Les incidents cybernétiques enregistrés annuellement en Tunisie restent limités et ont atteint à peine 526 incidents en 2009. Mais, en Informatique comme en santé, il vaut mieux prévenir que guérir, en prêtant toute l'attention requise à la sécurisation des systèmes d'information. Dans ce contexte, les 3èmes Rencontres annuelles des responsables de la sécurité des systèmes d'information, en Tunisie, ouvertes, hier matin, au pôle technologique des communications d'El Ghazala à l'Ariana, ont eu une nouvelle occasion pour mettre en relief la nécessité de renforcer les actions de sensibilisation dans ce sens afin d'instaurer et de diffuser la culture de la sécurité informatique à grande échelle. Organisée par l'Agence nationale de la sécurité informatique (ANSI), sous l'égide du ministère des technologies de la communication autour du thème ‘'la sécurité en tant que service'', cette manifestation étalée sur deux jours entre dans le cadre de la sensibilisation générale à l'importance de la sécurité informatique et de la sécurisation des systèmes d'information. Une sécurisation intégrale Donnant le coup d'envoi des travaux, Mme Lamia Chafei Séghaier, secrétaire d'Etat auprès du ministre des technologies de la communication, chargée de l'Informatique, de l'Internet et des logiciels libres, a qualifié la sécurisation des systèmes d'information de ‘'domaine stratégique'', se félicitant des efforts soutenus de sensibilisation à cette question, déployés par les divers acteurs et intervenants. Elle a rappelé la place de choix que le secteur des technologies de l'information et de la communication (TIC) occupe en Tunisie, sur le plan économique et social, notant qu'il est devenu une véritable locomotive de l'œuvre de développement, participant à hauteur de plus de 30% dans la croissance économique. Après avoir évoqué les mesures d'ordre juridique et institutionnel très avancées adoptées pour renforcer la sécurité des systèmes informatiques, la secrétaire d'Etat a signalé que la Tunisie se prévaut d'avoir mis en place, à l'échelle africaine, le premier Centre de réponse d'urgence aux incidents informatiques ‘' Computer Emergency Response Team—Tunisian Coordination Center, Cert- Tcc) et qui a été admis au Premier Forum des Centres de réponse d'urgence aux incidents informatiques (First Forum of Incident Response and Security Teams). M. Belhassen Zouari, directeur général de l'Agence nationale de la Sécurité informatique (ANSI), a dressé un bilan positif en matière de sécurisation des systèmes d'information en Tunisie, tant au niveau du cadre juridique et institutionnel qu' à l'échelle de l'adhésion des entreprises et des intéressés au concept. Les textes définissant le crime cybernétique et sa sanction remontent en Tunisie à 1999. Aussi, selon M. Zouari, sur les 526 incidents cybernétiques enregistrés en 2009 en Tunisie plus de la moitié sont de simples pannes, mais ils comportent aussi des infections virales, des attaques venues principalement de l'extérieur, des intrusions (9%), et des vols de données (4%). A cet égard, le directeur général de l'ANSI a souligné l'importance d'étendre la sécurisation à toutes les composantes des systèmes d'information, réseaux et applications, et d'intégrer la notion de sécurisation à partir de la construction et de l'architecture, c'est-à-dire y penser lors de l'élaboration du système. Pour améliorer les prestations dans ce domaine, l'Agence compte élaborer un rapport type d'audit de sécurité et créer un label de qualité des sites WEB qui tient compte de la sécurité informatique, outre l'encouragement à l'obtention de Certificat de conformité aux normes internationales en la matière ISO 27001. Le risque zéro n'existe pas, a-t-il dit. L'externalisation comme solution Le sujet essentiel discuté au cours de ces troisièmes Rencontres intéresse plus particulièrement l'externalisation de la procédure de sécurité, c'est-à-dire le fait pour une société de confier à une autre société de prendre en charge la sécurité de son système informatique et ce dans le cadre de l'externalisation des services devenue très fréquente en ce qui concerne tous les types de services. La société qui procède à l'externalisation, a le moyen de s'occuper principalement du cœur du métier, c'est-à-dire de ses tâches essentielles, comme la production de tel ou tel article industriel, ou la prestation de tel ou tel service en particulier. L'externalisation offre ainsi l'opportunité de diffuser la pratique de la sécurisation des systèmes informatiques, en la confiant à des entreprises spécialisées.
