Dans son bulletin d'information (N°2007-008), le Computer Emergency Response Team - Tunisian Coordination Center donne d'importantes informations sur la sécurité des systèmes d'information en Tunisie. D'abord, le CERT rappelle que l'audit de la sécurité de l'information est régi par le Chapitre II de la loi n°2004-5 du 3 février 2004 et ses décrets associés 1249-2004 et 1250-2004. Ensuite, il énumère les questions les plus fréquemment posées concernant les audits de sécurité en Tunisie : * Qui sont les organismes (publics et privés) concernés par l'obligation d'audit de la sécurité de leurs systèmes d'information? * Quelle est la périodicité de l'audit de la sécurité et peut-t-elle être repoussée ? * Si je ne fais pas mon audit de sécurité, qu'est ce j'encours? * Comment procéder pour préparer mon cahier de charges d'audit? * Quels sont les délivrables d'une mission d'audit de la sécurité et dois-je les envoyer à l'ANSI? * Qui effectue l'opération d'audit la sécurité d'un système d'information ? * Quel serait l'apport d'une mission d'audit de sécurité ? * Comment se déroule une mission d'audit de la sécurité, quelles sont ses phases et quelles sont les méthodologies d'audit les plus populaires ? Ce qui est intéressant, ce qu'il apporte des éléments de réponse à l'ensemble de ces questions, avec force détail. Morceau choisi. En effet, à la question 'Qui sont les organismes concernés par l'obligation d'audit de la sécurité de leurs systèmes d'information?'', le CERT souligne que 'tous les organismes publics sont sujets à l'obligation d'audit périodique de la sécurité de leurs systèmes d'information ''. Mais pas seulement, car l'obligation de l'audit de la sécurité informatique concerne aussi les institutions privées suivantes : * les acteurs qui manipulent des données personnelles du citoyen : les entreprises qui procèdent au traitement automatisé des données personnelles de leurs clients ; * les opérateurs des infrastructures nationales critiques : opérateurs des réseaux publics de télécommunication et fournisseurs de services de télécommunication et d'Internet ; * les (grandes) entreprises privées dont la sécurité pourrait affecter les infrastructures nationales de communication : les entreprises dont les réseaux informatiques sont interconnectés à travers des réseaux publics de télécommunication. A la question 'Quelle est la périodicité de réalisation des opérations d'audit de sécurité ?'', ce qu'écrit le CERT : 'La périodicité de l'audit de sécurité est actuellement annuelle, conformément aux dispositions de l'article n°5 du décret 1250-2004. Toutefois et comme stipulé dans cet article, une entreprise pourrait demander le report de l'échéance de réalisation de son audit, en envoyant une demande dans ce sens, appuyée par les raisons qui ont motivé cette décision de report et la période de report demandée. Cette demande sera étudiée par les services de l'ANSI et une réponse sera adressée à l'organisme concerné (soit par l'acceptation si des raisons de force majeure ou d'intérêt clair ont été évoquées, soit par le refus avec explicitation des raisons de cette décision et éventuellement une réduction du champs de l'audit, le cas échéant)''. Et de préciser : «Cette périodicité pourrait être modifiée dans le futur (réforme du décret), dès que la situation sécuritaire de nos SI aura atteint un niveau acceptable de sécurisation''. 'Si je ne fais pas mon audit de la sécurité, qu'est-ce que j'encours ?'' Conformément à l'article n°6 de la loi n°5-2004, l'Agence Nationale de la Sécurité Informatique avertit l'organisme concerné, qui devra effectuer l'audit dans un délai ne dépassant pas un mois à partir de la date de cet avertissement. A l'expiration de ce délai sans résultat, l'Agence Nationale de la Sécurité Informatique est tenue de désigner, aux frais de l'organisme contrevenant, un expert auditeur qui sera tenu d'accomplir la mission d'audit. 'Qui effectue l'opération d'audit de la sécurité d'un système d'information ?'' Conformément au décret 1250-2004, les audits de la sécurité informatique doivent être effectués, sous la responsabilité d'un chef de mission tunisien, préalablement certifié par l'Agence Nationale de la Sécurité Informatique. Le certificat d'auditeur dans le domaine de la sécurité informatique est délivré pour une période de 3 années renouvelables. De plus et conformément à l'article n°9 de la loi, les auditeurs sont tenus par une contrainte de confidentialité absolue et encourent des peines pénales. En cas d'infraction, l'auditeur certifié est passible aux sanctions prévues à l'article 254 du code pénal. La liste des auditeurs certifiés est disponible pour consultation sur le site de l'Agence Nationale de la Sécurité Informatique :www.ansi.tn Comment se déroule une mission d'audit de la sécurité ? Un audit de sécurité consiste à valider les moyens de protection mis en oeuvre sur les plans organisationnels, procéduraux et techniques, au regard de la politique de sécurité en faisant appel à un tiers de confiance expert en audit sécurité informatique. L'audit de sécurité conduit, au delà du constat, à analyser les risques opérationnels et à proposer des recommandations et plans d'actions quantifiées et hiérarchisées pour corriger les vulnérabilités et réduire l'exposition aux risques. L'audit de la sécurité du système d'information est décomposé en deux grandes phases : * Phase d'audit des aspects organisationnels, conformément au référentiel normatif international ISO/IEC 17799, avec une évaluation et calcul des risques inhérents. * Phase d'audit technique : une analyse technique de la sécurité de toutes les composantes du système informatique et la réalisation de tests de leur résistance face aux attaques; avec une analyse et une évaluation des dangers qui pourraient résulter de l'exploitation des failles découvertes suite à l'opération d'audit. A rajouter à ces deux phases, une première phase (de lancement), englobant une opération de sensibilisation du personnel. L'équipe intervenant dans une mission d'audits doit être composée d'experts dans les différents domaines de la sécurité (et éventuellement de consultants), et est toujours dirigée par un chef de projet certifié, responsable des opérations et des livrables. ----------------- Pour plus d'informations, contacter: Cert-TCC (Computer Emergency Response Team - Tunisian Coordination Center) - Agence Nationale de la Sécurité Informatique - Ministère les Technologies de la Communication Adresse : 94, Av Jugurtha, Mutuelle Ville, 1002 Tunis, Tunisie Tel : 71 843 200 Numéro Vert : 80 100 267 T.B.
