Plan de Protection des Infrastructures d’Information Critiques

Tiré du Decret 2021-916 du 22 Décembre 2021, en République de Côte d’Ivoire.

Préambule

Dans le contexte socio-économique et sociétal actuel, la survie d’une nation dépend grandement de sa capacité à fournir des services, produits et prestations les plus critiques aux populations. Garantir un fonctionnement continu des infrastuctures critiques qui sous-tendent la fourniture de services ou le maintient des fonctions vitales pour la nation est un enjeu crucial qui s’inscrit indéniablement au premier rang des missiosns régaliennes de l’Etat.

Le boom technologique de ces dernières années a entraîné en Côte d’Ivoire, une rmigration progressive des services critiques t fonctions vitales de l’Etat vers les technologies dite du “numérique”. En effet, à l’instart de bien de pays en développement, la Côte d’Ivoire affiche un appétit croissant et une dépendance grandissante aux Technologies de l’Information et de la Communication. Ces technologies sont bien plus qu’un outil confiné à un secteur particulier, car elles interpénètrent l’ensembles des secteurs de l’économie et quasiment tous les domaines de la vie des populations. Une défaillance, un arrêt de fonctionnement ou une destruction de ces infrastructures critiques aura sans nul doute des conséquences extrêment dommageables sur l’économie, la stabilité socio-politique, la sécurité, la santé des populations, etc.

Si la protection des infrastrutures critiques traditionnelles (routes, autoroutes, ponts, aéroports, barrageshydroélectriques, etc.) est un exercices “classique” pratiqué par l’Etat depuis de nombreuses années, force est de constater que l’apparition des technologies de l’information et de la communication a entraîné de profonds changement dans la manière de concevoir cette activité. En effet, les menances sont protéiformes, distribuées avec un spectre largement plus important, partant des risques d’attaques physiques (destructions physiques d’infrastrutures) aux attaques logiques (destruction des systèmes d’information, vol de données, compromission du fonctionnement des logiciels, etc.). De plus, il est évident que la majeures partie des informations critiques au sein de notre société sont soit détenues, soit gérées au quotidien par des opérateurs privés. Ceci dit, le secteur privé joue un rôle primordial dans cette dynamique de protection des intérêts et de la statbilité du pays.

Fort des missions de sécurisation des réseaux et systèmes d’information à elle confiée par la loi 2013-546 du 30 Juillet 2013 relative aux transactions électroniques, l’Etat ivoirien a chargé l’Autorité de Régulation des Télécommunications/TIC de Côte d’Ivoire (ARTCI) de la mise en oeuvre d’un plan de protection des infrastructures critiques de télécommunication/TIC nationales, dans sa stratégie nationnale de cybersécurité. Le présent plan de protection des infrastructures d’information critiques a pour vocation de servir de cadre de référencedans le domaine de la protection des infrastructures critiques. Il définit le champ d’application et les concepts clés pour une compréhension harmonisée dudit plan.

---

I. Champ d’application et définition des concepts

1) Champ d’application

Le présent plan de protection des infrastructures d’information critiques s’applique à l’ensemble des [organisations/entités] installées sur le territoire national qui détiennent ou exploitent une infrastructures critique.

2) Définition des concepts clés

• Infrastructures critiques : Les installations physiques et des technologies de l’information,les réseaux, les services et les actifs qui, en cas d’arrêt ou de destruction peuvent avoir de graves incidences sur la santé, la sécurité ou le bien-être économique et social des citoyens ou encore sur le fonctionnement continu des services de l’Etat. (Article 1 de la loi 2013-451 du 19 Juin 2013 relative à la lutte contre la cybercriminalité)

• Exploitant d’infrastructures critiques : Organisation opérant à titre de services public ou privé une infrastructure critique.

• Criticité d’une infrastructure : Définit le degré d’importance d’une infrastructure dont la défaillance, l’arrêt ou la destruction auraient un impact négatif sur le fonctionnement d’un Etat.

• Plan de protection : Document cadre définissant la stratégie, les objectifs, règles et principes directeurs, ainsi que les mesures à mettre en oeuvre pour atteindre les objectifs de protection sur le plan national.

• Secteurs critiques : Ensemble des services critiques.

• Services critiques : Activités ou prestations gratuites ou rémunérées ou fonctions indispensables au bon fonctionnement de l’Etat ou au bien-être économique ou social des citoyens.

• Plan de continuité d’activité : Document cadre définissant les processus et/ou procédures permettant d’assurer la continuité de l’activité métier.

• Protection des infrastructures d’information critiques : Ensemble de mesures visant à réduire la probabilité de survenue et/ou l’ampleur des dommages d’un dérangement, d’une défaillance ou d’une destruction d’infrastructure critiques ou qui réduisent le plus possible la durée de non-disponibilité.

---

II. Liste des secteurs, sous-secteurs et services critiques

Abréviations	Secteurs	Sous-secteurs	Services
SEn	– Energie	Electricité	– Production – Transport – Distribution
SEn	– Energie	Pétrole	– Extraction – Raffinage – Transport – Stockage
SEn	– Energie	Gaz naturel	– Extraction – Transport – Stockage – Distribution
SIT	– Informations et technologies de l’information	Technologie de l’information	– Service Web – Data Center – Service Cloud (XaaS)
SIT	– Informations et technologies de l’information	Média	– Radiotélévision – Presse en ligne
SIT	– Informations et technologies de l’information	– Communication	– Voix/Données – Connectivité Internet
SE	– Eau	– Eau potable	– Production et traitement – Stockage de l’eau – Distribution de l’eau
SE	– Eau	– Eaux usées	– Collecte et traitement
SSa	– Santé	–	– Service urgence – Service de consultation – Service épidémiologique, contrôle sanitaire, infection – Fourniture pharmaceutique, vaccin, banque de sang – CMU, CNAM
SFi	– Finances	– Banque et Assurance	– Services financiers – Transfert d’argent – Paiement en ligne – Bourse
SSO	– Sureté et Ordre public	–	– Maintien de l’ordre publique et sécurité
STr	– Transport	– Transport aérien	– Services de navigation aérienne – Opérations aéroportuaires
STr	– Transport	– Transport terrestre	– Transport public
STr	– Transport	– Transport maritime	– Opérations portuaires
SAc	– Adminitration civile	– Gouvernement et institutions – Agences d’Etat	–
SAc	– Adminitration civile	– Autorités administratives indépendantes	–
SDe	– Défense	–	– Défense nationale
Abréviations	Secteurs	Sous-secteurs	Services

---

III. Identification et notification des exploitants d’infrastructures d’information critiques

L’identification et la notification des exploitatants d’infrastructures d’information critiques sont des activités réalisées par l’Autorité de Régulation des Télécommunications/TICde Côte d’Ivoire (ARTCI). Ces activités s’appuient sur les outils méthodologiques du cadre global de protection des insfrastructures d’information critique. Le processus d’identification et de notification se subdivise en cinq phases :

a) Identification (ID)

l’identification des exploitatants d’infrastructure d’information critiques est réalisée en tenant compte des secteurs et sous-secteurs critiques définis dans le présent plan de protection. Les organisations fournisssant un ou plusieurs services critiques sont identifiées et répertoriées.

b) Evaluation (EV)

Les organisations opérant dans un secteur critique et fournissant un ou plusieurs services critiques identifiés dans la phase précédente sont évaluées, afin de déterminer si elles relèvent du champ d’action du plan de protection des infrastructures critiques.

c) Classification (CL)

Les organisations évaluées et définies comme exploitants d’infrastructures d’information critiques sont classifiée par niveau de criticité. Les niveaux de criticité tiennent comptes de l’indice de criticité déterminé après l’évaluation réalisée dans la phase précédente.

La classification est assurée par l’Autorité de Régulation des Télécommunications/TIC de Côte d’Ivoire (ARTCI).

d) Notification (NO)

Les exploitants d’infrastructures d’information critiques sont notifié par l’autorité de l’Autorité de Régulation des Télécommunications/TIC de Côte d’Ivoire (ARTCI). Toutes les informations relatives à la liste aux actifs et autres informations d’un exploitant d’infrastructures critiques sont strictement confidentielles et contiennent des informations dont la révélation est réprimée par les dispositions du code pénal. Ils sont, le cas échéant, couverts par le secret de la défense nationale. Par conséquent, elles ne peuvent être ni publiées, ni divulguées au grand public.

Les courriers de notification sont adressés exclusivement aux destinataires identifiée et désignés comme exploitants d’infrastructure critiques.

e) Mise en oeuvre des mesures de protections (MP)

Les organisations désignées comme exploiatant d’infrastructures d’information critiques mettent en oeuvre les directives de protection en coordinataion avec l’Autorité de Régulation des Télécommunications/TIC de Côte d’Ivoire (ARTCI).

---

IV. Principes de protection des infrastructures d’information critiques

La protection des infrastructures d’information critiques décrite dans le présent plan est basée sur trois (03) principes fondateurs, à savoir : 1) approche globale de gestion des risques, 2) régulation à responsabilité partagée des acteurs, 3) partenariat public-privé.

1) Approche globale de gestion des risques

L’approche fondée sur la gestion des risques décrite dans le cadre de ce plan peut être appliquée à tous types de menaces et danger, y compris les incidents de sécurité informatique, les catastrophes naturelles, les menances d’origines humaineset les actes terroristes, bien que différentes informations et méthodologies puissent être utilisées pour comprendre chacune d’elles. (cf. annxe A)

Le cadre de gestion des risques liés aux infrastructures critiques n’est pas destiné à remplacé les modèles ou processus déjàs utilisés. Il préconise plutôt une approche communue pour la gestion des risques, que tous les partenaires d’infrastructures critique doivent utiliser, mettre en relation et harmoniser avec leurs propres modèles et activités de gestion des risques. Par aileurs, il peut être adapté et appliqué à un actif, à un système, à un réseau ou à une base fonctionnelle, en fonction des caractéristiques fondamenetales des décisions à prendre en charge et de la nature de l’infrastructure associée.

Les activités à réaliser dans cette approche de gestion des risques sont :

• Faire l’état des lieux : Identifier les actifs, les systèmes et les réseaux qui contribuent aux fonctionalités critiques et collecter des informations pertinenentes pour la gestion des risques, y compris l’analyse des dépendances et des interdépendances ;

• Fixer des buts et des objectifs : Définir des résultats, conditions, points finaux ou objectifs, indicateurs de performance spécifiques décrivant collectivement une posture de gestion des risques efficace et souhaitée ;

• Evaluer et analyser les risques : Evaluer le risques en tenant compte des conséquences directes et indirectes potentielles d’un incident, des vulnérabilités connues de diverses menaces ou dangers et de l’information générale ou spécifique sur la menace ;

• Mettre en oeuvre des activités de traitement des risques : Prendre des décisions et mettre en oeuvre des approches de gestion des risques pour contrôler, accepter, transférer ou éviter les risques. Les approches peuvent inclure des activités de prévention, de protection, d’atténuation, d’intervention et de rétablissement ;

• Mesurer l’efficacité : Utiliser des paramètres et d’autres procédures d’évaluation pour mesurer les progrès et évaluer l’efficacité des efforts déployés pour sécuriser et renforcer la résilience des infrastructures critiques.

2) Régulation à responsabilité partagée des acteurs

Le mode de régulation de la protection des infrastructures d’information critiques adopté dans le présent plan est basé sur la postrure centriste du continuum de régulation. Ladite posture correspond à la délégation de la protection des infrastructures critique à une agence ou une autorité nationale tout en privilégiant l’adhésion volontariste du secteur privés à travers la négociation et la coorpération participative à la définition des règles et principes de protection. En effet, l’Etat, à travers l’Autorité de Régulation des Télécommunications/TIC de Côte d’Ivoire (ARTCI), initie les réflexions et travaux relatifs à la protection des infrastructures critiques, mène des consultataions, voire même des négociations avec les entités réglementées du secteur privé. Cette approche a pour avantage de mettre au coeur de l’action les acteurs du secteur privé, afin de favoriser un partage des compétences pour le développement continuel du marché et de l’économie. De plus, elle implique un plus grand engament et une meilleures prise en compte des spécificités des acteurs opérationnels, afin de proposer des mesures et dispositions les plus adaptées.

En somme, l’Etat conserve son pouvoir discrétionnaire et exerce ses missions régaliènnes de protection en echerchant la plus grande acceptation et donc la conformité du marché.

3) Partenariat public-privé

La protection des infrastructures d’information critiques en Côte d’Ivoire implique absoluementune collaboration accrue entre les acteurs concernés, que ce soit ceux du secteur public, du gouvernement, de l’administration ou du secteur privé. Les mesures de protection sont dans la mesure du possible élaborées, appliquées, voire financées en commun en tenant compte des spécificités de chaque acteur. Les conventions et ententes de coopération entre le public et le privé doivent être établies dans tous les domaines de la protection des infrastructures critiques, singulièrement quand il s’agit de projet de construction de nouvelles infrastructures physiques critiques, de modification des conditions de fournitures de services critiques, de renforcement des capacitées, de partage de l’information, et d’élaboration des directives et des normes de protection.

---

V. Directives de protection

L’Autorité de Régulation des Télécommunications/TIC de Côte d’Ivoire (ARTCI) joue le rôle de coordinateur principal du plan de protection des infrastructures critiques, en étroite collaboration avec les instances compétentes , notamment les comités stratégiques sur la cybersécurité, groupes de travail, etc. Le rôle de l’ARTCI consiste essentiellement t à définir en collaboration avec l’ensemble des acteurs impliqués, les lignes directrices et les principes de gestion du plan de protection des infrastructures critiques.

Cependant, il appartient à chaque responsable de département ministériel ou secteur critique, de traduire en exigences sectorielles, les lignes directrices du plan de protection des infrastructures d’information critiques. Aussi, dans une approche d’adhésion et de participation volontariste, tous les acteurs opérationnels (propriétaires ou gestionnaires d’infrastructures critiques) s’engagent-ils à mettre en oeuvre les exigences de protection, afin d’atteindre les objectifs fixés. Les présentes lignes directrices tiennent comptes des objectifs de sécurité définis à la section “objectifs”.

Objectif stratégique 1 : Développer les capacités de résilience

1.1. Identification des infrastructures d’information critiques et fixation des priorités de protection

But

La mise en oeuvre de toutes mesures roactives ou réactives implique nécessairement une bonne connaissance des infrastructures les plus essentielles pour la founiture des services critiques. Cet effort de connaissance détaillée des infrastructures clés permet également d’améliorer la rationalisation des ressources allouées en fonction de leur sensibilité et de leur criticité.

Résultats attendus

• Les infrastructures critiques nationales sont identifiées et classifiées ;

• Les priorités de traitement de l’information relative à la gestion administrative et opéationnelle de ces infrastructures critiques sont fixées.

1.1.1. Etablir un inventaire des infrastructures (réseaux, installations physiques, technologies, actifs, services, applications, ressources humines, etc.) indispensables à la fourniture de services critiques

Chaque organisation désignée et notifiée comme opérateur ou gestionnaire d’infrastructures critiques établi un registre tenu à jour et revu selon unepériodicité de six (6) mois, de toutes ses infrastructures critiques. Le registre liste l’ensemble des infrastructure critiques et définit les priorités et objectifs de sécurité (confidentialité, intégrité, disponibilité) à mettre en oeuvre.

Le registre des infrastructures critiques est communiqué au responsable sectoriel de la protection des infrastructures critiques et à l’ARTCI, dans les conditions de sécurité et de confidentialité prévues dans le cadre du présent plan de protection.

1.2. Analyse des risques et connaissance des menaces et vulnérabilités pesant sur les infrastructures critiques

But

Les mesures à prendre doivent être en cohérence avec la nature des menaces, risques et vulnérabilités auxquelles les infrastructures sont soumises. A cet effet, il est capital d’effectuer une analyse des risques globale du point de vue du contexte interne et de l’état des connaissances des vulnérabilités et risques intra-sectorielles. Une bonne analyse des risques est l’élément clé pour la mise en oeuvre de mesures de protection adaptées à la menace et une définition précise des priorités.

Résultats attendus

• Les risques pesant sur les infrastructures critiques sont connus et les priorités sont définies ;

• Les mesures de traitement des risques (réduction, maintien, refus, transfert) sont clairement définies pour chaque infrastructure critique.

1.2.1.Effectuer une analyse des risques complète

Chaque organisation désignée et notifiée comme opérateur ou gestionnaire d’infrastructures critiques effectue une étude complète des risques sur tout le périmètre couvrant ses infrastructures critiques.

L’analyse des risques est renouvelée au moins tous les six (06) mois et les rapports mis à jour.

1.3. Traitement des incidents de sécrurité

But

Les incidents de sécurité doivent être taités avec la plus grande célérité en fonction du niveau de sévérité et des impacts directs et indirects sur la qualité, et la disponibilité du service critique fourni. Les capacités de réponses doivent absoluement être disponibles et opérationnelles, afin de limiter l’impact des incidents quand ils sont déclarés.

Résultats attendus

• Les capacités de réponses aux incidents sont définies, disponibles et opérationnelles ;

• Les mesures de prévention, de détection et de prévension des incidents sont définie et mises en oeuvre.

1.3.1. Etablir un accord formel de partenarial avec le CERT national (CI-CERT)

Chaque organisation désignée et notifiée comme opérateur ou gestionnaire d’infrastructures critiques établit un accord formel de collaboration avec le CI-CERT dans le cadre de la gestion des incidents. Cet accord définit les domaines clés de la collaboration entre le CI-CERT et les équipes opérationnelles de sécurité, à savoir au minimum et sans s’y limiter :

• Définition et établissement d’un canal de communication sécurisé pour le partage d’informations sensibles
• Partage d’informations spécifiques sur les vulnérabilités et les failles de sécurité
• Mutualisation des ressources de formation et de renforcement des capacité
• Traitement des alertes d’incidents

1.3.2. Désigner un référent cybersécurité

Chaque organisation désignée et notifiée comme opérateur ou gestionnaire d’infrastructures critiques désigne un référent cybersécurité, qui joue le rôle de point de contat entre l’ogranisation et les autorités compétentes (ARTCI, Responsable sectoriel à la cybersécurité, CI-CERT, etc.). Le référent cybersécurité est désigné pour ses connaissances en matière de cybersécurité et son aptitude à traiter les informations en consédration de leur haut niveau de confidentialité et de sensibilité.

La sélection du référent cybersécurité fait l’objet d’une attention toute particulière de la par de l’organisation désignée et notifiée comme opérateur ou gestionnaire d’infrastructures critiques.

1.3.3. Mettre en oeuvre des mesures techniques dédiées au traitement des incidents

Chaque organisation désignée et notifiée comme opérateur ou gestionnaire d’infrastructures critiques met en place un système d’information spécifique pour traiter les incidents, notamment pour stocker les relevés techniques relatifs aux analyses des incidents.

Les relevés techniques relatifs aux analyses des incidents sont transmis, sans délai, à l’Atorité de Régulation des Télécommunication/TIC de Côte d’Ivoire et conservés pendant une durée d’aumoins six (06) mois.

Les relevés techniques sont des documents strictement confidentiels susceptibles de contenir des informations dont la révélation est réprimée par les dispositions du code pénal. Ils sont, le cas écheant, couverts par le secrét de la défense nationale.

Les incidents de sécurité affectant leurs systèmes d’information sont communiqué sans délai dès qu’ils en ont eu connaissance.

1.3.4. Mettre en oeuvre des mesures techniques de détection des incidents de sécurité

Chaque organisation désignée et notifiée comme opérateur ou gestionnaire d’infrastructures critiques met en oeuvre, un système de détection d’incidents de sécurité.

Le traitement des alertes enregistrées par ses propres systèmes de détection ou transmises par le CI-CERT, fait l’objet d’une procédure formelle clairement définie et mise en oeuvre en cas d’alert. Le référent cybersécuritée est garant de la mise en oeuvre de la procédure de traitement des alerts.

Les alertes enregistrées pas ses propres moyens sont immédiatement communiquées à l’ARTCI quand celles-ci présentent une menace pour un ou plusieurs autres secteurs critiques.

1.4. Evaluation de la sécurité du système d’information

1.4.1. Réaliser un audit annuel de la sécurité des système d’information

Chaque organisation désignée et notifiée comme opérateur ou gestionnaire d’infrastructures critiques commandite chaque année, au moins un ausit de sécurité du système d’information réalisé par un prestataire d’audit de sécurité des système d’information agréé par l’ARTCI.

Conformément aux dispositions règlementaires, les rapports d’audit sont transmis à l’ARTCI et conservés dans des conditions de sécurité adéquates.

1.4.2. Certifier son système d’information corformément aux exigences de l’ARTCI

Le processus de certification du système d’information est défini par l’ARTCI. il résente une démarche d’évaluation complète de la sécurité du système d’information et de la conformité avec les exigences du Référentiel Général de Sécurité des Systèmes d’Information.

1.5. Gestion des crises

But

Les nombreux exemples de graves crises vécues par des organisations de tout type et de toute taille, montrent que celles qui ont mis en oeuvre une démarche visant à garantir la continuité de leur activité sont les plus résulientes faces aux événement destabilisant. Dans le cadre de la protection des infrastructures critiques, la mise en oeuvre d’une telle démarche est un gage incontestable de la confiance des citoyens en général, de la stabilité socio-economique et du fonctionnement continu des services de l’Etat. Les capacités de gestion de crise sont un bon socle pour conduire la réslience de l’ogranisation des infrastructures critiques nationales.

Résultats attendus

• Les moyens et procédures de gestion de crise sont définis et évaluées

• Des mesures sont prises pour garantir la continuité des activités, et le fonctionnement des infrastructures critiques même en cas de graves crises.

1.5.1. Définir une procédure et une cellule de gestion de crise

Chaque organisation désignée et notifiée comme opérateur ou gestionnaire d’infrastructures d’information critiques met en place une cellule de gestion des crises. La cellule de gestion des crises a pour rôle de contribuer à maîtriser l’incertitude durant la survenance d’une crise, afin de favoriser la prise des décisions les plus rationnelles et adaptées à l’ampleur de l’incident. Elle comprend notamment les fonctions, rôles et responsabilités suivantes :

• suivi et analyse de la situation,
• anticipation,
• cellues techniques (ou processus) capables d’analyser les conséquences sur les métiers et activités,
• cellule d’aide à la décision (capable de simuler différentes réponses possibles, à différents paliers de la crise, et de proposer la meilleure solution, dans un contexte d’incertitude,
• cellule de décision,
• cellule de coordination et de suivi des actions,
• cellule de relation avec les parties prenantes (dont l’Etat et les partenaires),
• cellule de communication avec les média.

Une procédure de gestion des crises décrivant les moyens de communication, les rôles et responsabilités, l’annuaire de crise (contacts des personnes jouant un rôle dans le processus de gestion de crises) est également défini.

1.5.2. Définir un plan de continuité d’activité (PCA)

Chaque organisation désignée et notifiée comme opérateur ou gestionnaire d’infrastructures critiques définit un plan de continuité d’activité (PCA) qui vise à décliner la stratégie et l’ensemble des dispositions qui sont prévues pour garantir la reprise et la continuité de ses activités critique à la suite d’un sinistre ou d’un événement perturbant gravement son fonctionnement normal.

Le PCA est tenu à la disposition de l’ARTCI et du responsable sectoriel de la cybersécurité.

Objectif stratégique 2 : Maintenir la sécurité économique et la stabilité socio-politique

2.1. Renforcement des capacités des ressources humaines

But

La compétence des personnels affectés à l’administration, la gestion technique et opérationnelles des infrastructures critiques doivent être continuellement mises à niveau, à mesure que les technologies, les techniques d’attaques, les menaces, les besoins de qualité de service évoluent. Si le facteur humain est d’une manière générale le maillon faible de la sécurité, il est indispensable de mettre un accent particulier sur la formation et la sensibilisation des resources humaines, surtout celles ayant un rôle direct dans la gestion des infrastructures critiques.

Résultats attendus

• Des moyens et planning de renforcement des capacités des personnnels affectés à la gestion opérationnelles des infrastructures critiques sont définis et disponibles ;

• Les ressources humaines affectées à la gestion opérationnelles des infrastructures critiques sont allouées de manière rationnelles et cohérente avec la charges de travail.

2.1.1. Etablir un plan de formation annuel spécifique pour les personnels affectés à la gestion opérationnelle des infrastructures d’information critiques

Chaque organisation désignée et notifiée comme opérateur ou gestionnaire d’infrastructures critiques d’information définit et met en oeuvre un plan de formation annuel spécifique pour les personnels affectés à la gestion opérationnelle des infrastructures critiques. Ceci passe tout d’abord par l’identification et la catégorisation de ces personnels et par la définition de cycles de formations métier.

2.1.2. Réaliser des sessions de sensibilisation interns sur la sécurité de l’information

Les sessions de formation et de sensibilisation en sécurité de l’information sont à privilégier pour l’ensemble des personels, quel qu’en soit la fonction et le domaine d’activités. Chaque organisation désignée et notifiée comme opérateur ou gestionnaire d’infrastructures critiques d’information réalise des sessions de sensibilisation à la sécurité de l’information à l’attention de tous les personnels techniques, administratifs ou de support.

2.2. Grouvernance de la protection des infrastructures d’information critiques

But

Pur être efficace, toute startégie doit être clairement définie dans ses objectifs, les rôles et responsabilité définis et attribués, les ressources clairement définies et mises à disposition.

Résultats attendus

• Un cadre formel de protection des infrastructures d’information critiques est élaboré ;

• Les rôles et responsabilités sont clairement définis et communiqus aux acteurs ;

• Les mécanismes d’évaluation sont clairement définis.

2.2.1. Elaborer un plan annuel de sécurisation (PAS)

Le plan annuel de sécurisation constitue le document cadre de la stratégie de l’organisation pour la sécurisation de ses infrastructures critiques d’information. A cet effet, chaque organisation désignée et notifiées comme opération ou gestionnaire d’infrastructures critiques définit en début de chaque années d’exercice, un plan annuel de sécurisation qui comprend l’ensemble des exigences, actions et lignes directrices contenues dans le présent plan de protection.

Le plan comporte également un plan d’action qui défini les actions prévues pour atteindre les objectifs de protection établis sur les différentes infrastructures critiques d’information, ainsi que les moyens prévus à cet effet et les responsabilités attribuées à chacun des acteurs dans le cadre de la mise en oeuvre du plan.

Objectif stratégique 3 : Renforcer la confiance des consommateurs dans la fiabilité de la chaine de fourniture et d’approvisionnement des services critiques

3.1. Collaboration et partage des informations inter-sectorielles / Intra-sectorielle

But

Une collaboration et un cadre d’échange permanent sur les risques et les meilleures techniques et mesures de protection possibles est très important entre les différents secteurs et opérateurs d’infrastructures critiques. La collaboration et la communication entre les exploitants, gestionnaires ou propriétaires d’infrastructures critiques et les entités étatiques compétentes est un enjeu majeur de la protection des infrastructures critiques. Cette dernière doit être renforcée.

Résultats attendus

• Des moyens, procédures de communication, de partages d’information entre les exploitants d’infrastructures critiques et les entités étatiques compétentes sont définis et mis en oeuvre ;

• La coopération internationale est renforcée.

3.1.1. Créer des groupes de travail sectoriels

L’Autorité de Régulation des Télécommunications/TIC de Côte d’Ivoire et les responsables sectoriels à la protection des infrastructures d’information critiques, mettent en place et animent des groupes de travail et des cadres d’échange permanents entre les différents exploitants d’infrastructures critiques d’information.

3.1.2. Etablir des liens formels de coopération avec les groupes ou organisations spécialisées en matière de cybersécurité/sécurité de l’information, tels que les CIRT, FIRST, CSIRT, CERT, Groupe de travail, organisation internationales, etc.

Chaque organisation désignée et notifiée comme opérateur ou gestionnaire d’infrastructures d’information critiques établit des conventions formelles de coopération avecles organisations spécialisées en matière de cybersécurité ou de sécurité de l’information, afin de renforcer la coopération internationale et le développement des capacités des personnels opérationnels.

---

VI. Contrôle et révision du PPICI

Le contrôle du plan de protection des infrastructures d’information critiques est assuré par l’Autorité de Régulation des Télécommunications/TIC de Côte d’Ivoire (ARTCI).

Le plan de protection des infrastructures critiques est mis à jour par l’Autorité de Régulation des Télécommunications/TIC de Côte d’Ivoire (ARTCI) conformément aux dispositions du référentiel général de sécurité des systèmes d’information (RGSSI).