Dans son
bulletin d’information (N°2007-008), le Computer Emergency Response Team –
Tunisian Coordination Center donne d’importantes informations sur la
sécurité des systèmes d’information en Tunisie.
D’abord,
le CERT rappelle que l’audit de la sécurité de l’information est régi par le
Chapitre II de la
loi n°2004-5 du
3 février 2004 et ses décrets associés
1249-2004 et
1250-2004.
Ensuite,
il énumère les questions les plus fréquemment posées concernant les audits
de sécurité en Tunisie :
Ce qui
est intéressant, ce qu’il apporte des éléments de réponse à l’ensemble de
ces questions, avec force détail.
Morceau choisi.
En effet, à la question ‘’Qui sont les organismes concernés par l’obligation
d’audit de la sécurité de leurs systèmes d’information?’’, le CERT souligne
que ‘’tous les organismes publics sont sujets à l’obligation d’audit
périodique de la sécurité de leurs systèmes d’information…’’. Mais pas
seulement, car l’obligation de l’audit de la sécurité informatique concerne
aussi les institutions privées suivantes :
les acteurs qui
manipulent des données personnelles du citoyen :
les entreprises qui procèdent au traitement automatisé des données
personnelles de leurs clients ;
les opérateurs des
infrastructures nationales critiques : opérateurs
des réseaux publics de télécommunication et fournisseurs de services de
télécommunication et d’Internet ;
les (grandes)
entreprises privées dont la sécurité pourrait affecter les infrastructures
nationales de communication :
les entreprises dont les réseaux informatiques sont interconnectés à
travers des réseaux publics de télécommunication.
A la
question ‘’Quelle est la périodicité de réalisation des opérations d’audit
de sécurité ?’’,
ce
qu’écrit le CERT :‘’La périodicité de l’audit de sécurité est actuellement annuelle,
conformément aux dispositions de l’article n°5 du décret
1250-2004.
Toutefois et comme stipulé dans cet article, une entreprise pourrait
demander le report de l’échéance de réalisation de son audit, en envoyant
une demande dans ce sens, appuyée par les raisons qui ont motivé cette
décision de report et la période de report demandée. Cette demande sera
étudiée par les services de l’ANSI et une réponse sera adressée à
l’organisme concerné (soit par l’acceptation si des raisons de force majeure
ou d’intérêt clair ont été évoquées, soit par le refus avec explicitation
des raisons de cette décision et
éventuellement une réduction du champs de l’audit, le cas
échéant)’’.
Et de préciser : «Cette
périodicité pourrait être modifiée dans le futur (réforme du décret), dès
que la situation sécuritaire de nos SI aura atteint un niveau acceptable de
sécurisation’’.
‘’Si je
ne fais pas mon audit de la sécurité, qu’est-ce que j’encours ?’’
Conformément à l’article n°6 de
la loi n°5-2004, l’Agence Nationale de la Sécurité Informatique
avertit l’organisme concerné, qui devra effectuer l’audit dans un délai ne
dépassant pas un mois à partir de la date de cet avertissement. A
l’expiration de ce délai sans résultat, l’Agence Nationale de la Sécurité
Informatique est tenue de désigner, aux frais de l’organisme contrevenant,
un expert auditeur qui sera tenu d’accomplir la mission d’audit.
‘’Qui effectue
l’opération d’audit de la sécurité d’un système d’information ?’’
Conformément au décret 1250-2004, les audits de la sécurité informatique
doivent être effectués, sous la responsabilité d’un chef de mission
tunisien, préalablement certifié par l’Agence Nationale de la Sécurité
Informatique.
Le
certificat d’auditeur dans le domaine de la sécurité informatique est
délivré pour une période de 3 années renouvelables. De plus et conformément
à l’article n°9 de la loi, les auditeurs sont tenus par une contrainte de
confidentialité absolue et encourent des peines pénales. En cas
d’infraction, l’auditeur certifié est passible aux sanctions prévues à
l’article 254 du code pénal.
La liste des
auditeurs certifiés est disponible pour consultation sur le site de l’Agence
Nationale de la Sécurité Informatique :www.ansi.tn
…
Comment
se déroule une mission d’audit de la sécurité ?
Un
audit de sécurité consiste à valider les moyens de protection mis en oeuvre
sur les plans organisationnels, procéduraux et techniques, au regard de la
politique de sécurité en faisant appel à un tiers de confiance expert en
audit sécurité informatique. L’audit de sécurité conduit, au delà du
constat, à analyser les risques opérationnels et à proposer des
recommandations et plans d’actions quantifiées et hiérarchisées pour
corriger les vulnérabilités et réduire l’exposition aux risques.
L’audit de la sécurité du système d’information est décomposé en deux
grandes phases :
Phase d’audit des
aspects organisationnels,
conformément au référentiel normatif international ISO/IEC 17799, avec une
évaluation et calcul des risques inhérents.
Phase d’audit
technique
: une analyse technique de la sécurité de toutes les composantes du
système informatique et la réalisation de tests de leur résistance face
aux attaques; avec une analyse et une évaluation des dangers qui
pourraient résulter de l’exploitation des failles découvertes suite à
l’opération d’audit.
A
rajouter à ces deux phases, une première phase (de lancement), englobant une
opération de sensibilisation du personnel.
L’équipe
intervenant dans une mission d’audits doit être composée d’experts dans les
différents domaines de la sécurité (et éventuellement de consultants), et
est toujours dirigée par un chef de projet certifié, responsable des
opérations et des livrables.
—————–
Pour plus
d’informations, contacter: Cert-TCC (Computer Emergency Response Team –
Tunisian Coordination Center) – Agence Nationale de la Sécurité Informatique
– Ministère les Technologies de la Communication
Adresse :
94, Av Jugurtha, Mutuelle Ville, 1002 Tunis, Tunisie