Cadres institutionnel, juridique et

règlementaire de la sécurité
informatique au Burkina Faso

Crédit : KIENDREBEOGO P. Martin

(Directeur Cyber sécurité / ANSSI)

1
 Plan

 Cadre institutionnel
 Cadre juridique
 Cadre règlementaire

2
Cadre institutionnel

3
 Cadre institutionnel
 ARCEP : Autorité de Régulation des Communications Electroniques et
de Postes;
 CIL : Commission de l’informatique et des Libertés;
 ANR : Agence Nationale de Renseignement
 ANSSI : Agence Nationale de la Sécurité des Systèmes d'information.
 BCLCC : Brigade Centrale de Lutte Contre la Cybercriminalité;
 Justice ;
 ANPTIC : Agence Nationale de Promotion des TIC;
 DGTIC : Direction Générale des TIC;
4
 Cadre institutionnel : CIL

 Informer les personnes sur leurs droits et leurs obligations en matière

de traitement de données personnelles;
 Réguler en matière de protection de données en donnant son avis sur
les déclarations (implantation des cameras, les procédure d’achat de
drone, la question de l’identifiant unique de la personne,…);
 Contrôler pour s’assurer du respect du bon usage des données
personnelles;
 Sanctionner en cas d’eccart et faire sanctionner les infractions les plus
graves par le juge (pouvoir de dénonciation).
5
 Cadre institutionnel : ARCEP

 Réguler le secteur de la télécommunication

(équipements, exploitation, identification des
usagers, utilisation des données, …);
 Projet de mise en œuvre d’une infrastructure
de gestion de clé publique (PKI) au niveau
national.
6
 Cadre institutionnel : BCLCC

 Sensibiliser les usagers en publiant

régulièrement les informations sur les attaques;
 Pouvoir d’investiguer (contrairement à la CIL)
lorsqu’il y a infraction ou suspections
d’infraction;
 Pouvoir de réprimer.
7
 Cadre institutionnel : Justice

 Exploiter des preuves numérique issues des

investigations;
 Intenter des actions en justice ;
 Constitue l’agent OPJ selon convention de
Budapest

8
 Cadre institutionnel : ANPTIC

 Faire la promotion du bon usage des TIC;

 Protéger l’infrastructure de communication
national (RESINA, G-CLOUD, …);
 Concevoir, réaliser, exploiter, maintenir, le SI
national.

9
 Cadre institutionnel : DGTIC

 Elaborer des stratégies dans le domaine du

numérique;
 Définir les politiques sectorielles en matière du
numérique.

10
 Cadre institutionnel : ANSSI (1)

 Protéger le Cyberespace national :

 réduire la vulnérabilité du cyberespace;
 gérer les incidents de sécurité des SI;
 renforcer la culture de la cybersécurité;
 établir des normes spécifiques a la SI;
 veiller au respect de l’audit obligatoire.

11
 Cadre institutionnel : ANSSI (2)

 L’ANSSI Constitue l’Agent technique selon Budapest car elle

fournit les preuves numériques à la BCLCC (OPJ) qui les
interprète pour la justice (le parquet);
 Le Conseil National de Suivi de la mise en œuvre de la SNCS,
créé par arrêté N°2020-059/PM/CAB du 24 novembre 2020

12
Cadre juridique

13
 Cadre juridique
 Les menaces cybernétiques sont sans frontières d’où la nécessité de
considérer un cadre juridique international régit par des conventions
internationales :
 Convention de Budapest sur la cybercriminalité;
 Convention de l’union africaine sur la cyber sécurité et la
protection des données a caractère personnel;
 Directive de la CEDEAO sur la lutte contre la cybercriminalité dans
l’espace CEDEAO.
 Il y a aussi un cadre juridique national.
14
 Cadre juridique :
Convention de Budapest sur la cybercriminalité
 Conclue à Budapest le 23 novembre 2001;
 Approuvée par l’Assemblée fédérale le 18 mars 2011;
 Porte sur :
 Les infractions contre la confidentialité, l’intégrité et la disponibilité des données
et systèmes informatiques;
 Les infractions informatiques notamment : la falsification informatique, la fraude
informatique, les infractions se rapportant au contenu (pornographie enfantine,)
et les infractions liées aux atteintes à la propriété intellectuelle et aux droits
connexes;
 les procédures de réquisition en matière informatique, la collecte, et les
compétences en la matière …
15
 Cadre juridique :
Convention de l’union africaine sur la cyber sécurité et la
protection des données a caractère personnel (1)
 Adopté par la 23ème Session Ordinaire de la Conférence de l’Union à
Malabo, le 27 juin 2014 et portant sur les transactions électroniques :
 Le Commerce Électronique;
 Les obligations conventionnelles sous forme électronique (contrat
électroniques, L’écrit sous forme électronique, …);
 La sécurisation des transactions électroniques;
 La protection des données à caractère personnel;
 …

16
 Cadre juridique :
Convention de l’union africaine sur la cyber sécurité et la
protection des données a caractère personnel (2)
 Les obligations relatives aux conditions de traitements de données
à caractère personnel;
 Les droits conférés à la personne dont les données font l’objet
d’un traitement
 Les obligations du responsable de traitement de données à
caractère personnel
 Les Mesures de Cyber sécurité à prendre au niveau national
(politique nationale, stratégie nationale);
 La qualification des infractions.
17
 Cadre juridique :
Directive de la CEDEAO sur la lutte contre la
cybercriminalité dans l’espace CEDEAO

 Adoptée le 18 août 2011 à Abuja au Nigeria, elle s’applique à:

 Toutes les infractions relatives à la cybercriminalité dans
l’espace CEDEAO;
 Toutes les infractions pénales dont la constation requiert la
collecte de preuve électronique.

18
 Cadre juridique national (1)
 Loi 061 et ses modificatifs de l’ARCEP;
 Loi N°001-2021/AN du 30 Mars 2021 portant protection des
personnes à l’égard du traitement des données à caractère
personnel;
 Loi 045 portant règlementation des services de transactions
électroniques au Burkina Faso;
 Décret N°2012-964 /PRES/PM/MTPEN/MJ/MEF/MFPTSS/MICA portant
sur les échanges électroniques entre les usagers et les autorités
administratives et entre les autorités administratives elles-mêmes;
19
 Cadre juridique national (2)
 L’élaboration du RGS (Référentiel Général de Sécurité) est fixé dans le
Décret N°2012-964 /PRES/PM/MTPEN/MJ/MEF/MFPTSS/MICA à l’article 13 :
il y est prévu qu’un arrêté du PM fixe le RGS et les conditions de sa mise en
œuvre;
 Il y a un avant projet de loi portant sécurité des SI en cours d’adoption (il
porte sur l’obligation de l’audit périodique pour les OIC, l’obligation
d’homologation des solutions et matériel de sécurité sur le territoire,
l’obligation de disposer des agréments en matière de SSI pour importer les
solutions et matériel de sécurité,…);
 LOI N°040-2019/AN PORTANT CODE DE PROCEDURE PENAL
20
Cadre règlementaire

21
 Cadre règlementaire

 Stratégie régionale de cybersécurité et de lutte contre la

cybercriminalité de la CEDEAO et de la Mauritanie;
 Politique régionale de protection des services essentiels et des
infrastructures critiques de la CEDEAO et de la Mauritanie;
 Le RGS-BF = référentiel général de sécurité adopté le 23
septembre 2019 par arrêté 2019-023/PM/SG du PM;
 La SNCS-BF = stratégie nationale de cybersécurité adopté le 31
décembre 2019 par arrêté 2019-034/PM/SG du PM
22
 Cadre règlementaire (RGS)
 Les exigences en matière de gestion de risques de sécurité : le
RGS fixe l’échelle d’évaluation du risque mais n’impose pas les
outils et les méthodes (donc chacun peut utiliser les méthodes et
outils qu’il veut : EBIOS, MEHARI, …);
 Les règles et exigences relatives à la cryptographie : le RGS fixe
des règles pour la mise en œuvre de l’infrastructure de
confiance;
 Les condition de réalisations des audits de sécurité au Burkina et
surtout pour les OIC : être accrédité par l’ANSSI …
23
 Cadre règlementaire (RGS)
 Les conditions en matière d’homologation des solutions et
matériel de sécurité au Burkina Faso;
 Les conditions en matière d’hébergement des données surtout
sensibles sur les Clouds privés;
 …

24
 Cadre règlementaire (SNCS)

 Elle contient :
 Les fondements ;

 La vision;

 Les principes directeurs;

 Les orientations stratégiques.

 Elle définit :
 Les instruments ;

 Les acteurs ;

 Le dispositif de supervision ;

 Le dispositif de suivi et évaluation .

25