Le régime juridique

de l’audit de la
sécurité des réseaux
Elaboré par: Soumaya Berraies
& Imen Réjéb
Classe: Master 2 sécurité Opérationnelle
SupCom:2020/2021
Sommaire

• Contexte du sujet
• Problématique
• Cadre juridique
• Synthèse
• Conclusion
• Références
Contexte

• L’audit de sécurité du système d’information est un

examen méthodique d’une situation liée à la sécurité de l’information en vue de vérifier
sa conformité à:
 Des objectifs
 Des règles
 Des normes

• L’audit de système d’information est la première brique

d’une démarche de rationalisation de la gestion de son SI.
Objectifs

Evaluer la sécurité du système,

sécurité des équipements,
Evaluer l’efficacité et la
stockage et intégrité des
performance du système
données, en comparaison avec
les risques pour l’entreprise

Effectuer des recommandations Se mettre en conformité avec

pour adapter le SI aux besoins une législation, une norme ou 
de l’entreprise  une évolution technologique
Types d’audit
Audit de la
PS

Audit Audit de la mise

réglementaire en œuvre de PS

Audit de la prise
Audit de l’efficacité
en compte de la
des mesures de
sécurité dans un sécurité
projet
Problématique

 Comment sont encadrées ces opérations d’audit ?

 Quels sont les organismes soumis à l’obligation de l’audit?
 Par quel type de cadre règlementaire sont ils régis?
 Quelle sont les limites du cadre réglementaire de l’audit en Tunisie?
 Que propose le nouveau code numérique ?
Cadre réglementaire Tunisien

• Année 1999 : deux articles dans le code pénal tunisien (l’article 199 bis et 199 ter).

2004 2007 2019 2020 ?????

loi n°5-2004 du 3 fé
vrier 2004 Circulaire n° 19 - du l’arrêté du du 01 circulaire Nouvelles lois ?
11 avril 2007 Octobre 2019 du n°24 du 05 nove
ministre des mbre 2020 Code
technologies de la Numérique ?
• décret N°2004-1250 communication et
du 25 Mai 2004  de l'économie
numérique et du
• décret N°2004-1249 ministre du
développement, de
du 25 Mai 2004
l’investissement et
de la coopération
• décret N°2004-1248 internationale
du 25 Mai 2004  

Date 07
Cadre réglementaire Tunisien

1 loi n°5-2004 du 3 février 2004

Cette Loi a pour objectif d’organiser le domaine de la sécurité informatique et de fixer les règles
générales de protection des systèmes informatiques et réseaux :

• La création de l’ANSI( organisation administrative et financière, les missions ‘ fixé par le

décret N°2004-1248 du 25 Mai 2004
• Obligation d’audit périodique pour les SI et réseaux des organismes publics ( fixés par le décret
N°2004-1250 du 25 Mai 2004) à l’exception du MDN et MI
• Dispositions diverses ( déclaration d’incident, …)
Cadre réglementaire Tunisien
loi n°5-2004 du 3 février 2004
Cadre réglementaire Tunisien
loi n°5-2004 du 3 février 2004
Cadre réglementaire Tunisien

2 Décret N°2004-1249 du 25 Mai 2004 

Fixant les conditions et les procédures de

certifications des experts auditeurs dans le
domaine de sécurité informatique
Cadre réglementaire Tunisien

3 Décret N°2004-1250 du 25 Mai 2004 

•  Les Systèmes informatiques et les réseaux des organismes soumis à l’audit obligatoire
périodique de la sécurité informatique.

• Les critères relatifs:

 à la nature de l’audit et de sa périodicité.
• Aux procédures de suivi de l’application des recommandations contenus dans le rapport d’audit.

Assistance fournies à ces organismes :

 Modèles de Termes de référence
 Equipe pour les assister à la réalisation de leurs missions d’audit
Cadre réglementaire Tunisien
Décret N°2004-1250 du 25 Mai 2004 
Cadre réglementaire Tunisien
Décret N°2004-1250 du 25 Mai 2004 
Cadre réglementaire Tunisien
Décret N°2004-1250 du 25 Mai 2004 
Cadre réglementaire Tunisien
Arrêté du ministre des Tics et du ministre du développement et de la coopération
Internationale du 01 Octobre2019

4
• Fixe les personnes habilitées à effectuer les
missions d'audit ( auditeurs certifiés par
l'ANSI )
• Un nouveau cahier des charges relatif à
l'exercice de l’activité d’audit dans le domaine
de la sécurité informatique.
Cadre réglementaire Tunisien

5Circulaire n°24 du 05 novembre 2020

• Renforcement des mesures de sécurité des systèmes d'information dans les
établissements publiques
 Création d'un Comité de pilotage et d'une Cellule opérationnelle de sécurité
 Nomination d'un Responsable de la Sécurité des Systèmes d'Information
RSSI.
• L'ensemble des mesures à respecter, par ces établissements, pour la
sécurité des sites web et des services en ligne.
Cadre réglementaire Tunisien
 Autres lois et décrets tunisiens

• Loi organique n° 63 - 2004 du 27 juillet 2004, portant sur la protection des données a
caractère personnel.
• Loi n° 99-89 du 2 aout 1999, modifiant et complétant certaines dispositions du code pénal
relative au Cybercriminalité, Articles : 199 bis et 199 ter.
• Circulaire n° 19 - du 11 avril 2007, relatif au renforcement des mesures de sécurité
informatique dans les établissements publiques (Création d'une Cellule Technique de
Sécurité, nomination d'un Responsable de la Sécurité des Systemes d'Information RSSI ; et
mise en place d'un Comité de pilotage).
• Circulaire n° 22 - 2004, portant sur la sureté des locaux appartenant aux ministères et aux
entreprises publiques.
• Circulaire n° 19 du 18 juillet 2003, relatif aux mesures de sécurité et de prévention des
bâtiments des ministères et des collectivités locales et des entreprises publiques
Limites

- Obligation d’audit sans « pouvoir » de sanction régie par une loi

- Pas d’obligation d’ application des recommandations d’audit
- Les mises à jours au niveau du cahier des charges pour la certifications des auditeurs
( personnes Physiques) qui a avait pour but :
 Encourager l’investissement ;
 Des auditeurs par secteur spécialisé ( industriel ,etc ….)
le nombre d’auditeurs a diminué ( exp: remettre une patente)
 ‫?‪Une nouvelle réforme : Le code Numérique‬‬
‫• الباب الثاني‬

‫في حماية الفضاء الرقمي‬ ‫•‬

‫القسم األول‬ ‫•‬
‫سالمة األنظمة والشبكات‬ ‫•‬
‫– الفصل ‪163‬‬ ‫•‬
‫تخضع للتدقيق اإلجباري والدوري للسالمة الرقمية ‪:‬‬ ‫•‬
‫– النظم المعلوماتية والشبكات الراجعة بالنظر إلى مختلف الهياكل العمومية‪ ،‬باس‪x‬تثناء النظم‬ ‫•‬
‫المعلوماتية وشبكات وزارتي الدفاع الوطني والداخلية‪.‬‬ ‫•‬
‫– النظم‪ x‬المعلوماتية وشبكات الهياكل التي يتم ض‪x‬بطها بأمر حكو‪x‬مي‪،‬‬ ‫•‬
‫• – نظم مشغلي البنى التحتية الرقمية الحساسة والحيوية والذين يقع ضبطهم بقرار من الوكالة‬
‫• الوطنية للثقة والسالمة الرقمية‪.‬‬
‫‪Liste des OIVs‬‬ ‫• وتضبط بمقتضى أمر حكومي إجراءات التد‪x‬قيق اإلجباري بعد أخذ رأي الوكالة الوطنية للثقة‬
‫• والسالمة الرقمية‪.‬‬
‫?‪Une nouvelle réforme : Le code Numérique‬‬
‫– الفصل ‪164‬‬
‫• يخضع كل شخص‪ x‬طبيعي أو معنوي يرغب في تعاطي نشاط خبير التدقيق في السالمة‬
‫• المعلوماتية‪ ،‬باإلضافة إلى أحكام هذه المجلة‪ ،‬إلى كراس شروط تعده الوكالة الوطنية للثقة والسالمة الرقمية وتت ّم المصادقة عليه بقرار من الوزير المكلف‬
‫باإلتصاالت اإللكترونية‪.‬‬
‫– الفصل ‪165‬‬
‫• على الشخص‪ x‬الذي يرغب في ممارسة النشاط المذكور بالفصل ‪ 164‬من هذه المجلة أن يتقدم‬
‫• بتصريح لدى الوكالة الوطنية للثقة والسالمة الرقمية حسب صيغ تحددها الوكالة‪ .‬تسند الوكالة حال تسلمها للتصريح صحبة الوثائق المصاحبة له وصل إيداع‬
‫بعد أن تتثبت من استيفاء الملف لكامل الوثائق الالزمة‪ .‬وللوكالة أن تطالب صاحب التصريح باستكمال ملفه في أجل الشهر من تاريخ وصل اإليداع‪.‬‬
‫• للوكالة أن تتخذ قرارا برفض‪ x‬التصريح في أجل شهرين من تاريخ توصلها بالتصريح مستوفيا لموجباته إذا اتضح أن النشاط المصرح به مخالف للقانون أو‬
‫ألحكام هذه المجلة أو لبنود كراس الشروط‪ .‬ويعتبر عدم إجابة الوكالة في األجل السابق الذكر اعتمادا للتصريح‪.‬‬
‫لفصل ‪166‬‬ ‫•‬
‫يتعين على الهياكل العمومية والخاصة‪ ،‬تمكين الوكالة والخبراء الذين يتم تكليفهم بعملية التدقيق‬ ‫•‬
‫من االطالع على‪ x‬جميع الوثائق والملفات الخاص‪x‬ة بالسالمة الرقمية قصد القيام بمهامهم‪.‬‬ ‫•‬
‫– الفص‪x‬ل ‪167‬‬ ‫•‬
‫يحجر على أعوان الوكالة وعلى الخبراء المكلفين بأعمال التدقيق‪ ،‬إفشاء أي معلومات أمكن لهم‬ ‫•‬
‫االطالع عليها بمناسبة قيامهم بالمهام الموكولة إليهم‪.‬‬ ‫•‬
‫تسلط العقوبات المقررة بالفص‪x‬ل ‪ 254‬من المجلة الجزائية على كل من يفشي هذه المعلومات أو‬ ‫•‬
‫يشارك في إفشائها أو يحث على ذلك‬ ‫•‬
‫?‪Une nouvelle réforme : Le code Numérique‬‬
‫• الفصل ‪168‬‬
‫• في صورة عدم قيام الهياكل المعنية بإجراءات التدقيق اإلجباري الدوري‪ ،‬تتولى الوكالة التنبيه على الهيكل المعني الذي يتعين عليه‬
‫القيام بهذا التدقيق في أجل ال يتجاوز شهرا ابتداء من تاريخ التنبيه‪.‬‬
‫• وعند انقضاء هذا األجل دون نتيجة‪ ،‬على الوكالة تعيين خبير يعهد إليه التدقيق المشار إليه أعاله‬
‫• على نفقة الهيكل المخالف‪.‬‬
‫• ‪ .‬وال يحول اتخاذ هذه اإلجراءات دون تطبيق مقتضيات الفصل ‪182‬‬
‫• الفصل ‪182‬‬
‫يمكن للوكالة تسليط عقوبات مالية تتراوح بين خمسة آالف وخمسة عشر ألف دينار على كل‬ ‫•‬
‫شخص طبيعي أو معنوي‪:‬‬ ‫•‬
‫– يهدد سالمة البنية التحتية الرقمية الحساسة والحيوية‪،‬‬ ‫•‬
‫– يخالف مخططات ضمان استمرارية الخدمات أو األنشطة ومخططات استئناف عمل النظم‬ ‫•‬
‫المعلوماتية والشبكات الحساسة والحيوية المصادق عليها من الوكالة ‪،‬‬ ‫•‬
‫–ال يجري التدقيق اإلجباري الدوري‪.‬‬ ‫•‬
‫?‪Une nouvelle réforme : Le code Numérique‬‬
‫الفصل ‪183‬‬ ‫•‬
‫في صورة مخالفة الخبير المدقق ألحكام هذه المجلة وللتراتيب الجاري بها العمل‪ ،‬يمكن للوكالة‬ ‫•‬
‫أن تتخذ إحدى العقوبات التالية ‪:‬‬ ‫•‬
‫– اإليقاف الوقتي عن ممارسة النشاط لمدة تتراوح بين ثالثة أشهر وسنة وعلى الخبير المدقق‬ ‫•‬
‫المعني إعالم المتعاملين معه وتعليق العمليات الجارية إلى حين تسوية وضعيته‪.‬‬ ‫•‬
‫– اإليقاف النهائي عن ممارسة النشاط بمقتضى قرار معلل من قبل المدير العام للوكالة في‬ ‫•‬
‫صورة ارتكاب خطأ جسيم وعلى الخبير المدقق المعني إعالم المتعاملين معه ويمنع منعا باتا‬ ‫•‬
‫من ممارسة نشاط التدقيق‪.‬‬ ‫•‬
‫تتولى الوكالة نشر القرارات المتعلقة باإليقاف الوقتي وباإليقاف النهائي للنشاط‪.‬‬ ‫•‬
Conclusion

La réglementation dans le domaine de la sécurité en information en Tunisie et plus précisément dans

l’audit réglementaire est anticipée avant plusieurs pays dans le monde qui a permis de renforcer son
index de cybersécurité à l’échelle internationale

Les dernières réformes ont impacté à plusieurs niveaux l’aspect concurrence et l’aspect qualité vu que
la dite réforme a eu un effet inverse qui s’est manifesté par la réduction du nombre d’auditeurs certifiés

Une application dans le futur proche du code numérique est fortement recommandée en vue de
renforcer la gouvernance de la sécurité de l’information et la confiance numérique en Tunisie
Référence

• RÉFÉRENCES
https://www.ansi.tn/
https://www.mtcen.gov.tn/
https://legislation-securite.tn/

Draft du Code numérique 2019