Annonce d’une mesure de référence de la cybersécurité en Europe

Avertissement : L'original de cette page est rédigé en néerlandais. Cette page a été traduite automatiquement dans d'autres langues à l'aide de DeepL. Il peut en résulter des différences de nuances, de ton et de sens. En cas de doute, consultez toujours d'abord la version néerlandaise. En raison du coût élevé des traductions, le contenu de cette page peut être inférieur à celui de la version néerlandaise. Nous considérons la version néerlandaise de cette page comme la première.

0 : Résumé

Votre organisation a reçu, le 9 ou le 10 février, un courriel sur la transparence en matière de sécurité en ligne des gouvernements. Cet e-mail provient de l’Internet Cleanup Foundation et a été envoyé à tous les gouvernements régionaux et aux organisations CERT / CISRT de tous les États membres de l’Union européenne.

À partir du 10 mai, la sécurité en ligne de votre organisation sera rendue publique sur le site Web SecurityBaseline.eu. Du 10 février au 10 mai, ce site sera accessible via le lien direct figurant dans l’e-mail reçu. Vous pourrez ainsi consulter les résultats des mesures et apporter d’éventuelles améliorations avant la publication. Nous mesurons votre sécurité en ligne tous les jours ou toutes les semaines afin de pouvoir apporter des améliorations. Nous continuons à mesurer, même après la publication.

Les services mesurés et les informations publiées sont soigneusement étudiés et n’ajoutent pas de nouveaux risques à vos environnements en ligne. Notre approche rend vos environnements plus transparents, plus faciles à gérer et donc plus sûrs. Nous le faisons de notre propre initiative, à partir d’une fondation à but non lucratif, pendant notre temps libre. En tant que citoyens européens, nous sommes intrinsèquement motivés pour jouer notre rôle dans la création d’une Europe en ligne sûre, souveraine et respectueuse de la vie privée, et nous avons une grande expérience en la matière.

L’initiative de mesure de l’Europe reproduit notre approche de mesure de la sécurité en ligne d’organisations clés aux Pays-Bas. Nous avons lancé cette initiative en 2016. Elle a connu un tel succès et s’est révélée si pratique que notre site web et nos activités ont été inclus dans des documents politiques du ministère néerlandais de la sécurité et de la justice et du ministère néerlandais de l’intérieur et des relations au sein du royaume.

Avec la numérisation croissante des gouvernements et la pression récemment accrue sur la souveraineté des gouvernements en ligne, nous avons décidé de commencer à mesurer tous les gouvernements en Europe. Nous mesurons les gouvernements en tant que premier secteur par pays parce qu’ils sont capables d’établir des lignes directrices et des lois pour eux-mêmes et pour les autres.

Vous trouverez sur cette page des informations détaillées sur nous et sur cette initiative. L’Internet Cleanup Foundation souhaite à tous une Europe en ligne en toute sécurité.

Elger Jonker, Johan Bloemberg, Wouter Goyen

Table des matières

  1. Que se passera-t-il ?
  2. Étude de cas : Pays-Bas : mesures prises depuis 2016
  3. Calendrier de lecture, de publication et de diffusion
  4. Politique de l’Internet Cleanup Foundation
  5. Accessibilité
  6. Comment les cartes et les annonces ont-elles vu le jour ?
  7. Aperçu financier

1 : Ce qui va se passer

À partir du 10 mai, la sécurité en ligne de base de votre organisation sera publiée à l’adresse https://securitybaseline.eu. Les informations publiées peuvent contenir des vulnérabilités dans votre infrastructure en ligne mais n’augmentent pas le risque existant. Jusqu’à la publication, vous pouvez accéder à vos vulnérabilités en utilisant les liens que vous avez reçus dans cet e-mail.

Il y a trois mois entre le 10 février et le 10 mai. Nous appelons ces trois mois la période de préparation. Cette période est conforme au calendrier commun des lignes directrices relatives à la « divulgation coordonnée des vulnérabilités » de plusieurs États membres de l’Union européenne. En principe, tout ce que nous mesurons et publions est déjà une information publique. Nous n’utilisons donc pas cette période pour nous conformer au processus de divulgation coordonnée des vulnérabilités, mais pour utiliser les voies et processus existants au sein des États membres de l’Union européenne qui ont été mis en place pour renforcer la sécurité de l’information.

Sur notre site web, vous verrez des cartes des différents niveaux de votre gouvernement. Sur ces cartes, la sécurité est indiquée par la couleur d’un feu de signalisation : rouge, orange et vert. Le vert signifie que tout est en ordre et le rouge qu’une ou plusieurs vulnérabilités sont présentes. L’orange nécessite une action, mais moins rapidement que le rouge. L’exemple d’étude de cas des Pays-Bas, plus bas sur cette page, montre comment les Pays-Bas s’en sortent. Cette carte fait déjà partie du domaine public, puisqu’elle a été rendue publique il y a de nombreuses années.

Nous sommes conscients que notre approche peut soulever des questions ou ne pas être immédiatement perçue comme agréable ou utile. Nous sommes également conscients que les cultures varient considérablement d’un pays européen à l’autre. Notre objectif est de rendre l’Europe en ligne plus résistante. La transparence est un moyen approprié pour atteindre cet objectif. Nous partons du principe que le gouvernement veut bien protéger les citoyens européens. Cela devrait se traduire par des services en ligne de haute qualité. C’est précisément cela qui est mesurable et vérifiable de manière indépendante : c’est ce que nous offrons.

2 : Étude de cas : Pays-Bas mesurés depuis 2016

Nous avons commencé à mesurer les principaux sites web des municipalités néerlandaises en 2016. Au fil des ans, ces mesures se sont étendues à tous les sites web de tous les gouvernements néerlandais. Nous effectuons également les mêmes mesures sur tous les établissements d’enseignement, les soins de santé et les infrastructures critiques des Pays-Bas. Ces données sont publiques et accessibles à tous. Elles concernent environ 330 000 adresses de 10 000 organisations, mesurées dans 25 conclusions. Ces informations peuvent être consultées par tout le monde.

Aux Pays-Bas, notre initiative a permis d’améliorer la sécurité de l’information par centaines de milliers. En utilisant des mesures de pointe, comme celles d’internet.nl et nos propres mesures de protection de la vie privée, nous avons aidé le pays dans lequel nous vivons à devenir et à rester sûr depuis des années.

Ce succès est également la raison pour laquelle les Pays-Bas sont le seul pays déjà visible publiquement sur SecurityBaseline.eu: en fait, presque toutes les organisations ont déjà un score vert, alors que dans le même champ et les mêmes mesures, presque toutes les autres organisations gouvernementales européennes ont encore un score insuffisamment sûr. Les Pays-Bas ont donc déjà plusieurs années d’avance sur le reste de l’Europe. Ce n’est pas seulement grâce à nous, mais aussi grâce à l’adoption et à l’orientation des normes par le gouvernement et à l’existence d’une législation sur le cryptage, par exemple.

Le gouvernement néerlandais a une culture d’ouverture. Cette culture est également inscrite dans la législation par le biais de la« loi sur le gouvernement ouvert » : elle donne à chaque citoyen le droit d’accéder à l’information publique sans avoir à remplir de conditions. Le gouvernement néerlandais se veut donc transparent et est donc accessible. Le gouvernement ose indiquer où des améliorations sont nécessaires, c’est pourquoi notre initiative visant à mesurer le gouvernement néerlandais a également été bien accueillie.

Notre site web et nos activités figurent dans les documents de politique générale du ministère néerlandais de la sécurité et de la justice et du ministère de l’intérieur et des relations au sein du royaume.

Aux Pays-Bas, nous menons également toutes sortes de recherches. Par exemple, nous avons fait les découvertes suivantes, les articles sont en néerlandais :

Les captures d’écran ci-dessous montrent une version provisoire des cartes des provinces et municipalités néerlandaises. Cette version a été extraite de SecurityBaseline.eu et est déjà accessible au public car presque tout est en ordre.

La capture d’écran ci-dessous est tirée de notre site néerlandais : basisbeveiliging.nl. Elle montre trois niveaux de gouvernement. Ce qui est frappant, c’est que la couleur des cartes est principalement rouge. En effet, aux Pays-Bas, nous mesurons non seulement le site principal d’une organisation, mais aussi tous les sites de projets (nouveaux quartiers, nouvelles autoroutes, campagnes, etc.), par exemple. On constate que, parmi les municipalités, 62 % des 26 655 adresses de municipalités mesurées obtiennent un bon score.

3 : Calendrier de lecture, publication, portée

Le calendrier de publication est le suivant :

  • 10 février 2026 : Courriel avec un bref préavis et un lien vers ce texte
  • 10 février 2026 : Début de la période d’inspection des mesures et des améliorations
  • Période d’inspection : 10 février – 10 mai :
    • Autorités complètes mesurées
    • Renforcement des mesures TLS de internet.nl conformément aux lignes directrices NCSC-NL 2025 11
    • Ajout éventuel d’une nouvelle mesure et d’une nouvelle visualisation de la souveraineté numérique
    • Seuls les domaines principaux et les sous-domaines des gouvernements, pas de domaines pour les projets.
    • Des demandes de changement peuvent être faites, mais seul le domaine officiel sera accepté ou remplacé. Les autres demandes de domaines supplémentaires seront conservées jusqu’à la fin de cette période.
  • 10 mai 2026 : Publication des résultats avec un article de recherche comparant les pays
  • Période après le 10 mai 2026 :
    • Ajout d’autorités et de sites, éventuellement de domaines de projet
    • Acceptation des demandes de modification pour les nouveaux domaines

Le tableau ci-dessous montre tous nos sites web et les informations qu’ils contiennent. On peut y voir que le nombre d’organisations de SecurityBaseline est important (plus de 75 000). Le nombre de domaines apparentés est encore faible (120 000) : il augmentera pour atteindre une moyenne de 10 sous-domaines par domaine.

Site webOrganisationsTaille des adresses InternetMesures
SecurityBaseline.eu
(le nouveau site web)		Toutes les autorités régionales européennes + les organisations CSIRT
(76 575)
Domaine principal + sous-domaines
(120 257)		Les 25 indicateurs : sécurité, vie privée et souveraineté
basisbeiliging.nlL’ensemble du gouvernement néerlandais, l’essentiel, l’éducation, les soins de santé, la politique, la cybersécurité
(11.843)		Tous les domaines tels que nous pouvons les trouver
(361 688)		Les 25 mesures : sécurité, vie privée et souveraineté
basisbeiliging.be
(plus nécessaire après le 10 mai)		Gouvernements régionaux de Belgique
(640)		Domaine principal + sous-domaines
(5 789)		FTP, DMARC, DKIM, SPF, DNSSEC
Basistoegankelijk.nlTout le gouvernement néerlandais, vital, éducation, santé, politique, cybersécurité
(11,843)		Tous les domaines tels que nous pouvons les trouver
(361 688)		94 indicateurs sur l’accessibilité des sites web
Portée des projets de l’Internet Cleanup Foundation. SecurityBaseline est important en termes de taille des organisations, mais le nombre de domaines reste faible.

4 : Politique de l’Internet Cleanup Foundation

SecurityBaseline publie des mesures de sécurité de manière réfléchie. Nos considérations sont regroupées dans notre code de conduite. Nous effectuons des mesures quotidiennes ou hebdomadaires.

SecurityBaseline fonctionne selon le processus suivant :

Les domaines de l’organisation qui sont mesurés sont précisés dans la politique des domaines. Toutes les mesures effectuées dans ces domaines sont regroupées dans la politique de mesure. Comme il est impossible de traiter toutes les décisions relatives à l’infrastructure informatique de la même manière, les organisations peuvent déclarer des exceptions. C’est ce qu’on appelle « comply or explain » ou « se conformer ou expliquer ». Nombre de ces déclarations sont ajoutées automatiquement par des exceptions automatisées à la politique de mesure. Une bonne déclaration répond à un certain nombre d’exigences.

Ce qui sera ou ne sera pas publié est décrit dans la politique de publication. Les analyses effectuées renvoient à SecurityBaseline aussi clairement que possible, si possible directement à la page scaninfo (en anglais uniquement). Toutes les mesures et publications sont soumises à cette clause de non-responsabilité (en anglais uniquement).

5 : Accessibilité

La Fondation pour le nettoyage de l’Internet peut être contactée de deux manières :

1 : Envoyez un courriel à info@internetcleanup.foundation. Nous convertirons les courriels en langues étrangères en néerlandais ou en anglais. Il peut en résulter une perte de nuance. Tous les courriers sont lus, mais il faut parfois plusieurs semaines avant que nous trouvions le temps de répondre.
2 : Discord : Visitez notre canal discord à https://discord.gg/FzadeDrptx et demandez Elger, Johan ou Wouter. Vous y trouverez également un canal d’assistance où divers sujets sont abordés.

6 : Comment les cartes et les annonces ont-elles vu le jour ?

Les cartes sont basées sur les données publiques d’Open Street Map (zones et noms des gouvernements), combinées aux données publiques de Wikidata (adresses des sites web). Pour la couche CSIRT, une liste d’organisations et de sites a été collectée manuellement. Au total, 90 cartes ont été compilées. Tous les pays européens qui ont signé le traité de l’Espace économique européen sont mesurés, ainsi que la Suisse. Nous incluons la Suisse parce qu’elle est l’un des rares pays à rendre tous ses domaines internet disponibles via des données ouvertes, ce qui est progressif.

Nous avons délibérément intégré le site web principal du gouvernement dans le CSIRT. Bien entendu, ce n’est pas ainsi que la responsabilité est formellement investie. Nous y voyons plutôt une responsabilité sociale. Nous espérons que cette démarche permettra de mieux sécuriser le site web principal du gouvernement en cas de besoin.

En raison des 24 langues parlées en Europe, les pages principales de ce site web et de SecurityBaseline.eu ont été traduites dans toutes ces langues. La traduction a été effectuée par DeepL, sauf si la langue n’était pas disponible (par exemple, le maltais et l’islandais). La traduction de sites web de cette envergure s’avère coûteuse. Nous sommes fiers que la majorité des textes du site soient disponibles dans la plupart des langues européennes, y compris l’irlandais et le grec, bien qu’il y ait parfois des erreurs dans les traductions.

L’annonce préalable aux gouvernements et aux organisations CSIRT a été effectuée par courrier électronique dans les langues officielles de l’État membre. Cette préannonce a été envoyée à toutes les adresses électroniques des gouvernements locaux et des organisations CSIRT, pour autant qu’elles aient été trouvées. Certaines de ces adresses provenaient de Wikidata, d’autres ont été collectées et filtrées automatiquement à l’aide d’un logiciel auto-écrit. Au total, des dizaines de milliers de courriels ont été envoyés. Les courriels sont envoyés une seule fois pour éviter tout désagrément. Nous attendons des gouvernements qu’ils se parlent et que les lignes de communication entre le CSIRT et les gouvernements locaux soient bonnes. Ainsi, si nous avons oublié une organisation ou si nous ne parvenons pas à la joindre, ce réseau social existant nous servira d’appui.

Avec 90 nouvelles cartes et plusieurs milliers d’administrations, il est probable que nous nous trompions parfois. Nous vous prions de nous excuser pour ce désagrément. Nous profiterons de la période de lecture pour affiner les cartes et les informations sur les sites.

7 : Comment cela se passe-t-il sur le plan financier ?

Nous sommes la Fondation Internet Cleanup des Pays-Bas. Nous sommes une petite équipe de trois personnes qui essaient de rendre le monde meilleur avec beaucoup de connaissances et un petit budget. Vous trouverez les coordonnées et les détails de notre fondation sur la page« À propos de nous« .

Ce projet est réalisé de notre propre initiative, avec nos propres ressources et dans notre propre temps. Aucun paiement ou montant n’est exigé pour l’utilisation de nos résultats ou de nos rapports. Il n’y a pas non plus de murs de paiement pour la visualisation des informations ou leur réutilisation par d’autres. Tous nos résultats sont disponibles en tant que données ouvertes.

Nous menons donc cette initiative de l’intérieur. Mais nos activités quotidiennes sont soutenues financièrement par le Fonds SIDN, le Centre pour la sécurité de l’information et la protection de la vie privée, l’Inspection nationale de l’infrastructure numérique, le gouvernement néerlandais et plus de 30 organisations participantes de notre fondation, entre autres. Nous recevons des ressources techniques sponsorisées par CoBytes, Procolix, SURF, Sentry, Hack42 et GitLab.

Autres revenus que nous tirons de :

  • Missions de recherche,
  • Développer de nouvelles mesures et plateformes,
  • Contributions des participants à notre fondation,
  • Effectuer des mesures de secteurs sur demande.

Il est possible de nous parrainer ou de nous soutenir de la part d’un gouvernement, à condition que notre indépendance soit garantie. Veuillez contacter elger@internetcleanup.foundation à cet effet. Pour toute autre question, veuillez utiliser les adresses indiquées dans la section « Joignabilité ».

Il est possible de devenir un participant de notre fondation. Nous n’avons délibérément pas encore mis cette option à disposition sur SecurityBaseline.eu, car cela pourrait être perçu comme une entreprise commerciale. Cette option sera disponible plus tard avec suffisamment d’éclaircissements. Pour une participation anticipée, veuillez contacter elger@internetcleanup.foundation.

8 : En savoir plus sur nous

Vous trouverez les coordonnées et les détails de notre fondation sur la page« À propos de nous« .