Au cours d'une séance plénière, la chambre des députés a adopté, mardi 13 janvier 2004, un projet de loi traitant de la sécurité informatique. Dans la présentation du projet de loi, la chambre précise qu'il a essentiellement pour but de renforcer la capacité concurrentielle de l'économie, la promotion de l'emploi et de l'exportation. Il vise surtout à garantir la sécurité des réseaux Tunisiens, contre les attaques des « hackers », les tentatives de pénétration et de craquage. Le législateur estime en effet que les techniques de craquage se sont développées et les attaques se sont multipliées. Elles ont ciblé les systèmes d'information, les banques de données, les équipements de télécommunication, fil et sans fil, les échanges électroniques et les applications multimédia touchant à l'Internet. Pour faire face à tout cela, le projet de loi prévoit essentiellement deux mesures.
La première a été l'adoption du principe de création d'une agence nationale de la sécurité informatique (ANSI). Cette agence, précise le projet de loi, ne devrait pas avoir le caractère administratif, sera placée sous tutelle du ministère des technologies de la communication et du transport, devrait jouir de l'indépendance financière et qui sera chargée de l'application des orientations stratégiques en matière de sécurité informatique. Une Agence de sécurité et des auditeurs agréés. Le projet détaille ensuite ces orientations. Il s'agit de l'application des plans et programmes en relation avec la sécurité informatique, d'assurer une veille technologique et de mettre au point les normes de son domaine d'intervention, d'encourager et de promouvoir la mise au point de solution tunisiennes en matière de sécurité, d'organiser des rencontres et des séminaires de sensibilisation, de mettre au point des programmes de formation et de veiller à l'application des mesures concernant l'obligation de l'audit sécurité. Cet audit, est en fait la seconde grande nouveauté de ce texte de loi. Celle-ci se propose de mettre au point un système d'audit de sécurité des systèmes informatique et précise que cet audit devra être obligatoire et périodique. Elle concernera les systèmes d'information et les réseaux de tous les organismes et les structures publics, à l'exception de ceux des ministères de la défense nationale et de l'intérieur. Elle devra aussi concerner, les systèmes d'informations et les réseaux de certains autres organismes et structures privés, qui seront détaillés dans un décret à sortir après promulgation de la loi. La mission d'audit sera confiée à des spécialistes agréés par l' ANSI. L'obligation d'information sur les attaques Un cycle de formation professionnelle devrait être mis en place pour les auditeurs, dont les diplômes seront reconnus et agréés par l'ANSI. Ceci constituera sans doute un nouveau débouché pour les diplômés de l'enseignement supérieur et de nouvelles opportunités d'emploi. L'informatisation prenant de plus en plus un caractère rampant, il ne se trouvera désormais aucune « boite » publique ou privée qui n'aura recours à ce genre de nouveaux « vigiles » de l'Internet et des systèmes de communication. Le projet de loi institue aussi l'obligation d'informer l'ANSI de toutes les attaques ou tentative de pénétration de tout système d'information qu'il soit public ou privé. L'obligation est motivée par la possibilité qui doit être donnée à l'ANSI d'intervenir, de traiter le problème ou d'endiguer la percée et d'éviter que ces opérations ne mettent en péril le bon fonctionnement d'autres réseaux ou systèmes d'informations. Nous y reviendrons certainement avec plus de détails.
