux adversaires, ou des pirates informatiques à motivation idéologique ou politique. Il est important de dresser une liste de vos adversaires et de réfléchir de manière critique à qui pourrait vouloir avoir un impact négatif sur votre parlement et votre personnel. S’il est facile de percevoir des acteurs externes (comme un gouvernement étranger ou un groupe politique particulier) comme des adversaires, il ne faut pas oublier que les adversaires peuvent être des personnes que vous connaissez, comme des employés mécontents, d’anciens membres du personnel, des membres de votre famille ou des partenaires qui ne vous soutiennent pas.
Des adversaires différents représentent des menaces différentes et disposent de ressources et de capacités différentes pour perturber vos opérations et accéder à vos informations ou les détruire. Par exemple, les gouvernements disposent souvent de beaucoup d’argent et de moyens puissants, notamment pour couper l’internet ou utiliser des technologies de surveillance coûteuses ; les réseaux mobiles et les fournisseurs d’accès à l’internet ont probablement accès aux relevés d’appels et aux historiques de navigation ; des pirates informatiques qualifiés sur les réseaux Wi-Fi publics sont capables d’intercepter des communications ou des transactions financières peu sécurisées. Vous pouvez même devenir votre propre adversaire, par exemple en supprimant accidentellement des fichiers importants ou en envoyant des messages privés à la mauvaise personne.
Les motivations des adversaires sont susceptibles de varier, tout comme leurs capacités, leurs intérêts et leurs stratégies. La discréditation de votre parlement est-elle dans leur intérêt ? Peut-être ont-ils l’intention de faire passer votre message sous silence ou de perturber le travail du parlement ? Il est important de comprendre la motivation d’un adversaire, car cela peut aider votre parlement à mieux évaluer les menaces qu’il peut engendrer.
À quelles menaces votre parlement est-il confronté ? Et dans quelle mesure celles-ci peuvent-elles survenir et avoir un impact important ?
Au fur et à mesure que vous identifiez les menaces possibles, vous risquez de vous retrouver avec une longue liste qui peut être déroutante. Vous pouvez avoir l’impression que tout effort serait inutile, ou ne pas savoir par où commencer. Pour aider votre parlement à prendre des mesures productives, il est utile d’analyser chaque menace en fonction de deux facteurs : la probabilité que la menace se concrétise et l’impact si elle se concrétise.
Pour mesurer la probabilité d’une menace (peut-être « faible, moyenne ou élevée », selon qu’un événement donné a peu de chances de se produire, pourrait se produire ou se produit fréquemment), vous pouvez utiliser les informations que vous connaissez sur la capacité et la motivation de vos adversaires, l’analyse des incidents de sécurité passés, les expériences d’autres parlements similaires et, bien sûr, la présence de toute stratégie d’atténuation existante mise en place par votre parlement.
Pour mesurer l’impact d’une menace, réfléchissez à quoi ressemblerait votre environnement si la menace se concrétisait. Posez des questions telles que « Comment la menace nous a-t-elle nui en tant que parlement et en tant que personnes, physiquement et mentalement ? », « Quelle est la durée de l’effet ? », « Est-ce que cela engendre d’autres situations nuisibles ? » et « Comment cela entrave-t-il notre capacité à atteindre nos objectifs maintenant et à l’avenir ? ». En répondant à ces questions, déterminez si la menace a un impact faible, moyen ou élevé.
Pour vous aider à gérer ce processus d’évaluation des risques, envisagez d’utiliser une feuille de travail, comme celle-ci développée par l’Electronic Frontier Foundation. Gardez à l’esprit que les informations que vous développez dans le cadre de ce processus (comme la liste de vos adversaires et les menaces qu’ils représentent) peuvent elles-mêmes être sensibles, il est donc important d’en assurer la sécurité.
Une fois que vous avez classé vos menaces en fonction de leur probabilité et de leur impact, vous pouvez commencer à élaborer un plan d’action plus éclairé. En vous focalisant sur les menaces qui sont les plus susceptibles de se produire ET qui auront des impacts négatifs importants, vous canaliserez vos ressources limitées de la manière la plus efficace possible. Votre objectif est toujours d’atténuer autant que possible les risques, mais personne, pas même le gouvernement ou l’entreprise la mieux dotée en ressources de la planète, ne pourra jamais éliminer totalement les risques. Et ce n’est pas un problème : Vous pouvez faire beaucoup de choses pour vous protéger vous, vos collègues et votre parlement en vous attaquant aux plus grandes menaces.