Forum aux questions

L'obligation d'audit sécurité des systèmes d'information, en Tunisie.

Voici un bref rappel sur l'audit de sécurité informatique et son cadre juridique en Tunisie. Rappelons à cet effet que l'audit de la sécurité des systèmes d'information est régi par le Chapitre II de la loi n° 5-2004 du 3 février 2004 et son décret associé 1250-2004 et conformément à l’arrêté du ministre des technologies de la communication et de l'économie numérique et du ministre du développement, de l’investissement et de la coopération internationale du 01 Octobre 2019, fixant le cahier des charges relatif à l'exercice de l’activité d’audit dans le domaine de la sécurité informatique.

Tous les organismes publics sont sujets à l'obligation d'audit périodique de la sécurité de leurs systèmes d'information. L’obligation de l’audit de la sécurité informatique concerne aussi les institutions privées suivantes :

  • Les acteurs qui manipulent des données personnelles du citoyen : Les entreprises qui procèdent au traitement automatisé des données personnelles de leurs clients,
  • Les opérateurs des infrastructures nationales critiques : Opérateurs des réseaux publics de télécommunication et fournisseurs de services de télécommunication et d’Internet,
  • Les (grandes) entreprises privées dont la sécurité pourrait affecter les infrastructures nationales de communication : Les entreprises dont les réseaux informatiques sont interconnectés à travers des réseaux publics de télécommunication ;

La périodicité de l'audit de sécurité est actuellement annuelle, conformément aux dispositions de l'article n°5 du décret 1250-2004
Toutefois et comme stipulé dans cet article, une entreprise pourrait demander le report de l'échéance de réalisation de son audit, en envoyant une demande dans ce sens, appuyée par les raisons qui ont motivé cette décision de report et la période de report demandée. Cette demande sera étudiée par les services de l'ANSI et une réponse sera adressée à l'organisme concerné (soit par l'acceptation si des raisons de force majeure ou d'intérêt clair ont été évoquées, soit par le refus avec explicitation des raisons de cette décision et éventuellement une réduction du champ de l'audit, le cas échéant).
Cette périodicité pourrait être modifiée dans le futur (réforme du décret), dès que la situation sécuritaire de nos SI aura atteint un niveau acceptable de sécurisation.

L'Agence Nationale de la Sécurité Informatique met à votre disposition un modèle de cahier des charges d'audit de la sécurité informatique  afin de vous faciliter l'élaboration de votre cahier des charges. Ce modèle doit être raffiné selon les besoins et les spécificités de votre organisme. Il est à noter qu'une équipe d'assistance est à votre entière disposition au sein de l'Agence Nationale de la Sécurité Informatique, pour vous aider dans l'élaboration des termes techniques de votre cahier des charges. Vous pouvez nous contacter :

  • En nous visitant au siège de l'agence (sis au 49 avenue Jean Jaurès, 1000 Tunis).
  • Par téléphone (au numéro 71 846 020, poste 174)
  • Par e-mail à l’adresse suivante : audit@ansi.tn

 

Conformément à la loi numéro n°5-2004 et à l’arrêté du ministre des technologies de la communication et de l'économie numérique et du ministre du développement, de l’investissement et de la coopération internationale du 01 Octobre 2019, les audits de la sécurité informatique doivent être effectués, sous la responsabilité d'un chef de mission Tunisien, préalablement certifié par l’Agence Nationale de la Sécurité Informatique conformément aux dispositions du cahier des charges relatif à l'exercice de l’activité d’audit dans le domaine de la sécurité informatique fixé par l’arrêté. De plus et conformément à l'article n° 9 de la loi, les auditeurs sont tenus par une contrainte de confidentialité absolue et encourent des peines pénales. En cas d'infraction, l'auditeur certifié est passible aux sanctions prévues à l'article 254 du code pénal.

La liste des auditeurs certifiés est disponible pour consultation (Cliquez ici)

Conformément à ce décret, les éléments suivants sont nécessaires :

  • Une description et une évaluation complète de la sécurité du système informatique, comprenant les mesures qui ont été adoptées depuis le dernier audit réalisé et les insuffisances enregistrées dans l’application des recommandations;
  • Une analyse précise des insuffisances organisationnelles et techniques relatives aux procédures et outils de sécurité adoptés, comportant une évaluation des risques qui pourraient résulter de l’exploitation des failles découvertes;
  • La proposition des procédures et des solutions organisationnelles et techniques de sécurité qui devront être adoptées pour dépasser les insuffisances découvertes."

De plus, le modèle de cahier de charges conçu par l'ANSI, explicite plus en détail le contenu de ces rapports :

Le rapport d’audit doit fournir un enregistrement complet, précis, concis et clair de l’audit, et doit inclure ou faire référence aux éléments suivants:

  • Champ de l’audit,
  • Méthodologie d’audit,
  • Synthèse des résultats de l’audit,
  • Présentation détaillée des résultats de l’audit,
  • Appréciation des risques,
  • Plan d’action.
  • Le rapport d’audit doit être daté, visé, porter le cachet de l’expert auditeur et être approuvé par le maitre d’ouvrage avant sa diffusion aux destinataires désignés par ce dernier.

Le rapport d'audit devra être envoyé à l'Agence Nationale de la sécurité Informatique (sous pli fermé et confidentiel), dix jours après la remise de la version définitive du rapport par l'expert auditeur, accompagné des PVs de réunions effectués durant la mission. Les services de l'ANSI sont tenus de vérifier que l'audit a été effectué conformément aux directives de l'article n° 6 du décret 1250-2004, tout en veillant à conserver une stricte confidentialité sur le contenu de ces rapports, conformément à l'article n°9 de la loi.

Le but principal des premières opérations d’audit est d’élever de manière efficace le niveau de sécurité de votre système, en tenant compte de la réalité de vos ressources humaines et financières.
C’est la règle du 20/80 qui est recherchée (20 % d’efforts pour atteindre une amélioration de 80% du niveau de sécurité).

En effet, un premier audit sera considéré comme réussi :

  • S’il permet d’identifier et de neutraliser les failles les plus dangereuses, qui nécessitent généralement peu d’efforts pour être éliminées (réaménagement de l’architecture du réseau, mise a jour des systèmes, mise en œuvre des fonctionnalités de sécurité offerts en standard par vos systèmes et éventuellement le déploiement d’outils de protection de base, dont quelques-uns pourraient être choisis, en complément des outils commerciaux et en cas de contraintes budgétaires, parmi la riche panoplie d’outils Open-Source disponibles.
  • S’il permet de sensibiliser le personnel et la DG sur les risques cachés, inhérents aux lacunes sécuritaires.
  • S’il permet d’aboutir à la désignation d’un Responsable Sécurité (RSSI : Responsable de la Sécurité du Système d’Information), de sorte que la sécurité ait la place qu’elle mérite et qu’une responsabilité (donc de l’effort concret) est dédié à cette tâche importante.
  • S’il institue une première politique de sécurité formelle, tenant compte de la gravité des risques, de la réalité humaine et financière de l’organisme et de la culture du personnel.
  • S’il édifie un plan d’action pragmatique (réalisable) sur une année, avec une vision stratégique sur trois années et s’il tient compte de la nécessaire formation des ressources humaines. En effet la sécurité est : 75% (minimum) d’expertise technique des techniciens chargés de la sécurité et de sensibilisation des utilisateurs.

Un audit de la sécurité permet l’établissement d’un plan de sécurité clair et l’édification d’un premier schéma directeur de sécurité ; ceci se traduit par un ensemble de procédures et de mesures a entreprendre pour aboutir à une élévation du niveau de sécurisation du système d’information d’une manière réaliste et évolutive. Ces mesures se traduisent en:

  • Des mesures organisationnelles à mettre place :
    • Structures organisationnelles ;
    • Politique de sécurité ;
    • Sensibilisation et Formation du personnel.
    • Plan de réaction et Plan de continuité ;
    • Mesures Physiques ;
    • Mécanismes de Protection logique ;
    • Mécanismes d’Audit.

Un bon audit est un audit qui tient compte de la réalité de l’organisme audité, de ses limites humaines et financières et qui Inclut l’élévation du niveau de sensibilisation du personnel et la formation des gestionnaires.

Conformément à l'article n°6 de la loi n°5-2004, l'Agence Nationale de la Sécurité Informatique avertit l'organisme concerné, qui devra effectuer l'audit dans un délai ne dépassant pas un mois à partir de la date de cet avertissement. A l'expiration de ce délai sans résultat, l'Agence Nationale de la Sécurité Informatique est tenue de désigner, aux frais de l'organisme contrevenant, un expert auditeur qui sera tenu d'accomplir la mission d'audit.