LE CONSEIL,

VU l'article 5 (b) de la Convention relative à l'Organisation de coopération et de développement économiques, en date du 14 décembre 1960 ;

VU la Recommandation du Conseil concernant les Lignes directrices régissant la sécurité des systèmes et réseaux d'information : vers une culture de la sécurité [C(2002)131], ci-après dénommée les « Lignes directrices sur la sécurité » ;

VU la Résolution 58/199 adoptée par l'Assemblée générale des Nations Unies sur la création d'une culture mondiale de la cybersécurité et la protection des infrastructures essentielles de l'information ;

RECONNAISSANT que le fonctionnement de nos économies et de nos sociétés est de plus en plus tributaire de systèmes et réseaux d'information qui sont interconnectés et interdépendants, au plan tant intérieur qu'international ; qu'un certain nombre de ces systèmes et réseaux sont d'une importance nationale critique ; et que leur protection est un domaine prioritaire pour la politique publique nationale et la coopération internationale ;

RECONNAISSANT que pour améliorer la protection des infrastructures d'information critiques au plan national et international, les pays Membres doivent partager leurs connaissances et leur expérience dans l'élaboration des politiques et pratiques, et coopérer plus étroitement entre eux, ainsi qu'avec les économies non membres ;

RECONNAISSANT que la protection des infrastructures d'information critiques nécessite une coordination au plan intérieur et international avec les propriétaires et opérateurs privés de ce type d'infrastructures, ci-après dénommés « le secteur privé » ;

Sur la proposition du Comité de la politique de l'information, de l'informatique et des communications :

CONVIENT que :

aux fins de la présente Recommandation, les infrastructures d'information critiques, ci-après dénommées « IIC » s'entendent comme désignant les systèmes et réseaux d'information interconnectés, dont la perturbation ou la destruction aurait un sérieux impact sur la santé, la sécurité, la sûreté ou le bien-être économique des citoyens ou sur le fonctionnement efficace du gouvernement ou de l'économie ;

les IIC sont identifiées par le biais d'un processus d'évaluation des risques et englobent en général un ou plusieurs des éléments suivants :

        les éléments d'information sur lesquels reposent les infrastructures critiques, et/ou ;

        les infrastructures d'information sur lesquelles reposent des éléments essentiels des activités gouvernementales ; et/ou

        les infrastructures d'information essentielles à l'économie nationale ;

RECOMMANDE que :

Les pays Membres mettent en place et maintiennent un cadre efficace pour la mise en oeuvre des Lignes directrices de l'OCDE sur la sécurité en relation avec la protection des IIC, en tenant compte des orientations générales et opérationnelles spécifiques exposées ci-après ;

PARTIE I. Protection des infrastructures d'information critiques au niveau national

Les pays Membres devraient :

démontrer l'engagement et le soutien des pouvoirs publics en faveur de la protection des IIC en :

gérer les risques à l'égard des ICC en :

1.    la structure organisationnelle appropriée pour fixer des orientations et promouvoir de bonnes pratiques de sécurité au niveau national, et gérer et suivre l'évolution de la situation, de même qu'un ensemble complet de procédures pour assurer l'état de préparation, notamment la prévention, la protection, l'intervention et le rétablissement de la situation en cas de menaces naturelles ou malveillantes ;

2.    un système de mesure pour évaluer et jauger les dispositions en place (notamment des exercices et des tests selon les besoins), et permettre la remontée d'informations dans un processus d'actualisation continue ;

Œuvrer en partenariat avec le secteur privé en :

PARTIE II. Protection des infrastructures d'information critiques au niveau international

Les pays Membres devraient coopérer entre eux et avec le secteur privé aux niveaux de la stratégie, des politiques et de l'exploitation pour assurer la protection des IIC contre des événements et des circonstances auxquels les pays ne sont pas en mesure de faire face isolément.

Ils devraient notamment s'engager résolument dans une coopération bilatérale et multilatérale aux niveaux régional et mondial en vue de :

1.    de la gestion des risques applicable aux dépendances et interdépendances transfrontières ;

2.    des vulnérabilités, menaces et incidences génériques concernant les IIC, afin de faciliter une action concertée contre celles qui ont un caractère généralisé, comme les failles de sécurité et le maliciel, ainsi que pour améliorer les stratégies et politiques de gestion des risques ;

INVITE :

les pays Membres à diffuser la présente Recommandation dans l'ensemble des secteurs public et privé, notamment auprès des autorités publiques, des entreprises et des autres organisations internationales afin d'encourager tous les participants concernés à prendre les mesures nécessaires pour la protection des IIC.

les économies non membres à prendre en considération la présente Recommandation et à collaborer avec les pays Membres dans sa mise en œuvre.

CHARGE le Comité de la politique de l'information, de l'informatique et des communications de l'OCDE de promouvoir la mise en oeuvre de la présente Recommandation et de la réexaminer tous les cinq ans afin d'encourager la coopération internationale sur les questions liées à la protection des IIC.