Dans deux rapports, The Software Alliance (BSA) montre que la lutte contre les cyber-attaques n’est pas homogène dans les pays d’Europe et d’Asie-Pacifique. BSA estime que la démarche de cybersécurité doit être législative, mais également économique et éducative.
The Software Alliance (BSA) estime que ce n’est qu’en adoptant la “bonne combinaison” entre les lois, les institutions appropriées qui “établissent des orientations claires” et un partenariat publique-privé qu’une politique de cybersécurité peut réussir prévenir, atténuer et répondre aux cyber-attaques.
Dans deux rapports dressant les “tableaux de bords” des politiques de lutte contre les cyber-attaques dans les 28 pays de l’Europe et la l’Asie-Pacifique, BSA, une organisation qui représente plus de vingt grandes sociétés high-tech mondiales comme Microsoft, Siemens, Adobe, IBM, Oracle, Apple et Symantec, montre que les démarches sont sensiblement différentes, et que le volet éducation n’est pas partout adopté comme moyen de lutte et de sensibilisation.
Dans les “Dashboard” (tableaux de bords) des pratiques en matière de cybersécurité, BSA étudie quatre principaux aspects. Il s’agit des : “fondements légaux”, des “entités opérationnelles”, du “partenariat public-privé” (PPP), et de l’aspect “Education”.
Dans le rapport consacré aux 28 pays de l’Europe, BSA constate qu’il existe des “écarts considérables entre les politiques de cybersécurité des Etats membres”, notamment dans les aspects juridiques et de capacités opérationnelles. Si tous les pays de l’UE ont établi des “Computer emergency response teams – CERT” (des Centres de veille, d’alerte et réponse aux cyber-attaques), il existe quand même une “lacune notable” qui est “l’absence de coopération systématique” entre les “entités non gouvernementales et les partenariats public-privé”. Seuls “cinq pays de l’UE” garantissent cette coordination, ajoute le rapport de BSA.
“Seulement 19 des 28 Etats membres (de l’UE) ont plus ou moins des stratégies de cyber-sécurité détaillées, tandis que huit n’ont pas du tout déclaré un tel cadre”. Et “même dans le cas des pays” qui ont des stratégies de cybersécurité “la qualité est variable”, et “beaucoup restent vagues” et manquent “d’un plan de mise en œuvre claire”, ajoute l’étude de BSA.
En outre, BSA constate que “la plupart de ces documents semblent statiques” et que seul “un petit nombre de pays ont déjà révisé et amélioré leurs stratégies initiales et publié une mise à jour”.
Des pays comme la Bulgarie, la Croatie, la Grèce, le Danemark, Chypre, le Portugal, l’Irlande et le Luxembourg, sont les plus mauvais élèves en matière de stratégie de cybersécurité. L’Irlande est le “champion” de cette catégorie, en n’ayant ni législation ni stratégie dans ce domaine, n’a pas établi un CERT.
D’autre part, des pays comme la Grèce, Malte, le Portugal, la Slovénie, le Danemark, la Roumanie et la Suède ne disposent pas encore de “stratégies nationales d’éducation” pour renforcer les connaissances et la sensibilisation accrue de la cybersécurité depuis l’enfance.
Plus de sérieux en Asie-Pacifique
Dans le rapport concernant l’Asie-Pacifique, le tableau de bord des politiques de cybersécurité montre un plus grand sérieux des dix pays de la région qui comprend : l’Australie, la Chine, l’Inde, l’Indonésie, le Japon, la Malaisie, Singapore, la Corée du Sud, Taïwan et le Vietnam. Tous ces pays ont établi des CERT opérationnels qui jouent “un rôle important dans la gestion de la cybersécurité, la déclaration des incidents et les réponses” au menaces, estime l’étude de BSA. “La plupart des marchés ont également engagé des exercices nationaux ou régionaux des exercices de cybersécurité, et il y a seulement un petite nombre de lacunes qui subsistent dans la mise en place des entités opérationnelles qui sont nécessaires pour la gestion de la cybersécurité”, confirme BSA.
Si l’établissement de partenariats public-privé pour la cybersécurité “est reconnu dans la région Asie-Pacifique”, son développement est “encore à un stade très précoce”. « Le Japon et la Malaisie ont ouvert la voie en établissant officiellement des partenariats public-privé pour la cybersécurité, et il y a de forts intérêts (pour cette démarche, ndlr) dans de nombreux autres marchés”, affirme l’étude de BSA.
Le document constate aussi que la région Asie-Pacifique “a consacré beaucoup de ressources à l’éducation en matière de cybersécurité, y compris des programmes novateurs visant à accroître la sensibilisation de la population en général”. Certains pays, comme l’Indonésie et Taiwan, “n’ont pas encore mis en œuvre des stratégies nationales d’éducation dans ce domaine, mais ces lacunes devraient être comblées dans un proche avenir”, estime BSA.
Cependant, l’étude de BSA identifie “un certain nombre de lois” pouvant avoir un “impact négatif sur la gestion de la cybersécurité”. Certaines réglementations “comprennent des exigences locales qui empêchent le développement et l’utilisation de normes internationales appropriées pour les produits de cybersécurité, et des restrictions sur la nationalité des fournisseurs d’équipements”. “Il y a aussi des exigences inutiles de tests locaux qui sont un fardeau supplémentaire sur les produits de cybersécurité qui ont déjà été testés selon les standards internationaux”.
