Principes réglementaires pour la sécurité, la vie privée et la confiance
Rappelant que le respect de la vie privée et la protection des données sont des valeurs fondamentales pour les personnes et les sociétés, et que la Déclaration universelle des droits de l’homme consacre le respect de la vie privée comme un droit fondamental;
Notant qu’aujourd’hui, nous sommes tributaires, dans presque tous les aspects de notre vie quotidienne, des infrastructures et des services TIC et, par conséquent, nous serions touchés si la fiabilité de ces infrastructures et de ces services ne pouvait être assurée; et
Reconnaissant que les violations de données et les incidents de sécurité constituent une tendance inquiétante, qui a des répercussions négatives sur la confiance.
Les participants du GSS ont convenu de:
• Tirer parti des cadres internationaux qui définissent les principes fondamentaux de sécurité, de respect de la vie privée et de confiance, et mettent en place des mécanismes pour mettre en œuvre ces principes;
• Promouvoir l’adoption de technologies renforçant la protection de la vie privée (PET), technologies qui, lorsqu’elles sont intégrées aux infrastructures et services TIC, limitent au maximum le traitement des informations d’identification personnelle;
• Mettre en place des moyens permettant un échange d’informations entre les secteurs public et privé concernant les menaces qui pèsent sur les infrastructures et les services TIC, les bonnes pratiques et les stratégies d’atténuation;
• Mobiliser la communauté internationale et nouer des partenariats afin de donner aux pays davantage de moyens pour se préparer en cas de cyber-attaques, ce qui renforcera leur capacité à détecter les incidents de sécurité et à réagir de façon coordonnée à de tels incidents;
• Trouver un juste équilibre entre la nécessité de protéger la vie privée des personnes et la nécessité de promouvoir une utilisation innovante des données au service de l’économie numérique;
• Contribuer à l’élaboration de normes internationales pour faire face aux problèmes de portée mondiale, conscients du fait que les cyberattaques ignorent les frontières nationales, que les atteintes au respect de la vie privée et à la sécurité sapent la confiance dans les TIC, et que des cadres de sécurité normalisés à l’échelle internationale sont nécessaires pour donner l’assurance que les attributs de sécurité d’un service sont fiables et que les exigences d’un utilisateur quant à sa sécurité et au respect de sa vie privée sont respectées au-delà des frontières.
Comment le secteur privé répond aux attentes des utilisateurs finals en matière de sécurité, de vie privée et de confiance
Réaffirmant que les technologies de l’information et de la communication et de la numérisation offrent des possibilités immenses pour améliorer la vie des personnes et la société;
Reconnaissant que les failles de sécurité, les violations de la vie privée et le manque de confiance dans les infrastructures et les services TIC peuvent gravement menacer l’activité et la réputation d’une entreprise; et
Appelant de leurs vœux l’adoption de normes internationales susceptibles d’être appliquées,
Les participants du GSS sont convenus de ce qui suit:
• Adopter et promouvoir les principes de transparence et d’intégrité technologique. Puisqu’il ne peut y avoir de confiance sans transparence, les utilisateurs devraient pouvoir savoir comment leurs données sont utilisées et décider d’accepter ou non une telle utilisation. L’intégrité technologique va de pair avec la nécessité d’une sécurité renforcée dans les infrastructures et les services TIC; elle appelle des mesures de protection de la vie privée et vise à écarter toute possibilité de fonctionnalités cachées, afin de prévenir toute modification non autorisée des informations et d’instaurer la confiance quant à l’exactitude, l’exhaustivité et la fiabilité des informations;
• Atténuer les risques que posent les botnets de l’Internet des objets (IoT) en ayant recours à des normes de sécurité. Les cas signalés d’utilisation abusive de dispositifs IoT dans des attaques massives par déni de service (DDoS) sont en augmentation. Ces attaques peuvent conduire à des violations des données et nuire considérablement à l’activité économique et à la réputation des organisations touchées. Il faut étudier comment on peut tirer parti des progrès réalisés dans des domaines comme la cryptographie légère ainsi que des méthodes de sécurité normalisées pour atteindre des niveaux de sécurité élevés avec une puissance de calcul limitée;
• Evaluer les incidences de l’informatique quantique sur la sécurité, la vie privée et la confiance et étudier les technologies capables de résister à une attaque quantique. Bien que l’informatique quantique n’en soit qu’à ses débuts, il est communément admis qu’une fois que cette technologie pourra concrètement être utilisée, les méthodes de chiffrement classiques, qui aujourd’hui protègent les paiements en ligne, les opérations bancaires, les conversations électroniques et téléphoniques, pourraient rapidement devenir obsolètes. Le moment est venu d’évaluer les incidences de l’informatique quantique et de faire des recherches, de procéder à des tests, d’élaborer des normes et de se préparer pour opérer une transition vers de nouveaux systèmes de sécurité résistant aux attaques quantiques, et ce bien avant que nos systèmes ne deviennent vulnérables à de telles attaques.
Approche des organismes de normalisation concernant la sécurité, la vie privée et la confiance
Reconnaissant le rôle crucial que jouent les normes dans la sécurité, la protection de la vie privée et l’instauration de la confiance dans les infrastructures et les services TIC;
Soulignant que la sécurité, la vie privée et la confiance sont des sujets d’étude reconnus dans nombre d’organismes internationaux de normalisation qui s’intéressent aux TIC et à d’autres domaines de la technologie; et
Préconisant l’élaboration de normes pour répondre aux problèmes liés à la sécurité, la vie privée et la confiance,
Les participants du GSS sont convenus:
• D’adopter une approche de protection de la vie privée dès la conception, en tenant dûment compte des considérations liées au respect de la vie privée tout au long du processus d’élaboration des normes. Cette approche peut être étayée par des normes qui intègrent des caractéristiques de protection de la vie privée et de protection des données; les normes peuvent aussi se révéler efficaces pour assurer l’interopérabilité des caractéristiques de protection de la vie privée;
• De comprendre le rôle des logiciels à code source ouvert dans les réponses à apporter aux problèmes de sécurité, de respect de la vie privée et de confiance. Les logiciels à code source ouvert et les normes contribuent de façon complémentaire à la croissance et l’innovation dans le secteur des TIC. Les logiciels sont de plus en plus complexes et, bien que les communautés open source et les communautés de normalisation collaborent déjà dans de nombreux domaines, il convient de redoubler d’efforts afin de faciliter les échanges de travaux entre ces communautés et, par là même, garantir une mise en œuvre des logiciels avec des niveaux élevés de qualité et de sécurité;
• De renforcer la collaboration entre les organismes de normalisation en ce qui concerne l’élaboration de cadres internationaux pour la sécurité, la vie privée et la confiance, en reconnaissant leurs forces et leurs mandats respectifs et en tirant parti des travaux en cours. Lesorganismes de normalisation devraient respecter les principes suivants: respect de la régularité des procédures, large consensus, transparence, équilibre et ouverture du processus de normalisation; importance attachée au bien-fondé sur le plan technique; interopérabilité; concurrence et innovation, dans l’intérêt de tous; mise à disposition des normes pour tous; enfin, adoption volontaire des normes. Les organismes de normalisation devraient également unir leurs efforts pour réduire les disparités entre les pays en développement et les pays développés en matière d’accès, mettre en place des normes et des cadres traitant de la sécurité, de la vie privée et de la confiance dans les infrastructures et les services TIC, et participer à leur élaboration sur un pied d’égalité.