SlideShare une entreprise Scribd logo
1  sur  38
Télécharger pour lire hors ligne
Taieb DEBBAGH
Mars 2022
Cybersécurité
Directives régionales et Lois nationales
2
Cybersécurité : Le rôle des états
https://youtu.be/itbPfBmJ4Z0
3
Cybersécurité
UIT – CGA : Mesures juridiques
Directives & Lois
Gouvernance
Organisations concernées
Obligations
Sanctions
Annexes
1
2
3
4
5
6
7
4
Cybersécurité
UIT – CGA : Mesures juridiques
Directives & Lois
Gouvernance
Organisations concernées
Obligations
Sanctions
Annexes
1
2
3
4
5
6
7
5
Cybersécurité : Dates clés
Politique nationale
Confiance numérique
et Sécurité des SI
Mai 2008
Oct. 2009
Stratégie
Maroc Numeric 2013
Confiance Numérique
Oct. 2007
Oct. 2010
NCSM
Contribution Maroc
UIT – AG Mexique
Oct. 2011
DGSSI
maCERT
6
Global Cybersecurity Agenda - 2007
MESURES JURIDIQUES
Les objectifs sont les suivants :
Stratégies pour l’élaboration d’un
modèle de législation sur la
cybercriminalité, interopérable et
applicable à l’échelle mondiale
Lancé par UIT en 2007, le Programme mondial de
cybersécurité (GCA) est un cadre de coopération
internationale visant à renforcer la confiance et la sécurité
dans la société de l’information. Le GCA est conçu pour
la coopération et l’efficacité, en encourageant la
collaboration avec et entre tous les partenaires concernés
et en s’appuyant sur les initiatives existantes pour éviter de
dupliquer les efforts.
7
Cybersécurité : Dates clés
8
Global Cybersecurity Index
Légal
Législation sur la cybercriminalité
Réglementation de la cybersécurité
Législation anti-spam (Confinement / limitation)
Mesures techniques
CERT / CIRT / CSIRT
Cadre de mise en œuvre des normes
Organisme de normalisation
Mécanismes et capacités techniques déployés pour lutter contre le spam
Utilisation du cloud à des fins de cybersécurité
Mécanismes de protection en ligne des enfants
Mesures organisationnelles
Stratégie nationale de cybersécurité
Agence responsable
Mesures de cybersécurité
Mesures de renforcement des capacités
Campagnes de sensibilisation du public
Cadre de certification et d'accréditation des professionnels de la cybersécurité
Programmes professionnels ou cursus académiques en cybersécurité
Programmes de R&D en cybersécurité
Mécanismes d'incitation
Mesures de coopération
Accords bilatéraux
Participation à des forums/ associations internationaux
Partenariats public-privé
Partenariats inter-agences / intra-agences
Les meilleures pratiques
9
50
9
ITU - Global Cybersécurité Index – Juin 2021
10
75 100
ITU - Global Cybersécurité Index – Juin 2021
160
11
Cybersécurité
UIT – CGA : Mesures juridiques
Directives & Lois
Gouvernance
Organisations concernées
Obligations
Sanctions
Annexes
1
2
3
4
5
6
7
12
Définitions
Objet Définition
Cybersécurité l’ensemble de mesures, procédures, concepts de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques,
et technologies permettant à un système d’information de résister à des évènements issus du cyberespace, susceptibles de
compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes
que ce système offre ou qu’il rend accessibles ;
Cybercriminalité l’ensemble des actes contrevenant à la législation nationale ou aux traités internationaux ratifiés par le Royaume du Maroc, ayant
pour cible les réseaux ou les systèmes d’information ou les utilisant comme moyens pour commettre un délit ou un crime ;
Infrastructures
d’importance vitale
les installations, les ouvrages et les systèmes qui sont indispensables au maintien des fonctions vitales de la société, de la santé,
de la sûreté, de la sécurité et du bien-être économique ou social, et dont le dommage ou l’indisponibilité ou la destruction aurait un
impact induisant la défaillance de ces fonctions ;
Secteur d’activités
d’importance vitale
l’ensemble des activités exercées par les infrastructures d’importance vitale et concourant à un même objectif. Ces activités ont trait
soit à la production et la distribution de biens ou de services indispensables à la satisfaction des besoins essentiels pour la vie des
populations, ou à l’exercice des prérogatives de l’Etat ou au maintien de ses capacités de sécurité ou au fonctionnement de
l’économie, dès lors que ces activités sont difficilement substituables ou remplaçables, ou qui peuvent présenter un danger grave
pour la population ;
Système d’information
sensible
système d’information traitant des informations ou des données sensibles sur lesquelles une atteinte à la confidentialité, à l’intégrité
ou à la disponibilité porterait préjudice à une entité ou à une infrastructure d’importance vitale ;
Incident de cybersécurité un ou plusieurs événements indésirables ou inattendus liés à la sécurité des systèmes d’information et présentant une forte
probabilité de compromettre les activités d’une entité, d’une infrastructure d’importance vitale ou d’un opérateur ou de menacer la
sécurité de leurs systèmes d’information ;
Crise cybernétique l’état résultant de l’occurrence d’un ou plusieurs événements de cybersécurité pouvant avoir un impact grave sur la vie des
populations, l’exercice de l’autorité de l’Etat, le fonctionnement de l’économie, ou sur le maintien des capacités de sécurité et de
défense du pays ;
13
La Directive sur la sécurité des réseaux et des
systèmes d'information (Directive NIS)
La Directive sur la sécurité des réseaux et des
systèmes d'information (Directive NIS) ((UE)
2016/1148) a pour objectif d'atteindre un niveau
commun élevé de sécurité des réseaux et des
systèmes d’informations dans toute l'Union
Européenne.
Les États membres de l'Union Européenne
avaient jusqu'au 9 mai 2018 pour transposer la
Directive NIS dans leur législation nationale.
UE : Directive NIS
14
UE : Directive NIS
Le champ d'application de la conformité dans la Directive NIS : qui doit être conforme ?
La Directive s'applique à :
Opérateurs de services essentiels (OES - Operators of Essential Services) implantés dans l'Union
Européenne et
Fournisseurs de service numérique (DSP - Digital Service Providers) offrant des services à des
personnes au sein de l'Union Européenne
La Directive ne concerne pas les DSP considérés comme des petites entreprises ou des
microentreprises (entreprises employant moins de 50 personnes dont le chiffre d’affaires annuel ou dont
le bilan total est inférieur à 10 millions d’euros).
15
Un Opérateur de services essentiels (OES) : c'est quoi ?
La Directive NIS a pour ambition de renforcer la cybersécurité dans les secteurs dépendant fortement des
technologies de l'information et de la communication (TIC). Certaines entreprises actives dans des
secteurs stratégiques sont dénommées OES.
La Directive NIS affecte les secteurs suivants : Eau ;Énergie ;Infrastructure numérique ;Infrastructures des
marchés bancaires et financiers ;Santé ; etTransport.
Q’est-ce qu’un fournisseur de service numérique (DSP) ?
La Directive NIS concerne les DSP clés suivants qui procurent normalement leurs services « contre
rémunération, à distance par voie électronique et à la demande individuelle d'un destinataire de services ».
Les DSP peuvent être catégorisés selon les organisations suivantes : Moteurs de recherche; Services
informatiques Cloud; Marchés en ligne.
UE : Directive NIS
16
La Directive NIS impose aux OES et DSP de :
• Prendre les mesures techniques et organisationnelles appropriées pour sécuriser leurs réseaux et
systèmes d'informations ;
• Tenir compte des plus récents développements et considérer les risques potentiels auxquels leurs
systèmes sont confrontés ;
• Prendre les mesures appropriées de prévention des incidents de sécurité ou, au moins, pour en
minimiser l'impact afin d'assurer la continuité du service ; et
• Notifier l'autorité compétente pertinente de tout incident de sécurité revêtant un impact significatif sur
la continuité du service sans délai indu.
• Conséquences du défaut de conformité avec la Directive NIS
Conséquences du défaut de conformité avec la Directive NIS
Les États membres sont tenus de définir leurs propres règles de pénalités financières et de prendre les
mesures nécessaires pour s'assurer de leur mise en œuvre. Il est probable que les États membres
mettent en œuvre des pénalités similaires à celles du RGPD (Règlement Général sur la Protection des
Données).
La conformité peut être surveillée avec des audits de routine des OES.
UE : Directive NIS
17
Exigences spécifiques de conformité pour les DSP :
La Directive dispose que les DSP « restent libres de prendre les mesures techniques et organisationnelles
qu'ils jugent appropriées et proportionnées pour gérer les risques » tant que les mesures procurent un «un
niveau de sécurité approprié» et factorisent les exigences de la Directive NIS.
Les DSP doivent assurer un niveau de sécurité approprié au risque posé par l'offre des services couverts
en tenant compte des éléments suivants :
• Sites et systèmes de sécurité
• Gestion d'incident
• Gestion de continuité de l'activité
• Surveillance, audit et test
• Conformité aux normes internationales
Outre les mesures de sécurité de l'information et de continuité de l'activité, les DSP doivent établir des
mesures d'intervention sur incident selon une appréciation de la gravité de l'incident.
Le Règlement d'exécution entre en vigueur le 10 mai 2018 et s'applique à tous les États membres de
l'Union Européenne.
UE : Directive NIS
18
La directive NSI2 a renforcé les capacités nationales de cybersécurité de l’UE, obligeant les États
membres à élaborer une stratégie nationale de cybersécurité, à mettre en place des équipes de
réponse aux incidents de sécurité informatique (CSIRT) et à désigner des autorités nationales
compétentes en matière de NSI, améliorant ainsi la cyber-résilience des entités publiques et privées
dans des secteurs spécifiques et dans l’ensemble des services numériques.
Afin de répondre aux menaces croissantes dues à la numérisation et à l’augmentation des cyberattaques,
la proposition de directive révisée NIS2 abroge la directive existante. La nouvelle proposition élargit son
champ d’application, en visant à renforcer les exigences de sécurité imposées, en abordant la sécurité
des chaînes d’approvisionnement, en rationalisant les obligations de déclaration, en introduisant des
mesures de surveillance plus strictes et des exigences d’application plus strictes, y compris des régimes
de sanctions harmonisés dans tous les États membres.
Il comprend également des propositions d’échange d’informations et de coopération en matière de
gestion des cybercrises aux niveaux national et européen. L’élargissement proposé du champ
d’application couvert par le NIS2 obligerait effectivement davantage d’entités et de secteurs à prendre
des mesures, ce qui augmenterait le niveau de cybersécurité dans l’UE à plus long terme.
UE : Directive NIS2
19
Conseil de l’Europe : 185 – Convention de Budapest
Cette Convention est le premier traité international sur les infractions pénales commises via l'Internet et d'autres
réseaux informatiques, traitant en particulier des infractions portant atteinte aux droits d'auteurs, de la fraude
liée à l'informatique, de la pornographie enfantine, ainsi que des infractions liées à la sécurité des réseaux. Il
contient également une série de pouvoirs de procédures, tels que la perquisition de réseaux informatiques et
l'interception.
Son principal objectif, énoncé dans le préambule, est de poursuivre "une politique pénale commune destinée à
protéger la société contre le cybercrime, notamment par l'adoption d'une législation appropriée et la stimulation
de la coopération internationale".
20
2 - Directives et Lois
Europe
UE - DIRECTIVE NIS 2016
La Directive sur la sécurité des réseaux et des
systèmes d'information (NIS) a pour objectif
d'atteindre un niveau commun élevé de sécurité des
réseaux et des systèmes d’informations dans toute
l'Union Européenne.
La NSI2 a renforcé les capacités nationales de
cybersécurité de l’UE, obligeant les États membres à
élaborer une stratégie nationale de cybersécurité, à
mettre en place des équipes de réponse aux incidents
de sécurité informatique (CSIRT) et à désigner des
autorités nationales compétentes en matière de NSI,
améliorant ainsi la cyber résilience des entités
publiques et privées dans des secteurs spécifiques et
dans l’ensemble des services numériques
concernera plus d’entreprises et impliquera leurs
cocontractants ;
• renforcera les obligations et les sanctions ;
• pourrait s’appliquer courant 2024 ;
• sera complétée par une directive régissant les
infrastructures critiques et par un règlement sur la
sécurité informatique du secteur financier.
Afrique
CONVENTION MALABO 2014
Article 25: Mesures légales
1. Législations contre la cybercriminalité
Chaque État Partie s’engage à adopter les mesures
législatives et/ou réglementaires qu'il jugera efficaces en
considérant comme infractions criminelles substantielles
des actes qui affectent la confidentialité, l'intégrité, la
disponibilité et la survivance des systèmes technologies
de l’information et de la communication et les données
qu’ils traitent et des infrastructures réseau sous-jacentes,
ainsi que les mesures procédurales qu'il jugera efficaces
pour rechercher et poursuivre les
contrevenants.
Maroc
La loi 05-20 CYBERSECURITE
vise la mise en place d’un cadre juridique
préconisant aux entités un socle minimal de règles
et de mesures de sécurité afin d’assurer la fiabilité
et la résilience de leurs Systèmes d’Information.
Elle a aussi pour objectifs le développement de la
confiance numérique, la digitalisation de
l’économie et plus généralement l'assurance de la
continuité des activités économiques et sociétales
de notre Pays. Et ce, afin de favoriser le
développement d’un écosystème National de
cybersécurité
21
2 - Directives et Lois
Europe
FR - la loi n°2013-1168 du 18 décembre 2013,
Le Premier ministre définit la politique et
coordonne l’action gouvernementale en matière
de sécurité et de défense des systèmes
d’information. Il dispose à cette fin de l’autorité
nationale de sécurité des systèmes
d’information, l’ANSSI, rattachée au secrétaire
général de la défense et de la sécurité nationale
Afrique
CI LOI 2013-451 du 19 juin 20/3 Cybercriminalité
Art. 2. - La présente loi a pour objet de lutter contre la
cybercrlminalité.
Art. 3. - Sont soumis aux dispositions de la présente
lol, les infractions relatives 4 la cybercriminalité, ainsi
que les infractions pénales dont la constatation
requiert la collecle d’une preuve électronique.
SN LOI 2008-11 du 25 janvier 2008 Cybercriminalité
La première partie, consacrée au droit pénal
substantiel, comporte trois titres traitant de l’adoption
d’infractions spécifiques aux technologies de
l’information et de la communication et de
l’adaptation de certaines incriminations et de
certaines sanctions aux technologies de l’information
et de la communication ;
ML : La loi n° 2019-056 du 5 décembre 2019,
portant Répression de la Cybercriminalité. Elle
s’applique à « toute infraction commise au moyen
des technologies de l’information et de la
communication (TIC) en tout ou partie sur le territoire
de la République du Mali, toute infraction commise
dans le cyberespace et dont les effets se produisent
sur le territoire national » (article 2).
Maroc
Décret n° 2-21-406 du 15 juillet 2021
Ce décret vise principalement à définir les
mesures de protection des systèmes
d'information des administrations de l'Etat,
des établissements et entreprises publics et
toute autre personne morale de droit public,
ainsi que ceux des infrastructures
d'importance vitale et des opérateurs privés.
22
Cybersécurité
UIT – CGA : Mesures juridiques
Directives & Lois
Gouvernance
Organisations concernées
Obligations
Sanctions
Annexes
1
2
3
4
5
6
7
23
3.1 - Gouvernance
Europe
UE NIS
Article 7-1b : un cadre de gouvernance pour atteindre
les objectifs et les priorités de la stratégie nationale
sur la sécurité des réseaux et des systèmes
d'information, y compris les rôles et responsabilités
des organes gouvernementaux et des autres acteurs
concernés ;
Afrique
CONVENTION MALABO
Article 27 : Structures nationales de suivi de la
cybersécurité
1. Gouvernance de la cyber sécurité
Chaque État Partie s’engage à adopter des mesures
nécessaires pour mettre en place un dispositif
institutionnel approprié pour une prise en charge de
la gouvernance de la cyber sécurité.
La gouvernance de la cybersécurité devra être
établie en fonction d’un cadre national qui soit en
mesure de répondre aux défis perçus et à toute
question relative à la sécurité de l'information au
niveau national dans le plus grand nombre possible
de domaines de la cybersécurité.
Maroc
Article 35 : Comité stratégique
– élaborer et évaluer les orientations stratégiques de
l’Etat en matière de cybersécurité et veiller sur la
résilience des systèmes d’information des entités,
des infrastructures d’importance vitale et des
opérateurs
Article 36 : Comité de Gestion de Crise
Est chargé d’assurer une intervention coordonnée en
matière de prévention et de gestion de crise par suite
d’incidents de cybersécurité.
24
3.2 - Gouvernance
Europe
FR : ANSSI
Service du Premier ministre, rattaché au Secrétariat
général de la défense et de la sécurité nationale
(SGDSN), l’Agence nationale de la sécurité des
systèmes d’information (ANSSI) est l’autorité
nationale chargée d’accompagner et de sécuriser le
développement du numérique. Acteur majeur de la
cyber sécurité, l’ANSSI apporte son expertise et son
assistance technique aux administrations et aux
entreprises avec une mission renforcée au profit des
opérateurs d’importance vitale (OIV). Elle assure un
service de veille, de détection, d’alerte et de réaction
aux attaques informatiques.
CERT-FR assure le rôle de CSIRT gouvernemental
français. Il est membre du FIRST qui est le réseau
international des CERT et de la TF-CSIRT qui est
son pendant européen. Le CERT-FR est l’émanation
de la composante de réaction aux incidents
informatiques de l’ANSSI au sein de la communauté
des CSIRT depuis 2002.
Afrique
CI : ARTIC - Autorité de Régulation des
Télécommunications & TIC a été créée par
l’Ordonnance n°2012-293 du 21 mars 2012
• Elle est une autorité administrative indépendante
dotée de la personnalité juridique et de l’autonomie
financière
• Outre ses missions de régulation des
télécommunications, l’ARTCI s’est vue
confiée de nouvelles prérogatives notamment :
• Protection des données à caractère personnel;
• Lutte contre la cybercriminalité;
• Régulation des transactions électroniques;
• Protection et sécurisation des réseaux et systèmes
d’information
CI-CERT (janv. 2020) est le point focal national en
matière de cybersécurité et agit comme le principal
centre de coordination de la réponse aux incidents de
sécurité et la protection des infrastructures critiques
nationales. Au plan international, il collabore avec tous
les points focaux de l’écosystème des CERT.
Maroc
Article 38 : Autorité Nationale (DGSSI)
coordonner les travaux relatifs à l’élaboration et à
la mise en œuvre de la stratégie de l’Etat et veiller à
l’application des orientations du comité stratégique
de la cybersécurité ;
maCERT (Moroccan Computer Emergency
Response Team) est le centre de veille, détection et
réponse aux attaques informatiques. La Direction
de gestion de ce centre qui fait partie des quatre
directions de la DGSSI est chargée de la mise en
œuvre, en relation avec les autres administrations,
de systèmes de veille, de détection, d'alerte des
événements susceptibles d'affecter la sécurité des
systèmes d'information de l'Etat et de la
coordination de la réaction à ces événements
25
3.3 - Gouvernance
Europe Afrique Maroc
SN : le Gouvernement du Sénégal mettra en place
une structure nationale de la cybersécurité chargée
de jouer un rôle moteur dans les questions de
cybersécurité et de conduire la mise en œuvre et la
coordination des initiatives relatives à la cybersécurité
pour le Sénégal.
L’Agence De l’Informatique de l’Etat (ADIE) est une
structure autonome chargée de mettre en œuvre la
politique d'informatisation de l’Etat du Sénégal. Sa
mission principale est de doter l’Administration d’un
dispositif cohérent de traitement et de diffusion de
l’information, répondant aux normes internationales en
matière de qualité, de sécurité, de performance et de
disponibilité
CSIRT de l’ADIE intervient sur un périmètre bien
déterminé : l’intranet administratif.
L’équipe doit activement s’impliquer dans la gestion de
la cybersécurité, dans l'appropriation des
connaissances nécessaires en matière de gestion
proactive et réactive des incidents de cybersécurité,
dans la mise en place des politiques nécessaires pour
sa cybersécurité, ou encore la mise en pratique de
méthodes de travail adéquates à une culture de la
cybersécurité au sein de l’intranet administratif.
.
26
Gouvernance
27
3.4 – Gouvernance - ARTIC
28
Cybersécurité
UIT – CGA : Mesures juridiques
Directives & Lois
Gouvernance
Organisations concernées
Obligations
Sanctions
Annexes
1
2
3
4
5
6
7
29
4 – Organisations concernées
Europe
La Directive NIS s'applique à :
OPÉRATEURS DE SERVICES ESSENTIELS
(OES - Operators of Essential Services) implantés
dans l'Union Européenne
FOURNISSEURS DE SERVICE NUMÉRIQUE
(DSP - Digital Service Providers) offrant des
services à des personnes au sein de l'Union
Européenne
La Directive ne concerne pas les DSP considérés
comme des petites entreprises ou des
microentreprises (entreprises employant moins de
50 personnes dont le chiffre d’affaires annuel ou
dont le bilan total est inférieur à 10 millions d’euros).
FR : La cybersécurité des OIV s’intègre dans le
dispositif interministériel plus large de sécurité des
activités d’importance vitale (SAIV) inscrit dans le
code de la défense.
Ce dispositif a permis d’identifier les opérateurs
d’importance vitale (OIV), privés et publics, qui
exploitent ou utilisent des installations jugées
indispensables pour la survie de la Nation.
L’article 22 de la loi de programmation militaire (loi
n° 2013-1168 du 18 décembre 2013), impose aux
OIV le renforcement de la sécurité : les systèmes
d’information d’importance vitale (SIIV).
Afrique
INFRASTRUCTURES CRITIQUES
Chaque État Partie s’engage à adopter des
mesures législatives et/ou réglementaires qu'il
jugera nécessaires pour identifier les secteurs
considérés comme sensibles pour sa sécurité
nationale et le bien-être de l'économie et des
systèmes technologies de l’information et de la
communication désignés pour fonctionner dans ces
secteurs comme constituant des infrastructures
critiques de l'information, en proposant à cet égard
une sanction plus sévère pour les activités
criminelles sur les systèmes TIC dans ces secteurs
et également des
dispositions pour améliorer la vigilance, la sécurité
et la gestion.
CI : Protection du cyberespace, des systèmes
d’information nationaux et des infrastructures
critiques
SN : renforcer la protection des infrastructures
d'information critiques (IIC) et les systèmes
d'information de l’Etat du Sénégal
Maroc
ENTITE : les administrations de l’état, les
collectivités territoriales, les établissements et
entreprises publics et toute autre personne morale
de droit public
IIV : Infrastructures d’importance vitale : les
installation, les ouvrages et les systèmes qui sont
indispensables au maintien des fonctions vitales de
la société, de la santé, de la sûreté, de la sécurité et
du bien-être économique ou social, et dont le
dommage ou l’indisponibilité ou la destruction aurait
un impact induisant la défaillance de ces fonctions
OPERATEURS : les exploitants des réseaux
publics de communication, les fournisseurs d’accès
internet, les prestataires de cybersécurité, les
prestataires de services numériques et les éditeurs
de plateformes internet
30
Cybersécurité
UIT – CGA : Mesures juridiques
Directives & Lois
Gouvernance
Organisations concernées
Obligations
Sanctions
Annexes
1
2
3
4
5
6
7
31
5 – Obligations
Europe
La directive UE repose sur un triple objectif :
i) fixer des obligations aux États membres en
matière de prévention et de gestion de risques et
incidents touchant les réseaux et systèmes
informatiques, ii) faciliter la coopération entre les
États membres pour garantir l’harmonisation des
règles de cybersécurité au sein de l’UE et,
iii) établir des exigences en matière de sécurité
pour “les acteurs du marché”.
La LPM 2014-2019 française prévoit :
les OIV ont l’obligation de mettre en œuvre des
systèmes qualifiés de détection des évènements
susceptibles d’affecter la sécurité de leurs
systèmes d’information.
A la charge des OIV, une obligation de déclarer
sans délai au Premier ministre les incidents
affectant le fonctionnement ou la sécurité de leurs
SI.
Les OIV doivent, d’une part respecter les règles et
mesures de sécurité élaborées par le Premier
ministre et, d’autre part soumettre leur SI à des
audits destinés à vérifier le niveau de sécurité et
le respect des règles de sécurité.
Afrique
MALABO Art.25 : Protection des
infrastructures critiques
Chaque État Partie s’engage à adopter des
mesures législatives et/ou réglementaires qu'il
jugera nécessaires pour identifier les secteurs
considérés comme sensibles pour sa sécurité
nationale et le bien-être de l'économie et des
systèmes technologies de l’information et de la
communication désignés pour fonctionner dans
ces secteurs comme constituant des
infrastructures critiques de l'information, en
proposant à cet égard une sanction plus
sévère pour les activités criminelles sur les
systèmes TIC dans ces secteurs et également
des dispositions pour améliorer la vigilance, la
sécurité et la gestion.
Maroc
Voir obligations tableaux suivants
ART. 17. Chaque entité ou infrastructure
d’importance vitale informe l’autorité nationale de
son responsable de la sécurité des systèmes
d’information
– identifier et analyser les enjeux et les risques
de cybersécurité en tenant compte des
évolutions réglementaires et techniques ;
– définir les objectifs de cybersécurité en
collaboration avec les parties prenantes et
élaborer les mesures de sécurité appropriées
– participer à l’élaboration et au suivi de la
politique de sécurité des systèmes d’information
en collaboration avec les parties prenantes ;
– définir un plan d’actions annuel ou pluriannuel,
pour la mise en œuvre de la politique de sécurité
des systèmes d’information ;
– assurer le suivi de la gestion des incidents de
cybersécurité ;
– rapporter régulièrement à sa hiérarchie les
risques de sécurité des systèmes d’information
– animer des sessions de sensibilisation au
profit du personnel
32
5 – Obligations
33
5 – Obligations
34
5 – Obligations
35
Cybersécurité
UIT – CGA : Mesures juridiques
Directives & Lois
Gouvernance
Organisations concernées
Obligations
Sanctions
Annexes
1
2
3
4
5
6
7
36
6 - Sanctions
Europe
La Directive européenne précise que les
Etats membres fixent eux-mêmes les
sanctions applicables. Il est intéressant de
souligner que le texte amendé par le
Parlement européen dispose que lorsque les
acteurs du marché ne respectent pas les
obligations, mais qu’ils n’ont pas agi de
manière intentionnelle ou à la suite d’une
négligence grave, aucune sanction ne doit être
prononcée
FR
Loi Programmation Militaire (LPM) 2014-
2019 sanctionne les manquements à la loi
d’une amende de 150.000€, s’élevant à
750.000€ pour les personnes morales
Afrique
Convention Malabo
Article 31 L’adaptation de certaines sanctions aux
Technologies de l’Information et de la
Communication
1. Sanctions pénales
Les État Parties s’engagent à prendre des mesures
nécessaires pour faire en sorte que les infractions
prévues par la présente Convention soient
passibles de sanctions pénales effectives,
proportionnées et dissuasives.
SN
Article 431-8. Quiconque aura accédé ou
tenté d’accéder frauduleusement à tout ou
partie d’un système informatique, sera puni
d’un emprisonnement de six (6) mois à trois
(3) ans et d’une amende de 1.000.000 (1 500
€) à 10.000.000 francs (15 000 €)
Maroc
Voir détail tableau slide suivant
MA
Hébergement des données sensibles en
dehors du territoire national, en violation de
l’article 11 : 20 à 40 000 €
Manque aux obligations de déclaration des
incidents, en violation des dispositions prévues
aux articles 8, 30 & 33 : 10 à 20 000 €
37
6 – MA : Sanctions
Merci
taieb.debbagh@abnaconseils.com
Tél : +212 (0) 661 183517
38

Contenu connexe

Tendances

La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032PECB
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTGOTIC CI
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Seclab
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2PRONETIS
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1PRONETIS
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
L'audit juridique de site internet : préconisations pratiques
L'audit juridique de site internet : préconisations pratiquesL'audit juridique de site internet : préconisations pratiques
L'audit juridique de site internet : préconisations pratiquesBernard LAMON
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 

Tendances (20)

La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Pourquoi la directive NIS ?
Pourquoi la directive NIS ?
 
Ebios
EbiosEbios
Ebios
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite web
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
L'audit juridique de site internet : préconisations pratiques
L'audit juridique de site internet : préconisations pratiquesL'audit juridique de site internet : préconisations pratiques
L'audit juridique de site internet : préconisations pratiques
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 

Similaire à Cybersécurité - Directives Régionales et Lois Nationales

Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?Lexing - Belgium
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Hanen Bensaad
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
NIS : l’Europe se dote d’un plan de bataille contre le piratage informatique
NIS : l’Europe se dote d’un plan de bataille contre le piratage informatiqueNIS : l’Europe se dote d’un plan de bataille contre le piratage informatique
NIS : l’Europe se dote d’un plan de bataille contre le piratage informatiqueITrust - Cybersecurity as a Service
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de CryptographieAlghajati
 
L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...
L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...
L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...Djallal BOUABDALLAH
 
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...Cluster TWEED
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfGaudefroy Ariane
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019African Cyber Security Summit
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoTJean-Luc Lemire
 
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !SecludIT
 
Stratégie Tunisie Digitale 2020
Stratégie Tunisie Digitale 2020 Stratégie Tunisie Digitale 2020
Stratégie Tunisie Digitale 2020 ANSItunCERT
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...ir. Carmelo Zaccone
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueAntoine Vigneron
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 

Similaire à Cybersécurité - Directives Régionales et Lois Nationales (20)

Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
NIS : l’Europe se dote d’un plan de bataille contre le piratage informatique
NIS : l’Europe se dote d’un plan de bataille contre le piratage informatiqueNIS : l’Europe se dote d’un plan de bataille contre le piratage informatique
NIS : l’Europe se dote d’un plan de bataille contre le piratage informatique
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
 
L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...
L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...
L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...
 
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
 
Presentation ansi
Presentation ansiPresentation ansi
Presentation ansi
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdf
 
Apercu
ApercuApercu
Apercu
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoT
 
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
 
Stratégie Tunisie Digitale 2020
Stratégie Tunisie Digitale 2020 Stratégie Tunisie Digitale 2020
Stratégie Tunisie Digitale 2020
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridique
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 

Dernier

GHASSOUB _Seance 4_ measurement and evaluation in education_-.pptx
GHASSOUB _Seance 4_ measurement and evaluation in education_-.pptxGHASSOUB _Seance 4_ measurement and evaluation in education_-.pptx
GHASSOUB _Seance 4_ measurement and evaluation in education_-.pptxAbderrahim GHASSOUB
 
Texte avec différentes critiques positives, négatives ou mitigées
Texte avec différentes critiques positives, négatives ou mitigéesTexte avec différentes critiques positives, négatives ou mitigées
Texte avec différentes critiques positives, négatives ou mitigéesLeBaobabBleu1
 
Réunion des directeurs de Jonzac - 15 mai 2024
Réunion des directeurs de Jonzac - 15 mai 2024Réunion des directeurs de Jonzac - 15 mai 2024
Réunion des directeurs de Jonzac - 15 mai 2024IEN_Jonzac
 
Un petit coin etwinning- Au fil des cultures urbaines
Un petit coin  etwinning- Au fil des cultures urbainesUn petit coin  etwinning- Au fil des cultures urbaines
Un petit coin etwinning- Au fil des cultures urbainesSocratis Vasiopoulos
 
Les débuts de la collection "Le livre de poche"
Les débuts de la collection "Le livre de poche"Les débuts de la collection "Le livre de poche"
Les débuts de la collection "Le livre de poche"ArchivesdeLyon
 
Àma Gloria.pptx Un film tourné au Cap Vert et en France
Àma Gloria.pptx   Un film tourné au Cap Vert et en FranceÀma Gloria.pptx   Un film tourné au Cap Vert et en France
Àma Gloria.pptx Un film tourné au Cap Vert et en FranceTxaruka
 
rapport de stage gros oeuvre_compressed.pdf
rapport de stage gros oeuvre_compressed.pdfrapport de stage gros oeuvre_compressed.pdf
rapport de stage gros oeuvre_compressed.pdfOssamaLachheb
 
CALENDRIER ET COMPTE RENDU REUNION DIRECTION
CALENDRIER ET COMPTE RENDU REUNION DIRECTIONCALENDRIER ET COMPTE RENDU REUNION DIRECTION
CALENDRIER ET COMPTE RENDU REUNION DIRECTIONfrizzole
 
Fiche de vocabulaire pour faire une appréciation
Fiche de vocabulaire pour faire une appréciationFiche de vocabulaire pour faire une appréciation
Fiche de vocabulaire pour faire une appréciationLeBaobabBleu1
 
GHASSOUB _Seance 3_ measurement and evaluation in education.pptx
GHASSOUB _Seance 3_ measurement and evaluation in education.pptxGHASSOUB _Seance 3_ measurement and evaluation in education.pptx
GHASSOUB _Seance 3_ measurement and evaluation in education.pptxAbderrahim GHASSOUB
 
Nathanaëlle Herbelin.pptx Peintre française
Nathanaëlle Herbelin.pptx Peintre françaiseNathanaëlle Herbelin.pptx Peintre française
Nathanaëlle Herbelin.pptx Peintre françaiseTxaruka
 

Dernier (11)

GHASSOUB _Seance 4_ measurement and evaluation in education_-.pptx
GHASSOUB _Seance 4_ measurement and evaluation in education_-.pptxGHASSOUB _Seance 4_ measurement and evaluation in education_-.pptx
GHASSOUB _Seance 4_ measurement and evaluation in education_-.pptx
 
Texte avec différentes critiques positives, négatives ou mitigées
Texte avec différentes critiques positives, négatives ou mitigéesTexte avec différentes critiques positives, négatives ou mitigées
Texte avec différentes critiques positives, négatives ou mitigées
 
Réunion des directeurs de Jonzac - 15 mai 2024
Réunion des directeurs de Jonzac - 15 mai 2024Réunion des directeurs de Jonzac - 15 mai 2024
Réunion des directeurs de Jonzac - 15 mai 2024
 
Un petit coin etwinning- Au fil des cultures urbaines
Un petit coin  etwinning- Au fil des cultures urbainesUn petit coin  etwinning- Au fil des cultures urbaines
Un petit coin etwinning- Au fil des cultures urbaines
 
Les débuts de la collection "Le livre de poche"
Les débuts de la collection "Le livre de poche"Les débuts de la collection "Le livre de poche"
Les débuts de la collection "Le livre de poche"
 
Àma Gloria.pptx Un film tourné au Cap Vert et en France
Àma Gloria.pptx   Un film tourné au Cap Vert et en FranceÀma Gloria.pptx   Un film tourné au Cap Vert et en France
Àma Gloria.pptx Un film tourné au Cap Vert et en France
 
rapport de stage gros oeuvre_compressed.pdf
rapport de stage gros oeuvre_compressed.pdfrapport de stage gros oeuvre_compressed.pdf
rapport de stage gros oeuvre_compressed.pdf
 
CALENDRIER ET COMPTE RENDU REUNION DIRECTION
CALENDRIER ET COMPTE RENDU REUNION DIRECTIONCALENDRIER ET COMPTE RENDU REUNION DIRECTION
CALENDRIER ET COMPTE RENDU REUNION DIRECTION
 
Fiche de vocabulaire pour faire une appréciation
Fiche de vocabulaire pour faire une appréciationFiche de vocabulaire pour faire une appréciation
Fiche de vocabulaire pour faire une appréciation
 
GHASSOUB _Seance 3_ measurement and evaluation in education.pptx
GHASSOUB _Seance 3_ measurement and evaluation in education.pptxGHASSOUB _Seance 3_ measurement and evaluation in education.pptx
GHASSOUB _Seance 3_ measurement and evaluation in education.pptx
 
Nathanaëlle Herbelin.pptx Peintre française
Nathanaëlle Herbelin.pptx Peintre françaiseNathanaëlle Herbelin.pptx Peintre française
Nathanaëlle Herbelin.pptx Peintre française
 

Cybersécurité - Directives Régionales et Lois Nationales

  • 1. Taieb DEBBAGH Mars 2022 Cybersécurité Directives régionales et Lois nationales
  • 2. 2 Cybersécurité : Le rôle des états https://youtu.be/itbPfBmJ4Z0
  • 3. 3 Cybersécurité UIT – CGA : Mesures juridiques Directives & Lois Gouvernance Organisations concernées Obligations Sanctions Annexes 1 2 3 4 5 6 7
  • 4. 4 Cybersécurité UIT – CGA : Mesures juridiques Directives & Lois Gouvernance Organisations concernées Obligations Sanctions Annexes 1 2 3 4 5 6 7
  • 5. 5 Cybersécurité : Dates clés Politique nationale Confiance numérique et Sécurité des SI Mai 2008 Oct. 2009 Stratégie Maroc Numeric 2013 Confiance Numérique Oct. 2007 Oct. 2010 NCSM Contribution Maroc UIT – AG Mexique Oct. 2011 DGSSI maCERT
  • 6. 6 Global Cybersecurity Agenda - 2007 MESURES JURIDIQUES Les objectifs sont les suivants : Stratégies pour l’élaboration d’un modèle de législation sur la cybercriminalité, interopérable et applicable à l’échelle mondiale Lancé par UIT en 2007, le Programme mondial de cybersécurité (GCA) est un cadre de coopération internationale visant à renforcer la confiance et la sécurité dans la société de l’information. Le GCA est conçu pour la coopération et l’efficacité, en encourageant la collaboration avec et entre tous les partenaires concernés et en s’appuyant sur les initiatives existantes pour éviter de dupliquer les efforts.
  • 8. 8 Global Cybersecurity Index Légal Législation sur la cybercriminalité Réglementation de la cybersécurité Législation anti-spam (Confinement / limitation) Mesures techniques CERT / CIRT / CSIRT Cadre de mise en œuvre des normes Organisme de normalisation Mécanismes et capacités techniques déployés pour lutter contre le spam Utilisation du cloud à des fins de cybersécurité Mécanismes de protection en ligne des enfants Mesures organisationnelles Stratégie nationale de cybersécurité Agence responsable Mesures de cybersécurité Mesures de renforcement des capacités Campagnes de sensibilisation du public Cadre de certification et d'accréditation des professionnels de la cybersécurité Programmes professionnels ou cursus académiques en cybersécurité Programmes de R&D en cybersécurité Mécanismes d'incitation Mesures de coopération Accords bilatéraux Participation à des forums/ associations internationaux Partenariats public-privé Partenariats inter-agences / intra-agences Les meilleures pratiques
  • 9. 9 50 9 ITU - Global Cybersécurité Index – Juin 2021
  • 10. 10 75 100 ITU - Global Cybersécurité Index – Juin 2021 160
  • 11. 11 Cybersécurité UIT – CGA : Mesures juridiques Directives & Lois Gouvernance Organisations concernées Obligations Sanctions Annexes 1 2 3 4 5 6 7
  • 12. 12 Définitions Objet Définition Cybersécurité l’ensemble de mesures, procédures, concepts de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques, et technologies permettant à un système d’information de résister à des évènements issus du cyberespace, susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ce système offre ou qu’il rend accessibles ; Cybercriminalité l’ensemble des actes contrevenant à la législation nationale ou aux traités internationaux ratifiés par le Royaume du Maroc, ayant pour cible les réseaux ou les systèmes d’information ou les utilisant comme moyens pour commettre un délit ou un crime ; Infrastructures d’importance vitale les installations, les ouvrages et les systèmes qui sont indispensables au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social, et dont le dommage ou l’indisponibilité ou la destruction aurait un impact induisant la défaillance de ces fonctions ; Secteur d’activités d’importance vitale l’ensemble des activités exercées par les infrastructures d’importance vitale et concourant à un même objectif. Ces activités ont trait soit à la production et la distribution de biens ou de services indispensables à la satisfaction des besoins essentiels pour la vie des populations, ou à l’exercice des prérogatives de l’Etat ou au maintien de ses capacités de sécurité ou au fonctionnement de l’économie, dès lors que ces activités sont difficilement substituables ou remplaçables, ou qui peuvent présenter un danger grave pour la population ; Système d’information sensible système d’information traitant des informations ou des données sensibles sur lesquelles une atteinte à la confidentialité, à l’intégrité ou à la disponibilité porterait préjudice à une entité ou à une infrastructure d’importance vitale ; Incident de cybersécurité un ou plusieurs événements indésirables ou inattendus liés à la sécurité des systèmes d’information et présentant une forte probabilité de compromettre les activités d’une entité, d’une infrastructure d’importance vitale ou d’un opérateur ou de menacer la sécurité de leurs systèmes d’information ; Crise cybernétique l’état résultant de l’occurrence d’un ou plusieurs événements de cybersécurité pouvant avoir un impact grave sur la vie des populations, l’exercice de l’autorité de l’Etat, le fonctionnement de l’économie, ou sur le maintien des capacités de sécurité et de défense du pays ;
  • 13. 13 La Directive sur la sécurité des réseaux et des systèmes d'information (Directive NIS) La Directive sur la sécurité des réseaux et des systèmes d'information (Directive NIS) ((UE) 2016/1148) a pour objectif d'atteindre un niveau commun élevé de sécurité des réseaux et des systèmes d’informations dans toute l'Union Européenne. Les États membres de l'Union Européenne avaient jusqu'au 9 mai 2018 pour transposer la Directive NIS dans leur législation nationale. UE : Directive NIS
  • 14. 14 UE : Directive NIS Le champ d'application de la conformité dans la Directive NIS : qui doit être conforme ? La Directive s'applique à : Opérateurs de services essentiels (OES - Operators of Essential Services) implantés dans l'Union Européenne et Fournisseurs de service numérique (DSP - Digital Service Providers) offrant des services à des personnes au sein de l'Union Européenne La Directive ne concerne pas les DSP considérés comme des petites entreprises ou des microentreprises (entreprises employant moins de 50 personnes dont le chiffre d’affaires annuel ou dont le bilan total est inférieur à 10 millions d’euros).
  • 15. 15 Un Opérateur de services essentiels (OES) : c'est quoi ? La Directive NIS a pour ambition de renforcer la cybersécurité dans les secteurs dépendant fortement des technologies de l'information et de la communication (TIC). Certaines entreprises actives dans des secteurs stratégiques sont dénommées OES. La Directive NIS affecte les secteurs suivants : Eau ;Énergie ;Infrastructure numérique ;Infrastructures des marchés bancaires et financiers ;Santé ; etTransport. Q’est-ce qu’un fournisseur de service numérique (DSP) ? La Directive NIS concerne les DSP clés suivants qui procurent normalement leurs services « contre rémunération, à distance par voie électronique et à la demande individuelle d'un destinataire de services ». Les DSP peuvent être catégorisés selon les organisations suivantes : Moteurs de recherche; Services informatiques Cloud; Marchés en ligne. UE : Directive NIS
  • 16. 16 La Directive NIS impose aux OES et DSP de : • Prendre les mesures techniques et organisationnelles appropriées pour sécuriser leurs réseaux et systèmes d'informations ; • Tenir compte des plus récents développements et considérer les risques potentiels auxquels leurs systèmes sont confrontés ; • Prendre les mesures appropriées de prévention des incidents de sécurité ou, au moins, pour en minimiser l'impact afin d'assurer la continuité du service ; et • Notifier l'autorité compétente pertinente de tout incident de sécurité revêtant un impact significatif sur la continuité du service sans délai indu. • Conséquences du défaut de conformité avec la Directive NIS Conséquences du défaut de conformité avec la Directive NIS Les États membres sont tenus de définir leurs propres règles de pénalités financières et de prendre les mesures nécessaires pour s'assurer de leur mise en œuvre. Il est probable que les États membres mettent en œuvre des pénalités similaires à celles du RGPD (Règlement Général sur la Protection des Données). La conformité peut être surveillée avec des audits de routine des OES. UE : Directive NIS
  • 17. 17 Exigences spécifiques de conformité pour les DSP : La Directive dispose que les DSP « restent libres de prendre les mesures techniques et organisationnelles qu'ils jugent appropriées et proportionnées pour gérer les risques » tant que les mesures procurent un «un niveau de sécurité approprié» et factorisent les exigences de la Directive NIS. Les DSP doivent assurer un niveau de sécurité approprié au risque posé par l'offre des services couverts en tenant compte des éléments suivants : • Sites et systèmes de sécurité • Gestion d'incident • Gestion de continuité de l'activité • Surveillance, audit et test • Conformité aux normes internationales Outre les mesures de sécurité de l'information et de continuité de l'activité, les DSP doivent établir des mesures d'intervention sur incident selon une appréciation de la gravité de l'incident. Le Règlement d'exécution entre en vigueur le 10 mai 2018 et s'applique à tous les États membres de l'Union Européenne. UE : Directive NIS
  • 18. 18 La directive NSI2 a renforcé les capacités nationales de cybersécurité de l’UE, obligeant les États membres à élaborer une stratégie nationale de cybersécurité, à mettre en place des équipes de réponse aux incidents de sécurité informatique (CSIRT) et à désigner des autorités nationales compétentes en matière de NSI, améliorant ainsi la cyber-résilience des entités publiques et privées dans des secteurs spécifiques et dans l’ensemble des services numériques. Afin de répondre aux menaces croissantes dues à la numérisation et à l’augmentation des cyberattaques, la proposition de directive révisée NIS2 abroge la directive existante. La nouvelle proposition élargit son champ d’application, en visant à renforcer les exigences de sécurité imposées, en abordant la sécurité des chaînes d’approvisionnement, en rationalisant les obligations de déclaration, en introduisant des mesures de surveillance plus strictes et des exigences d’application plus strictes, y compris des régimes de sanctions harmonisés dans tous les États membres. Il comprend également des propositions d’échange d’informations et de coopération en matière de gestion des cybercrises aux niveaux national et européen. L’élargissement proposé du champ d’application couvert par le NIS2 obligerait effectivement davantage d’entités et de secteurs à prendre des mesures, ce qui augmenterait le niveau de cybersécurité dans l’UE à plus long terme. UE : Directive NIS2
  • 19. 19 Conseil de l’Europe : 185 – Convention de Budapest Cette Convention est le premier traité international sur les infractions pénales commises via l'Internet et d'autres réseaux informatiques, traitant en particulier des infractions portant atteinte aux droits d'auteurs, de la fraude liée à l'informatique, de la pornographie enfantine, ainsi que des infractions liées à la sécurité des réseaux. Il contient également une série de pouvoirs de procédures, tels que la perquisition de réseaux informatiques et l'interception. Son principal objectif, énoncé dans le préambule, est de poursuivre "une politique pénale commune destinée à protéger la société contre le cybercrime, notamment par l'adoption d'une législation appropriée et la stimulation de la coopération internationale".
  • 20. 20 2 - Directives et Lois Europe UE - DIRECTIVE NIS 2016 La Directive sur la sécurité des réseaux et des systèmes d'information (NIS) a pour objectif d'atteindre un niveau commun élevé de sécurité des réseaux et des systèmes d’informations dans toute l'Union Européenne. La NSI2 a renforcé les capacités nationales de cybersécurité de l’UE, obligeant les États membres à élaborer une stratégie nationale de cybersécurité, à mettre en place des équipes de réponse aux incidents de sécurité informatique (CSIRT) et à désigner des autorités nationales compétentes en matière de NSI, améliorant ainsi la cyber résilience des entités publiques et privées dans des secteurs spécifiques et dans l’ensemble des services numériques concernera plus d’entreprises et impliquera leurs cocontractants ; • renforcera les obligations et les sanctions ; • pourrait s’appliquer courant 2024 ; • sera complétée par une directive régissant les infrastructures critiques et par un règlement sur la sécurité informatique du secteur financier. Afrique CONVENTION MALABO 2014 Article 25: Mesures légales 1. Législations contre la cybercriminalité Chaque État Partie s’engage à adopter les mesures législatives et/ou réglementaires qu'il jugera efficaces en considérant comme infractions criminelles substantielles des actes qui affectent la confidentialité, l'intégrité, la disponibilité et la survivance des systèmes technologies de l’information et de la communication et les données qu’ils traitent et des infrastructures réseau sous-jacentes, ainsi que les mesures procédurales qu'il jugera efficaces pour rechercher et poursuivre les contrevenants. Maroc La loi 05-20 CYBERSECURITE vise la mise en place d’un cadre juridique préconisant aux entités un socle minimal de règles et de mesures de sécurité afin d’assurer la fiabilité et la résilience de leurs Systèmes d’Information. Elle a aussi pour objectifs le développement de la confiance numérique, la digitalisation de l’économie et plus généralement l'assurance de la continuité des activités économiques et sociétales de notre Pays. Et ce, afin de favoriser le développement d’un écosystème National de cybersécurité
  • 21. 21 2 - Directives et Lois Europe FR - la loi n°2013-1168 du 18 décembre 2013, Le Premier ministre définit la politique et coordonne l’action gouvernementale en matière de sécurité et de défense des systèmes d’information. Il dispose à cette fin de l’autorité nationale de sécurité des systèmes d’information, l’ANSSI, rattachée au secrétaire général de la défense et de la sécurité nationale Afrique CI LOI 2013-451 du 19 juin 20/3 Cybercriminalité Art. 2. - La présente loi a pour objet de lutter contre la cybercrlminalité. Art. 3. - Sont soumis aux dispositions de la présente lol, les infractions relatives 4 la cybercriminalité, ainsi que les infractions pénales dont la constatation requiert la collecle d’une preuve électronique. SN LOI 2008-11 du 25 janvier 2008 Cybercriminalité La première partie, consacrée au droit pénal substantiel, comporte trois titres traitant de l’adoption d’infractions spécifiques aux technologies de l’information et de la communication et de l’adaptation de certaines incriminations et de certaines sanctions aux technologies de l’information et de la communication ; ML : La loi n° 2019-056 du 5 décembre 2019, portant Répression de la Cybercriminalité. Elle s’applique à « toute infraction commise au moyen des technologies de l’information et de la communication (TIC) en tout ou partie sur le territoire de la République du Mali, toute infraction commise dans le cyberespace et dont les effets se produisent sur le territoire national » (article 2). Maroc Décret n° 2-21-406 du 15 juillet 2021 Ce décret vise principalement à définir les mesures de protection des systèmes d'information des administrations de l'Etat, des établissements et entreprises publics et toute autre personne morale de droit public, ainsi que ceux des infrastructures d'importance vitale et des opérateurs privés.
  • 22. 22 Cybersécurité UIT – CGA : Mesures juridiques Directives & Lois Gouvernance Organisations concernées Obligations Sanctions Annexes 1 2 3 4 5 6 7
  • 23. 23 3.1 - Gouvernance Europe UE NIS Article 7-1b : un cadre de gouvernance pour atteindre les objectifs et les priorités de la stratégie nationale sur la sécurité des réseaux et des systèmes d'information, y compris les rôles et responsabilités des organes gouvernementaux et des autres acteurs concernés ; Afrique CONVENTION MALABO Article 27 : Structures nationales de suivi de la cybersécurité 1. Gouvernance de la cyber sécurité Chaque État Partie s’engage à adopter des mesures nécessaires pour mettre en place un dispositif institutionnel approprié pour une prise en charge de la gouvernance de la cyber sécurité. La gouvernance de la cybersécurité devra être établie en fonction d’un cadre national qui soit en mesure de répondre aux défis perçus et à toute question relative à la sécurité de l'information au niveau national dans le plus grand nombre possible de domaines de la cybersécurité. Maroc Article 35 : Comité stratégique – élaborer et évaluer les orientations stratégiques de l’Etat en matière de cybersécurité et veiller sur la résilience des systèmes d’information des entités, des infrastructures d’importance vitale et des opérateurs Article 36 : Comité de Gestion de Crise Est chargé d’assurer une intervention coordonnée en matière de prévention et de gestion de crise par suite d’incidents de cybersécurité.
  • 24. 24 3.2 - Gouvernance Europe FR : ANSSI Service du Premier ministre, rattaché au Secrétariat général de la défense et de la sécurité nationale (SGDSN), l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité nationale chargée d’accompagner et de sécuriser le développement du numérique. Acteur majeur de la cyber sécurité, l’ANSSI apporte son expertise et son assistance technique aux administrations et aux entreprises avec une mission renforcée au profit des opérateurs d’importance vitale (OIV). Elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques. CERT-FR assure le rôle de CSIRT gouvernemental français. Il est membre du FIRST qui est le réseau international des CERT et de la TF-CSIRT qui est son pendant européen. Le CERT-FR est l’émanation de la composante de réaction aux incidents informatiques de l’ANSSI au sein de la communauté des CSIRT depuis 2002. Afrique CI : ARTIC - Autorité de Régulation des Télécommunications & TIC a été créée par l’Ordonnance n°2012-293 du 21 mars 2012 • Elle est une autorité administrative indépendante dotée de la personnalité juridique et de l’autonomie financière • Outre ses missions de régulation des télécommunications, l’ARTCI s’est vue confiée de nouvelles prérogatives notamment : • Protection des données à caractère personnel; • Lutte contre la cybercriminalité; • Régulation des transactions électroniques; • Protection et sécurisation des réseaux et systèmes d’information CI-CERT (janv. 2020) est le point focal national en matière de cybersécurité et agit comme le principal centre de coordination de la réponse aux incidents de sécurité et la protection des infrastructures critiques nationales. Au plan international, il collabore avec tous les points focaux de l’écosystème des CERT. Maroc Article 38 : Autorité Nationale (DGSSI) coordonner les travaux relatifs à l’élaboration et à la mise en œuvre de la stratégie de l’Etat et veiller à l’application des orientations du comité stratégique de la cybersécurité ; maCERT (Moroccan Computer Emergency Response Team) est le centre de veille, détection et réponse aux attaques informatiques. La Direction de gestion de ce centre qui fait partie des quatre directions de la DGSSI est chargée de la mise en œuvre, en relation avec les autres administrations, de systèmes de veille, de détection, d'alerte des événements susceptibles d'affecter la sécurité des systèmes d'information de l'Etat et de la coordination de la réaction à ces événements
  • 25. 25 3.3 - Gouvernance Europe Afrique Maroc SN : le Gouvernement du Sénégal mettra en place une structure nationale de la cybersécurité chargée de jouer un rôle moteur dans les questions de cybersécurité et de conduire la mise en œuvre et la coordination des initiatives relatives à la cybersécurité pour le Sénégal. L’Agence De l’Informatique de l’Etat (ADIE) est une structure autonome chargée de mettre en œuvre la politique d'informatisation de l’Etat du Sénégal. Sa mission principale est de doter l’Administration d’un dispositif cohérent de traitement et de diffusion de l’information, répondant aux normes internationales en matière de qualité, de sécurité, de performance et de disponibilité CSIRT de l’ADIE intervient sur un périmètre bien déterminé : l’intranet administratif. L’équipe doit activement s’impliquer dans la gestion de la cybersécurité, dans l'appropriation des connaissances nécessaires en matière de gestion proactive et réactive des incidents de cybersécurité, dans la mise en place des politiques nécessaires pour sa cybersécurité, ou encore la mise en pratique de méthodes de travail adéquates à une culture de la cybersécurité au sein de l’intranet administratif. .
  • 28. 28 Cybersécurité UIT – CGA : Mesures juridiques Directives & Lois Gouvernance Organisations concernées Obligations Sanctions Annexes 1 2 3 4 5 6 7
  • 29. 29 4 – Organisations concernées Europe La Directive NIS s'applique à : OPÉRATEURS DE SERVICES ESSENTIELS (OES - Operators of Essential Services) implantés dans l'Union Européenne FOURNISSEURS DE SERVICE NUMÉRIQUE (DSP - Digital Service Providers) offrant des services à des personnes au sein de l'Union Européenne La Directive ne concerne pas les DSP considérés comme des petites entreprises ou des microentreprises (entreprises employant moins de 50 personnes dont le chiffre d’affaires annuel ou dont le bilan total est inférieur à 10 millions d’euros). FR : La cybersécurité des OIV s’intègre dans le dispositif interministériel plus large de sécurité des activités d’importance vitale (SAIV) inscrit dans le code de la défense. Ce dispositif a permis d’identifier les opérateurs d’importance vitale (OIV), privés et publics, qui exploitent ou utilisent des installations jugées indispensables pour la survie de la Nation. L’article 22 de la loi de programmation militaire (loi n° 2013-1168 du 18 décembre 2013), impose aux OIV le renforcement de la sécurité : les systèmes d’information d’importance vitale (SIIV). Afrique INFRASTRUCTURES CRITIQUES Chaque État Partie s’engage à adopter des mesures législatives et/ou réglementaires qu'il jugera nécessaires pour identifier les secteurs considérés comme sensibles pour sa sécurité nationale et le bien-être de l'économie et des systèmes technologies de l’information et de la communication désignés pour fonctionner dans ces secteurs comme constituant des infrastructures critiques de l'information, en proposant à cet égard une sanction plus sévère pour les activités criminelles sur les systèmes TIC dans ces secteurs et également des dispositions pour améliorer la vigilance, la sécurité et la gestion. CI : Protection du cyberespace, des systèmes d’information nationaux et des infrastructures critiques SN : renforcer la protection des infrastructures d'information critiques (IIC) et les systèmes d'information de l’Etat du Sénégal Maroc ENTITE : les administrations de l’état, les collectivités territoriales, les établissements et entreprises publics et toute autre personne morale de droit public IIV : Infrastructures d’importance vitale : les installation, les ouvrages et les systèmes qui sont indispensables au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social, et dont le dommage ou l’indisponibilité ou la destruction aurait un impact induisant la défaillance de ces fonctions OPERATEURS : les exploitants des réseaux publics de communication, les fournisseurs d’accès internet, les prestataires de cybersécurité, les prestataires de services numériques et les éditeurs de plateformes internet
  • 30. 30 Cybersécurité UIT – CGA : Mesures juridiques Directives & Lois Gouvernance Organisations concernées Obligations Sanctions Annexes 1 2 3 4 5 6 7
  • 31. 31 5 – Obligations Europe La directive UE repose sur un triple objectif : i) fixer des obligations aux États membres en matière de prévention et de gestion de risques et incidents touchant les réseaux et systèmes informatiques, ii) faciliter la coopération entre les États membres pour garantir l’harmonisation des règles de cybersécurité au sein de l’UE et, iii) établir des exigences en matière de sécurité pour “les acteurs du marché”. La LPM 2014-2019 française prévoit : les OIV ont l’obligation de mettre en œuvre des systèmes qualifiés de détection des évènements susceptibles d’affecter la sécurité de leurs systèmes d’information. A la charge des OIV, une obligation de déclarer sans délai au Premier ministre les incidents affectant le fonctionnement ou la sécurité de leurs SI. Les OIV doivent, d’une part respecter les règles et mesures de sécurité élaborées par le Premier ministre et, d’autre part soumettre leur SI à des audits destinés à vérifier le niveau de sécurité et le respect des règles de sécurité. Afrique MALABO Art.25 : Protection des infrastructures critiques Chaque État Partie s’engage à adopter des mesures législatives et/ou réglementaires qu'il jugera nécessaires pour identifier les secteurs considérés comme sensibles pour sa sécurité nationale et le bien-être de l'économie et des systèmes technologies de l’information et de la communication désignés pour fonctionner dans ces secteurs comme constituant des infrastructures critiques de l'information, en proposant à cet égard une sanction plus sévère pour les activités criminelles sur les systèmes TIC dans ces secteurs et également des dispositions pour améliorer la vigilance, la sécurité et la gestion. Maroc Voir obligations tableaux suivants ART. 17. Chaque entité ou infrastructure d’importance vitale informe l’autorité nationale de son responsable de la sécurité des systèmes d’information – identifier et analyser les enjeux et les risques de cybersécurité en tenant compte des évolutions réglementaires et techniques ; – définir les objectifs de cybersécurité en collaboration avec les parties prenantes et élaborer les mesures de sécurité appropriées – participer à l’élaboration et au suivi de la politique de sécurité des systèmes d’information en collaboration avec les parties prenantes ; – définir un plan d’actions annuel ou pluriannuel, pour la mise en œuvre de la politique de sécurité des systèmes d’information ; – assurer le suivi de la gestion des incidents de cybersécurité ; – rapporter régulièrement à sa hiérarchie les risques de sécurité des systèmes d’information – animer des sessions de sensibilisation au profit du personnel
  • 35. 35 Cybersécurité UIT – CGA : Mesures juridiques Directives & Lois Gouvernance Organisations concernées Obligations Sanctions Annexes 1 2 3 4 5 6 7
  • 36. 36 6 - Sanctions Europe La Directive européenne précise que les Etats membres fixent eux-mêmes les sanctions applicables. Il est intéressant de souligner que le texte amendé par le Parlement européen dispose que lorsque les acteurs du marché ne respectent pas les obligations, mais qu’ils n’ont pas agi de manière intentionnelle ou à la suite d’une négligence grave, aucune sanction ne doit être prononcée FR Loi Programmation Militaire (LPM) 2014- 2019 sanctionne les manquements à la loi d’une amende de 150.000€, s’élevant à 750.000€ pour les personnes morales Afrique Convention Malabo Article 31 L’adaptation de certaines sanctions aux Technologies de l’Information et de la Communication 1. Sanctions pénales Les État Parties s’engagent à prendre des mesures nécessaires pour faire en sorte que les infractions prévues par la présente Convention soient passibles de sanctions pénales effectives, proportionnées et dissuasives. SN Article 431-8. Quiconque aura accédé ou tenté d’accéder frauduleusement à tout ou partie d’un système informatique, sera puni d’un emprisonnement de six (6) mois à trois (3) ans et d’une amende de 1.000.000 (1 500 €) à 10.000.000 francs (15 000 €) Maroc Voir détail tableau slide suivant MA Hébergement des données sensibles en dehors du territoire national, en violation de l’article 11 : 20 à 40 000 € Manque aux obligations de déclaration des incidents, en violation des dispositions prévues aux articles 8, 30 & 33 : 10 à 20 000 €
  • 37. 37 6 – MA : Sanctions