Un nouveau décret présidentiel sur la cybersécurité a été publié dans le Jort du samedi 11 mars 2023. Le texte de loi tend à organiser davantage le domaine de la cybersécurité en Tunisie ainsi que les missions de l’Agence nationale de la sécurité informatique (Ansi) chargée de la gouvernance du cyberesapce national. Sa nomination devient par ailleurs “Agence nationale de la sécurité cybernétique”.
Entre autres missions, l’Ansi sera chargée d’attribuer le label « sécurisé » à chaque logiciel ou équipement électronique sur demande du développeur ou de l’importateur. Ce label, facultatif, est renouvelé tous les trois ans, et peut être retiré avant l’expiration de la durée de la validité en cas de modification des caractéristiques techniques ou survenance de changement technologique qui introduit des failles au logiciel ou équipement électronique.
Les procédures et conditions d’octroi du label « sécurisé » et de son retrait seront fixées par arrêté du ministre chargé du portefeuille des Technologies de la communication.
Un registre national des logiciels et équipements électroniques ayant obtenu le label « sécurisé » sera publié par l’Ansi et mis à jour régulièrement.
En vertu de ce décret, les structures qui gèrent des infrastructures numériques d’importance vitale sont tenues d’utiliser des logiciels et équipements ayant le label « sécurisé », avoir leur propre centre d’hébergement principal et un centre de backup auprès d’un fournisseur de services informatique en nuage ayant obtenu le label, et respecter les mesures et les procédures nécessaires pour assurer la continuité d’activité et protéger les bases de données sensibles dont l’atteinte à l’intégrité pourrait affecter à la sécurité nationale en cas de crise cybernétique, et ce selon un manuel de procédure approuvé par décret sur proposition du ministre chargé des Technologies de la communication.
L’Ansi sera, également, chargée d’attribuer, renouveler et retire le label « Fournisseur de services informatique en nuage gouvernemental (G-cloud) » et le label « Fournisseur de services informatique en nuage national (N-cloud) » aux fournisseurs des services d’hébergement après avis des ministres de la défense nationale et de l’intérieur.
Le label « Fournisseur de services informatique en nuage gouvernemental (G-cloud) » et le label « Fournisseur de services informatique en nuage national (N-cloud) » sont renouvelés annuellement, selon le même décret.
L’Ansi est, également, amenée à élaborer et appliquer le plan national de réponse aux urgences cybernétiques en collaboration avec les centres de réponse aux urgences cybernétiques sectoriels publics et privés, mettre en place les modalités techniques nécessaires à la détection précoce des incidents et attaques cybernétiques qui menacent l’espace cybernétique, mettre en place et exploiter les canaux de signalement des incidents et attaques cybernétiques, réduire les répercussions des incidents et attaques cybernétiques et garantir la continuité de l’activité et la récupération rapide de leurs effets, ou encore alerter les institutions, les administrations et les individus, renforcer les systèmes d’information, gérer les incidents, organiser et coordonner les efforts pour remédier aux faiblesses, les étudier, les analyser et prévoir les solutions appropriées.
Plusieurs sanctions sont, également, prévues dans ce décret en cas d’infraction ; une amende de cinquante mille (50 000) dinar à cent mille (100 000) dinar les organismes mentionnés à l’article 6 du présent décret-loi, et classés au troisième niveau, et ce dans les cas suivants :
- La non-réalisation de l’audit obligatoire et périodique de sécurité des systèmes d’information.
- La non-exécution des recommandations du rapport d’audit ou leur exécution partielle dans un délai n’excédant pas une année.
- Le non-respect des mesures d’urgence prescrites par le point de contact national pour la réponse aux urgences cybernétiques ou les centres de réponse aux urgences cybernétiques suite à la survenance d’un incident ou d’une attaque cybernétique.
- Le non-relève des défaillances dans le délai mentionné à l’article 17 du présent décret-loi.
- La non-création d’un centre de réponse aux urgences cybernétique ou la non adhésion aux centres de réponse aux urgences cybernétiques.
Pour consulter le texte, veuillez consulter le site web du JORT et cherchez “JORT n°: 026 du 11/03/2023”
W.N