Le Premier ministre Pham Minh Chinh vient de signer et de publier le communiqué officiel n° 33/CD-TTg sur le renforcement de la sécurité des réseaux d'information.

Le télégramme indiquait que le Premier ministre avait publié de nombreux documents ^[1] Engager les ministères, les services et les collectivités locales à renforcer la sécurité des réseaux informatiques. Cependant, certains services et secteurs n'ont pas encore pleinement maîtrisé ni priorisé les ressources nécessaires à leur mise en œuvre, ce qui peut entraîner des incidents qui engendrent une insécurité des réseaux informatiques et peuvent affecter la sécurité du cyberespace vietnamien. De plus, de nombreux systèmes d'information déployés par les organisations et les entreprises pour fournir des services en ligne aux particuliers et aux entreprises ont une portée et un impact considérables sur la société. Par conséquent, les systèmes d'information des agences, organisations et entreprises de l'État doivent être mobilisés pour garantir une sécurité des réseaux informatiques optimale.

Dans le contexte des cyberattaques, notamment des rançongiciels, qui ont fortement augmenté récemment et qui pourraient continuer à se développer de manière compliquée dans la période à venir, avec le risque d'affecter sérieusement les activités de développement socio -économique, et en même temps, pour surmonter les lacunes et les limitations, et renforcer la discipline et l'ordre dans la garantie de la sécurité de l'information du réseau, le Premier ministre a demandé la mise en œuvre des tâches urgentes suivantes :

1. Ministres, chefs d'organismes de niveau ministériel, organismes gouvernementaux, présidents des comités populaires des provinces et des villes, organisations, agences et entreprises gérées par le gouvernement central :

a) Continuer à mettre en œuvre résolument et efficacement les directives du Premier ministre, en se concentrant sur les éléments clés suivants :

(1) Diriger directement et être chargé d'assurer la sécurité de l'information du réseau ; être responsable devant la loi et le Premier ministre si le système d'information sous gestion ne parvient pas à assurer la sécurité de l'information du réseau, provoquant des incidents graves.

(2) Diriger un examen général et une évaluation de la situation de sécurité de l'information du réseau pour les systèmes d'information relevant du champ de gestion conformément aux directives du ministère de l'Information et des Communications ; envoyer les résultats au ministère de l'Information et des Communications avant le 30 avril 2024.

(3) Appliquer strictement le délai d'achèvement de l'approbation du dossier de proposition de niveau de sécurité pour 100 % des systèmes d'information sous gestion, mettre en œuvre et déployer pleinement le plan d'assurance de la sécurité de l'information conformément au dossier de proposition de niveau approuvé comme indiqué par le Premier ministre dans la Directive n° 09/CT-TTg du 23 février 2024.

(4) Utiliser régulièrement les plateformes de soutien à la sécurité de l’information fournies par le ministère de l’Information et des Communications pour améliorer l’efficacité des activités de gestion et d’application de la loi sur la sécurité de l’information du réseau.

(5) Organiser les éléments de sécurité de l'information lors de l'élaboration et de la mise en œuvre des plans annuels d'application des technologies de l'information, des plans quinquennaux et des projets de technologies de l'information ; s'assurer que le budget des produits et services de sécurité de l'information du réseau atteint au moins 10 % du budget total de mise en œuvre de ces plans et projets conformément aux directives du Premier ministre dans la directive n° 14/CT-TTg du 7 juin 2019.

b) En cas de cyberattaque, se conformer strictement aux réglementations et instructions de la Décision n° 05/2017/QD-TTg du 16 mars 2017, de la Directive n° 18/CT-TTg du 13 octobre 2022 du Premier ministre, de la Circulaire n° 20/2017/TT-BTTTT du 12 septembre 2017 du Ministère de l'Information et des Communications, en notant les éléments clés suivants :

(1) Signaler rapidement les incidents à l'autorité compétente, à l'unité spécialisée de réponse aux incidents du même niveau, à l'Agence nationale de coordination et aux agences et entreprises ayant pour fonction de gérer la sécurité du réseau.

(2) Se conformer à la coordination de la réponse aux incidents de l'Agence nationale de coordination et des autorités compétentes dans : la collecte et l'analyse des informations ; le traitement et le dépannage des incidents ; la vérification de la cause et la recherche de l'origine ; la communication et la publication d'informations...

(3) Rapporter des informations complètes sur les incidents, les dommages et les informations connexes à l'Agence nationale de coordination ; en même temps, résumer, analyser, évaluer, tirer des leçons et faire rapport à l'Agence nationale de coordination pour synthèse et diffusion.

c) Chaque trimestre, envoyer au Ministère de l'Information et des Communications un rapport sur la situation de la garantie de la sécurité de l'information sur le réseau pour les systèmes d'information sous sa gestion avant le 20 du dernier mois du trimestre.

2. Les ministres, les chefs de ministères, les agences : Transports, Industrie et Commerce, Ressources naturelles et Environnement, Information et Communications, Santé, Finances, Bureau du gouvernement, Banque d'État du Vietnam, Comités populaires de Hanoi et de Ho Chi Minh-Ville ^[2] , en plus de mettre en œuvre strictement les directives du Premier ministre dans la clause 1 de la présente dépêche officielle, doivent se concentrer sur la direction de la mise en œuvre immédiate des tâches spécifiques suivantes :

a) Présider et coordonner avec le ministère de l'Information et des Communications, le ministère de la Sécurité publique et le ministère de la Défense nationale pour diriger les organisations et les entreprises en charge des systèmes d'information fournissant des services en ligne au service des particuliers et des entreprises (ci-après dénommées organisations et entreprises) :

(1) Effectuer des examens, des évaluations et des rapports sur l'état d'assurance de la sécurité de l'information conformément aux instructions du ministère de l'Information et des Communications et des ministères et branches concernés ayant pour fonction de gérer la sécurité et la sûreté du réseau.

(2) Approbation complète des documents de proposition de niveau de sécurité pour 100 % des systèmes d'information en septembre 2024 et mise en œuvre complète des plans d'assurance de la sécurité de l'information conformément aux documents de proposition de niveau approuvés en décembre 2024 (en synchronisation avec le délai indiqué dans la Directive n° 09/CT-TTg).

(3) Vérifier et évaluer périodiquement la sécurité de l'information conformément à la réglementation (au moins une fois tous les 2 ans pour les systèmes d'information de niveau 1 et de niveau 2 ; une fois par an pour les systèmes d'information de niveau 3 et de niveau 4 ; une fois tous les 6 mois pour les systèmes d'information de niveau 5), rechercher et éliminer les menaces sur les systèmes d'information des organisations et des entreprises.

(4) En cas de cyberattaque, suivre le point b de la clause 1 de la présente dépêche.

b) Coordonner avec le ministère de l'Information et des Communications, les ministères et les branches ayant pour fonction de gérer la sécurité et la sûreté du réseau pour guider, inspecter et examiner le travail visant à garantir la sécurité de l'information des organisations et des entreprises.

3. Ministre de l’Information et des Communications :

a) Charger les ministères, les branches et les localités d'examiner et d'évaluer la situation en matière de sécurité des informations sur les réseaux des systèmes d'information des agences, organisations et entreprises de l'État avant le 11 avril 2024 ; de synthétiser les résultats et d'en faire rapport au Premier ministre avant le 30 avril 2024.

b) Demander aux organismes en charge des domaines importants nécessitant une priorité pour assurer la sécurité de l’information du réseau d’examiner, d’évaluer et de rendre compte de la situation de la sécurité de l’information des organisations et des entreprises avant le 20 avril 2024 ; de synthétiser les résultats et de faire rapport au Premier ministre avant le 10 mai 2024.

c) Présider et coordonner avec le ministère de la Sécurité publique, le ministère de la Défense nationale et les organismes compétents la mise en œuvre des mesures de surveillance, de détection, d'alerte précoce et de réponse aux incidents de sécurité informatique. Synthétiser les résultats des analyses et des évaluations et tirer les leçons des activités de réponse aux incidents ; publier et alerter les médias afin de diffuser les expériences, d'aider les organisations et les particuliers à identifier, prévenir et réagir proactivement à des incidents similaires et de sensibiliser à la sécurité informatique.

d) Présider et coordonner avec les ministères et organismes concernés l'organisation d'inspections et de contrôles de conformité aux réglementations légales en matière de sécurité informatique des réseaux au sein des organismes publics, des organisations et des entreprises fournissant des services en ligne aux particuliers et aux entreprises. Traiter avec rigueur les violations à l'origine d'incidents de sécurité informatique des réseaux.

d) Développer, exploiter et guider les ministères, les branches, les localités, les organisations et les entreprises pour utiliser des plateformes de soutien à la sécurité de l'information afin de gérer et d'appliquer les lois sur la sécurité de l'information du réseau.

e) Demander aux médias et aux agences de presse de se coordonner avec les ministères, les branches et les localités pour renforcer l'organisation de la propagande et la diffusion des lois sur la sécurité de l'information sur le réseau, et de sensibiliser à la nécessité de garantir la sécurité de l'information sur le réseau.

g) Rapport trimestriel au Premier ministre sur les risques et les dangers de perte de sécurité de l'information pour les systèmes d'information des ministères, des branches, des localités, des organisations et des entreprises.

4. Le Ministère de la Sécurité Publique et le Ministère de la Défense Nationale renforceront l'assurance de la sécurité de l'information du réseau conformément aux fonctions et tâches qui leur sont assignées et dans les domaines sous leur gestion ; ordonneront aux organisations et entreprises gérant des systèmes d'information fournissant des services en ligne pour servir les personnes et les entreprises sous leur gestion comme prescrit dans la Décision n° 632/QD-TTg du 10 mai 2017 de mettre en œuvre des tâches et des solutions similaires à l'Article 2 de la présente Dépêche Officielle ; coordonneront avec le Ministère de l'Information et des Communications pour organiser des inspections, des examens et traiter les violations de la loi sur la sécurité de l'information du réseau.

5. Les ministères, les branches et les localités doivent se coordonner de manière proactive avec le ministère de l'Information et des Communications, le ministère de la Sécurité publique et le ministère de la Défense nationale pour diriger les organisations et les entreprises fournissant des services en ligne au service des personnes et des entreprises sous gestion de l'État afin de renforcer la sécurité de l'information du réseau, de se conformer pleinement aux réglementations légales sur la sécurité de l'information du réseau, en particulier les réglementations visant à garantir la sécurité des systèmes d'information à tous les niveaux.

6. Charger le vice-Premier ministre Tran Luu Quang de diriger et de surveiller ce domaine ; le Bureau du gouvernement et le ministère de l'Information et des Communications, conformément à leurs fonctions et tâches assignées, surveilleront et encourageront la mise en œuvre de cette dépêche officielle ; synthétiseront et rendront compte au Premier ministre des résultats de la mise en œuvre.

------------

^[1] Directive n° 14/CT-TTg du 25 mai 2018 sur le renforcement des capacités de prévention et de lutte contre les logiciels malveillants ; Directive n° 14/CT-TTg du 7 juin 2019 sur le renforcement de la cybersécurité pour améliorer l'indice de classement du Vietnam ; Directive n° 18/CT-TTg du 13 octobre 2022 sur la promotion de la mise en œuvre des activités de réponse aux incidents de cybersécurité du Vietnam ; Directive n° 09/CT-TTg du 23 février 2024 sur le respect des réglementations légales et le renforcement de la sécurité des systèmes d'information à tous les niveaux.

^[2] Les ministères et agences en charge des domaines importants doivent donner la priorité à la garantie de la sécurité des informations du réseau conformément à la décision n° 632/QD-TTg du 10 mai 2017 du Premier ministre.