Sujets

Instaurer une culture de la sécurité
Une base solide :
Sécurisation des comptes et des appareils
Communiquer et stocker des données en toute sécurité
Rester en sécurité sur Internet
Protéger la sécurité physique
Que faire lorsque les choses tournent mal

Communiquer et stocker des données en toute sécurité

Parlements numériques (e-Parlement)

En tant que parlement, il est important d’accorder une attention particulière aux politiques de communication et de sécurité opérationnelle de vos fonctions les plus essentielles, y compris celles qui se déroulent en ligne et dans l’espace numérique. Que votre parlement envisage de se doter d’un système complet de « e-Parliament » capable de tout numériser, de la rédaction des projets de loi au débat et au vote électronique (comme Nextsense, Propylon ou Granicus, pour ne citer que quelques exemples), ou que vous utilisiez des outils plus simples et moins coûteux pour faciliter vos opérations parlementaires, il est essentiel d’examiner comment tout le ou les outils et processus tiennent compte de la sécurité, de l’intégrité et de la disponibilité de l’information.

Sécurité et parlements numériques

Comme l’a montré une série d’incidents en Afrique du Sud, la transition des opérations parlementaires vers le monde numérique nécessite de prêter attention à la cybersécurité afin d’éviter non seulement la perte ou le vol de données sensibles, mais aussi l’embarras, l’insulte et le préjudice potentiels pour les membres et le personnel. En mai 2020, des images pornographiques sont apparues quelques minutes avant le début d’une réunion virtuelle de l’Assemblée nationale du pays. Après l’affichage des images offensantes, le « hacker » ou « zoom bomber » a proféré des insultes sexistes et raciales à l’encontre du président de l’assemblée qui animait la session, forçant l’ajournement de la réunion. Un incident similaire s’était produit un mois auparavant, lorsqu’une réunion présidée par le ministre des femmes, de la jeunesse et des personnes handicapées avait été perturbée par des images pornographiques.

Sessions plénières et réunions de commissions à distance

Les sessions plénières et les réunions des commissions sont au premier rang de ces processus. Ces sessions et les conversations, décisions et votes qui s’y déroulent sont au cœur d’une grande partie du travail de votre parlement et peuvent donc constituer une cible particulière pour les adversaires. Dans un monde moderne touché par une pandémie, ces sessions et réunions se déroulent de manière de plus en plus diversifiée selon le contexte de votre pays, à la fois en personne, entièrement en ligne et de manière « hybride ».

Comme le souligne le récent guide Les parlements face à une pandémie du House Democracy Partnership, la structure typique d’un débat parlementaire est différente d’une conférence-discussion normale ou d’une réunion organisationnelle standard. Les besoins en matière de vote à distance, de soumission de propositions officielles et d’amendements, de débat structuré et même d’interprétation simultanée pour garantir l’inclusion de toutes les circonscriptions nécessitent souvent des fonctions supplémentaires que l’on ne trouve pas dans la plupart des solutions technologiques standard. Par conséquent, lors de l’organisation d’une session virtuelle ou hybride, il est probable que votre parlement doive développer (ou ait déjà développé) un logiciel personnalisé, ou acheter des solutions d’entreprise coûteuses (telles que Webex Legislate de Cisco) conçues spécifiquement pour gérer les sessions parlementaires à distance. Quelle que soit l’option choisie par votre parlement, il est important de réfléchir, comme le souligne le guide Les parlements face à une pandémie, à la manière dont tous les membres et le personnel pourront accéder à un tel système. Il est également essentiel de veiller à ce que ce système soit correctement sécurisé.

Lors de l’élaboration et de la mise en œuvre de solutions techniques pour les sessions parlementaires, il est important de veiller à ce que les principes de base de la sécurité soient en place. Il s’agit notamment de veiller à ce que les données soient sécurisées « au repos » dans le système lui-même, qu’elles soient correctement chiffrées lorsqu’elles sont en transit et que seuls les utilisateurs autorisés soient en mesure d’accéder au système. De nombreuses approches peuvent être adoptées pour garantir cette sécurité, y compris un grand nombre des principes fondamentaux décrits dans le reste du présent manuel. Le chiffrement de bout en bout de tous les systèmes de partage de données et de communication utilisés, les exigences en matière de mot de passe fort et d’authentification à deux facteurs et/ou la restriction de l’adresse IP pour les utilisateurs qui accèdent à ces systèmes (à moins qu’ils ne soient destinés à être ouverts au public), l’exigence de réseaux privés virtuels (qui seront examinés plus loin dans le manuel) et la limitation de l’accès aux seuls dispositifs propres et de confiance sont autant de mesures utiles.

Vote à distance

La nécessité d’une sécurité solide est peut-être particulièrement critique lorsqu’il s’agit de vote à distance. Comme le souligne le guide Les parlements face à une pandémie susmentionné, les députés sont élus au parlement dans le but précis de voter au nom de leurs électeurs. La capacité à faire confiance et à vérifier ces votes est cruciale non seulement pour le fonctionnement de votre parlement, mais aussi pour le système démocratique dans son ensemble. Ces votes sont relativement faciles à vérifier lorsqu’un député vote en personne, mais lorsqu’il participe virtuellement, l’authentification technique devient un défi plus important qui nécessite beaucoup de soin et d’attention. Comme le souligne le témoignage d’un expert présenté au Comité permanent de la procédure et des affaires de la Chambre des communes du Canada, les parlements choisissent généralement l’une des quatre options suivantes pour le vote à distance :

  • Le vote par courrier électronique : les membres reçoivent un formulaire de vote par voie électronique et soumettent leur vote par courrier électronique. Cette option est généralement considérée comme peu sûre, notamment en raison de l’absence de chiffrement de bout en bout, et devrait être évitée.
  • Le vote par Internet : les membres accèdent et votent par l’intermédiaire d’un site web sur un ordinateur ou un téléphone portable. Cette approche nécessite un investissement dans une infrastructure sécurisée, y compris des dispositifs sécurisés avec des contrôles d’authentification forts, comme mentionné ci-dessus.
  • Le vote par application : les membres téléchargent une application pour accéder aux bulletins de vote et les déposer. Semblable au vote par Internet, il utilise une application spécifique qui peut être téléchargée sur un téléphone ou une tablette, au lieu d’être accessible via un navigateur.
  • Le vote par vidéo : les membres votent à l’écran à main levée ou par voix. Pour le vote non anonyme, il peut s’agir de la méthode la moins compliquée techniquement et la moins sophistiquée à mettre en place et à sécuriser. Elle nécessite toutefois des systèmes de chiffrement et d’authentification robustes pour éviter l’usurpation d’identité ou l’interruption des sessions de vote.

Quelle que soit l’option choisie par votre parlement pour le vote à distance - si tant est qu’il utilise le vote à distance - il est important d’aborder les bases de la cybersécurité tout au long du processus de vote. Il faut notamment s’assurer que les appareils utilisés par les députés pour voter sont correctement sécurisés physiquement et exempts de logiciels malveillants, que l’accès à Internet des députés est correctement sécurisé lorsqu’ils votent (et lorsqu’ils mènent d’autres activités parlementaires), et que les députés disposent de connexions Internet stables et sont en mesure de voter lorsqu’ils sont appelés à le faire. Comme le souligne le guide Les parlements face à une pandémie, lors de l’adoption du vote à distance, il est nécessaire de tester le système de manière approfondie avant sa mise en service et de fournir un soutien et une formation aux députés afin de s’assurer qu’ils peuvent utiliser le système de manière efficace. Il est important de se rappeler qu’une partie de la sécurité est la disponibilité. Il est également nécessaire de s’assurer que les femmes parlementaires et le personnel sont en mesure d’utiliser les systèmes en ligne en toute sécurité, y compris le vote à distance, et qu’elles ont accès à la technologie nécessaire pour le faire. Lorsque les femmes, en particulier les femmes élues, se connectent à Internet, elles sont davantage confrontées à l’intimidation et au harcèlement, et ce facteur doit être pris en compte lors du développement et de l’utilisation de technologies telles que le vote à distance, afin de s’assurer que tous les députés sont en mesure de remplir leurs fonctions de manière efficace. En outre, il est essentiel de garantir un accès multilingue à distance adéquat dans les pays où les membres et le personnel parlent plusieurs langues officielles.

Le vote à distance dans le monde réel

les parlementaires votent à distance

Plusieurs parlements ont mis en place des systèmes de vote à distance et, ce faisant, ont pris des mesures considérables pour garantir la sécurité et l’intégrité des votes des membres. L’un des éléments de ce processus, parmi d’autres mentionnés ci-dessus, consiste à garantir une authentification appropriée. Parmi les exemples, on peut citer la Chambre des communes du Royaume-Uni, où les membres utilisent un processus d’authentification unique pour se connecter à leurs comptes parlementaires avant de voter, ce qui nécessite l’utilisation d’un mot de passe sur un appareil spécifique et assigné. En Espagne, les députés se voient attribuer des codes personnels qui doivent être saisis via une application pour smartphone avant qu’un vote puisse être enregistré à distance. Au Chili, les sénateurs qui votent à distance via l’application de vote à distance soigneusement conçue par la chambre doivent être visibles à l’écran pour pouvoir voter.

Sécurité des fournisseurs et des logiciels du parlement numérique

Tout logiciel que vous achetez - qu’il soit utilisé pour le vote à distance ou pour un éventail plus large de besoins parlementaires - devrait provenir d’une source sûre et accréditée, faire l’objet d’un audit de sécurité par des équipes indépendantes et recevoir les certifications appropriées. Il est important de se rappeler que les développeurs de logiciels, ceux que vous engagez pour créer une application ou un outil, ne sont pas toujours eux-mêmes des experts en sécurité. C’est pourquoi il est essentiel de faire appel à des experts en sécurité pour tester l’application afin de déceler d’éventuelles failles de sécurité par le biais d’un audit, afin de réduire le risque de piratage ou de compromission de votre plateforme, outil ou application. Même les meilleurs développeurs de logiciels commettent des erreurs sans une deuxième (ou une troisième) paire d’yeux d’experts qui vérifient leur travail !