L’agence nationale de
sécurité informatique est née
Par
Khaled Boumiza
Au cours d’une séance plénière, la chambre des députés a adopté, mardi 13
janvier 2004, un projet de loi traitant de la sécurité informatique. Dans la
présentation du projet de loi, la chambre précise qu’il a essentiellement
pour but de renforcer la capacité concurrentielle de l’économie, la
promotion de l’emploi et de l’exportation. Il vise surtout à garantir la
sécurité des réseaux Tunisiens, contre les attaques des « hackers », les
tentatives de pénétration et de craquage.
Le législateur estime en effet que les techniques de craquage se sont
développées et les attaques se sont multipliées. Elles ont ciblé les
systèmes d’information, les banques de données, les équipements de
télécommunication, fil et sans fil, les échanges électroniques et les
applications multimédia touchant à l’Internet. Pour faire face à tout cela,
le projet de loi prévoit essentiellement deux mesures.
La première a été l’adoption du principe de création d’une agence nationale
de la sécurité informatique (ANSI). Cette agence, précise le projet de loi,
ne devrait pas avoir le caractère administratif, sera placée sous tutelle du
ministère des technologies de la communication et du transport, devrait
jouir de l’indépendance financière et qui sera chargée de l’application des
orientations stratégiques en matière de sécurité informatique.
Une Agence de sécurité et des auditeurs agréés.
Le projet détaille ensuite ces orientations. Il s’agit de l’application des
plans et programmes en relation avec la sécurité informatique, d’assurer une
veille technologique et de mettre au point les normes de son domaine
d’intervention, d’encourager et de promouvoir la mise au point de solution
tunisiennes en matière de sécurité, d’organiser des rencontres et des
séminaires de sensibilisation, de mettre au point des programmes de
formation et de veiller à l’application des mesures concernant l’obligation
de l’audit sécurité.
Cet audit, est en fait la seconde grande nouveauté de ce texte de loi.
Celle-ci se propose de mettre au point un système d’audit de sécurité des
systèmes informatique et précise que cet audit devra être obligatoire et
périodique. Elle concernera les systèmes d’information et les réseaux de
tous les organismes et les structures publics, à l’exception de ceux des
ministères de la défense nationale et de l’intérieur. Elle devra aussi
concerner, les systèmes d’informations et les réseaux de certains autres
organismes et structures privés, qui seront détaillés dans un décret à
sortir après promulgation de la loi. La mission d’audit sera confiée à des
spécialistes agréés par l’ ANSI.
L’obligation d’information sur les attaques
Un cycle de formation professionnelle devrait être mis en place pour les
auditeurs, dont les diplômes seront reconnus et agréés par l’ANSI. Ceci
constituera sans doute un nouveau débouché pour les diplômés de
l’enseignement supérieur et de nouvelles opportunités d’emploi.
L’informatisation prenant de plus en plus un caractère rampant, il ne se
trouvera désormais aucune « boite » publique ou privée qui n’aura recours à
ce genre de nouveaux « vigiles » de l’Internet et des systèmes de
communication.
Le projet de loi institue aussi l’obligation d’informer l’ANSI de toutes les
attaques ou tentative de pénétration de tout système d’information qu’il
soit public ou privé. L’obligation est motivée par la possibilité qui doit
être donnée à l’ANSI d’intervenir, de traiter le problème ou d’endiguer la
percée et d’éviter que ces opérations ne mettent en péril le bon
fonctionnement d’autres réseaux ou systèmes d’informations. Nous y
reviendrons certainement avec plus de détails.
|