Autorité nationale de la cybersécurité

L'Autorité nationale de la cybersécurité (NCA) est une entité gouvernementale indépendante spécialisée dans la cybersécurité au Royaume d'Arabie saoudite. C'est une référence nationale pour toutes les affaires de cybersécurité, qui vise à renforcer la protection des intérêts vitaux, de la sécurité nationale, des infrastructures critiques, des secteurs prioritaires de l'État ainsi que des services et activités gouvernementaux dans le cadre de la Saudi Vision 2030, qui, entre autres, donne la priorité à la transformation numérique et au développement d'une infrastructure numérique. La NCA a été fondée par décret royal le 31 octobre 2017.

La NCA est chargée de plusieurs missions, notamment de :

- Développer une stratégie de cybersécurité nationale, superviser sa mise en œuvre et proposer des mises à jour.

- Élaborer des politiques, des mécanismes de gouvernance, des cadres, des normes, des contrôles et des directives en matière de cybersécurité et de cadres de gestion des risques, les communiquer aux entités concernées et veiller à leur mise en œuvre et mise à jour.

- Classer et identifier les infrastructures, entités et secteurs critiques liés à la cybersécurité.

- Avertir les entités concernées de menaces liées à la cybersécurité.

- Développer des mesures de lutte contre les incidents de cybersécurité, veiller à ce qu'elles soient respectées et les mettre à jour.

- Construire, superviser et gérer des centres d’opérations de cybersécurité nationale et autres, dont les centres de contrôle, de commande, de surveillance et d'échanges d'informations et d'analyses, ainsi que des centres d'opérations sectoriels et des plateformes de cybersécurité.

- Mener des activités et opérations en lien avec la cybersécurité de manière directe ou par le biais d'entités associées.

- Organiser et superviser les mécanismes de partage d'informations et de données liées à la cybersécurité entre les différentes entités et secteurs dans l'ensemble du Royaume.

- Soutenir les entités compétentes en matière de criminalistique numérique et d'enquête sur les délits liés à la cybersécurité.

- Élaborer des politiques et normes nationales relatives au cryptage, et s'assurer de leur respect et de leur actualisation.

- Établir les normes ou contrôles nécessaires pour le dédouanement et l'octroi de licences d'importation, d'exportation et l'utilisation de matériel et logiciel hautement sécurisés tels que définis par la NCA, contrôler leur respect et les mettre à jour sans compromettre les normes ou les contrôles approuvés par d'autres entités concernées.

- Renforcer les capacités nationales en matière de cybersécurité, participer à l'élaboration de programmes d'éducation et de formation pertinents, préparer des normes et des cadres professionnels, établir et mettre en œuvre des mesures et des tests de certification professionnelle pertinents, et sensibiliser à la cybersécurité.

- Octroyer des licences à des personnes et entités non gouvernementales permettant de s'impliquer dans des activités et opérations en lien avec la cybersécurité telles que définies par la NCA.

- Communiquer avec des entités similaires à l'extérieur du Royaume et avec des entités privées afin de partager des expériences et d'établir des mécanismes de coopération et de partenariats avec elles conformément aux procédures applicables.

- Échanger des productions techniques et des connaissances, et échanger des données et des informations avec des entités similaires à l'extérieur du Royaume.

- Représenter le Royaume dans les organisations, institutions, comités et groupes bilatéraux, régionaux et internationaux concernés, et contrôler la mise en œuvre des engagements internationaux du Royaume en matière de cybersécurité.

- Encourager la croissance du secteur de la cybersécurité au Royaume et y promouvoir l'innovation et l'investissement.

- Mener des études, recherches, développements, opérations de fabrication, transferts de technologie et développements dans le domaine de la cybersécurité et des domaines connexes.

- Proposer des mécanismes renforçant l'efficacité des dépenses en matière de cybersécurité.

- Établir des indicateurs de mesure de la performance pour la cybersécurité et préparer des rapports réguliers sur l'état de la cybersécurité dans l'ensemble du Royaume.

- Proposer l'adoption et la modification de lois, de réglementations et de décisions relatives à la cybersécurité.

Le logo de la NCA représente son mandat, sa mission principale et son champ d'action. Les vecteurs technologiques en dégradé symbolisent le cyberespace, le domaine d'expertise de la NCA, représenté en bleu et en vert. Le bouclier formé par ces vecteurs représente la mission principale qui est de sécuriser et protéger le cyberespace. Il est entouré d'une cavité représentant la carte du Royaume, à l'intérieur de laquelle sont représentées les deux épées et le palmier.

Disposer d'une infrastructure numérique nationale complète et sécurisée est un facteur essentiel permettant d'atteindre une certaine croissance et prospérité. Toutefois, cette expansion s'accompagne d'une vulnérabilité accrue aux failles de sécurité et aux cybermenaces. Il convient donc de renforcer la sécurité afin de protéger les réseaux, les systèmes informatiques, les systèmes technologiques opérationnels et les composants, dont le matériel et les logiciels, ainsi que la sauvegarde des services fournis et des données qu'ils contiennent, contre tout accès, perturbation, altération, utilisation ou exploitation non autorisés. Il est également primordial de renforcer les connexions techniques sécurisées entre les services gouvernementaux et de soutenir l'économie numérique.

La NCA est chargée d'élaborer des politiques, des mécanismes de gouvernance, des cadres, normes, contrôles et directives en matière de cybersécurité. Ils sont ensuite communiqués aux entités concernées, la conformité et les mises à jour étant étroitement contrôlées en fonction des besoins.

Cela ne décharge aucune entité, qu'elle soit publique, privée ou autre, de leur responsabilité envers leur propre cybersécurité d'une manière qui n'entre pas en conflit avec les mandats de la NCA tels qu'ils sont stipulés dans sa réglementation. L'objectif est d'obtenir un cyberespace saoudien sécurisé et de confiance.

La NCA a publié plusieurs contrôles, cadres et directives nationaux relatifs à la cybersécurité afin de renforcer cette dernière dans le Royaume, ainsi que son efficacité. On y regroupe notamment des contrôles de cybersécurité essentiels, des contrôles de cybersécurité des systèmes critiques, de la cybersécurité du travail à distance, de la cybersécurité des données, de l'informatique, des normes nationales de cryptage et des outils de cybersécurité.

La NCA a lancé le portail national pour les services de cybersécurité « Haseen » le 25 mai 2022, dans le but de renforcer les niveaux de cybersécurité dans l'ensemble du Royaume, d'améliorer la façon de fournir et gérer les services et solutions de cybersécurité, ainsi que les mécanismes de communication pour les bénéficiaires nationaux.

Ce portail a été conçu pour permettre aux entités nationales de faire face à leurs responsabilités en matière de cybersécurité en améliorant le mécanisme de prestation de services, en automatisant les processus et en améliorant leur expérience grâce à un portail unifié pour accéder à des services et solutions de pointe dans le secteur de la cybersécurité. Ses services visent plus de 500 entités nationales d'ici août 2023.