SlideShare une entreprise Scribd logo
ASPECTS RÉGLEMENTAIRES DE LA S.S.I
EN TUNISIE
SUJET :
Université de la Manouba
École Supérieure d’Économie Numérique
Elaboré par:
Hanen Ben Saad
Seifeddine Dridi
Ahmed Amina Douiri
Proposé par:
Mr Mohamed BENDANA
Plan
Introduction
Système d’information
Loi n° 2004-5 du 3 février 2004, reIative à Ia sécurité
informatique
OrganismesANSI
Audit
Pénalisation de la criminalité informatique
Conclusion
2
INTRODUCTION
Le système d’information, considéré comme le cœur de l’entreprise, est
l’ensemble des moyens organisationnels, humains et technologiques mis en
œuvre pour la gestion de l’information.
Il doit être exempt de toute faille de sécurité qui risquerait de compromettre
l’information qui y circule, du point de vue de la confidentialité, de l’intégrité
ou de la disponibilité.
Ainsi, des normes de sécurité ont été définies, donnant les règles à respecter
afin de maintenir la sécurité du système d’information de l’entreprise.
3
LE SYSTÈME D’INFORMATION
« Un système d’information (SI) est un ensemble organisé de ressources (matériels, logiciels,
personnel, données et procédures) qui permet de regrouper, de classifier, de traiter et de
diffuser de l’information sur un environnement donné. »
« [...] le système d'information d'une entreprise est un réseau complexe de relations
structurées où interviennent des hommes, des machines et des procédures, qui a pour
objet d'engendrer des flux ordonnés d'informations pertinentes, provenant de sources
internes et externes à l'entreprise et destinées à servir de base aux décisions. »
Jean Jacques Lambin
4
Chapitre I
La présente loi a pour objet d’Organiser le domaine de la sécurité
informatique et de fixer les règles générales de protection des systèmes
informatiques et des réseaux.
La création "Agence Nationale de la Sécurité Informatique".
Journal Official de la République Tunisienne
Loi n° 2004-5 du 3 février 2004, reIative à Ia
sécurité informatique
5
• ANCI effectue un
contrôle général
des systèmes
informatiques et
des réseaux
relevant des divers
organismes
publics et privés.
6
Elle est chargée des missions suivantes:
• Veiller à l'exécution des orientations nationales et de la stratégie
générale en systèmes de sécurité des systèmes informatiques et des
réseaux
• Suivre l'exécution des plans et des programmes relatifs à la sécurité
informatique dans le secteur public.
• Assurer la veille technologique dans le domaine de la sécurité
informatique
ANCI :
Missions
7
• Etablir des normes spécifiques à la sécurité informatique et élaborer
des guides techniques en l'objet et procéder à leur publication.
• Œuvrer pour encourager le développement de solutions nationales dans
le domaine de la sécurité informatique.
• Participer à la consolidation de la formation et du recyclage dans le
domaine de la sécurité informatique
• Veiller à l'exécution des réglementations relatives a l'obligation de
l'audit périodique de la sécurité des systèmes informatiques et des
réseaux
ANCI : Missions
8
• Les systèmes informatiques et les réseaux des divers organismes
publics sont soumis à un régime d'audit obligatoire et périodique de la
sécurité informatique.
• Dans le cas où les organismes n'effectuent pas l'audit obligatoire
périodique, L‘ANCI avertit l'organisme concerné qui devra effectuer
l'audit dans un délai ne dépassant pas un mois à partir de la date de
cet avertissement.
• Les organismes publics et privés doivent permettre à l'agence nationale
de la sécurité informatique et aux experts qui seront chargés de
l'opération d'audit, de consulter tous les documents et dossiers relatifs à
la sécurité informatique afin d'accomplir leurs missions.
CHAPITRE II : DE L'AUDIT OBLIGATOIRE
9
CHAPITRE III : DES AUDITEURS
• L'opération d'audit est effectuée par des experts, personnes physiques
ou morales, préalablement certifiées par l‘ANCI.
• Il est interdit aux agents de l'agence nationale de la sécurité
informatique et aux experts chargés des opérations d'audit de divulguer
toutes informations dont ils ont eu connaissance lors de l'exercice de
leurs missions.
10
CHAPITRE IV : DES DISPOSITIONS DIVERSES
Tout exploitant d'un système informatique ou réseau doit informer
l’ANCI de toutes attaques, intrusions et autres perturbations susceptibles
d'entraver le fonctionnement d'un autre système informatique ou réseau,
afin de lui permettre de prendre les mesures nécessaires pour y faire face.
11
DÉMARCHE D’AUDIT
• Un audit de sécurité consiste à valider les moyens de protection mis en
œuvre sur les plans organisationnels, procéduraux et techniques, au
regard de la politique de sécurité en faisant appel à un tiers de
confiance expert en audit sécurité informatique.
• L'audit de sécurité conduit, au delà du constat, à analyser les risques
opérationnels et à proposer des recommandations et plans d'actions
quantifiées et hiérarchisées pour corriger les vulnérabilités et réduire
l'exposition aux risques.
12
PHASES D’AUDIT DE SÉCURITÉ D’INFORMATION
• L'audit de la sécurité du système d'information est décomposé
en deux grandes phases :
* Phase d'audit des aspects organisationnels, C’est l’évaluation et calcul des
risques inhérents.
* Phase d'audit technique : une analyse technique de la sécurité de toutes les
composantes du système informatique et la réalisation de tests de leur
résistance face aux attaques avec une analyse et une évaluation des dangers
dangers qui pourraient résulter de l'exploitation des failles découvertes suite
suite à l'opération d'audit.
13
Système
d’information d’un
réseau audité
Audit
organisationnel et
physique
Audit technique
Test intrusif
Identification des
vulnérabilité d’ordre
organisationnel et physique
Evaluation des risques
Détection régulière
automatisée des
vulnérabilité et des failles
potentielles
Détection des
vulnérabilité
détecter depuis
l’extérieur
Cycle de vie d’un audit de sécurité des systèmes
d’information
14
NORMES ET STANDARDS RELATIVES À LA SÉCURITÉ
Les normes sont des accords documentés contenant des spécifications techniques ou
autres critères précis destinés à être utilisés systématiquement en tant que règles, lignes
directrices ou définitions de caractéristiques pour assurer que des processus, services,
produits et matériaux sont aptes à leur emploi.
On trouve 3 normes :
15
ISO 27001
• La norme ISO/IEC a été publiée en octobre 2005, intitulé « Exigences
de SMSI », elle est la norme centrale de la famille ISO 2700x, c'est la
d'exigences qui définit les conditions pour mettre en oeuvre et
documenter un SMSI (Système de Management de la Sécurité de
l'Information).
16
ISO 27002
• ISO 27002 couvre le sujet de la gestion des risques. Elle donne des
directives générales sur la sélection et l'utilisation de méthodes
appropriées pour analyser les risques pour la sécurité des informations.
• Elle est composée de 15 chapitres dont 4 premiers introduisent la norme
et les 11 chapitres suivants composés de 39 rubriques et 133 mesures
dites « best practices » qui couvrent le management de la sécurité aussi
bien dans ses aspects stratégiques que dans ses aspects opérationnels
(les objectifs de sécurité et les mesures à prendre).
17
• Chapitre n°1: Champ d'application
• Chapitre n°2: Termes et définitions
• Chapitre n°3: Structure de la
présente norme
• Chapitre n°4: Évaluation des risques
et de traitement
Chapitres
définissant le
cadre de la
norme:
• Chapitre n°5: Politique de sécurité de l'information
• Chapitre n°6: Organisation de la sécurité de l'information
• Chapitre n°7: Gestion des actifs
• Chapitre n°8: Sécurité liée aux ressources humaines
• Chapitre n°9: Sécurités physiques et environnementales
• Chapitre n°10: Exploitation et gestion des communications
• Chapitre n°11: Contrôle d'accès
• Chapitre n°12: Acquisition, développement et maintenance
des systèmes d'informations
• Chapitre n°13: Gestion des incidents
• Chapitre n°14: Gestion de la continuité d'activité
• Chapitre n°15: Conformité.
Les chapitres
définissant les
objectifs de
sécurité et les
mesures à
prendre
18
19
ISO 2005
• La norme ISO 27005, intitulé « Gestion du risque en sécurité de
l'information », est une évolution de la norme ISO 13335, définissant
techniques à mettre en œuvre dans le cadre d’une démarche de gestion
des risques.
20
PÉNALISATION DE LA CYBERCRIMINALITÉ
• Pour instaurer un sentiment de confiance dans l’esprit des intervenants
et pour protéger les systèmes informatiques, la loi n° 99- 89 du 2 août
1999 a complété certaines dispositions du code pénal en vue de
criminaliser certains actes Article 199 bis et ter sanctionnent les actes
suivants :
21
Emprisonnement deux
mois à un an et d'une
amende de mille dinars
•Toute personne aura accédé ou se sera maintenu dans tout ou
partie d'un système de traitement automatisé de données.
Deux ans
d'emprisonnement et
l'amende à deux mille
dinars
•Une altération ou la destruction du fonctionnement des données
existantes dans le système indiqué, même sans intention.
Emprisonnement de
trois ans et d'une
amende de trois mille
dinars
•Toute personne aura intentionnellement altéré ou détruit le
fonctionnement du traitement automatisé.
Article 199 bis - (Ajouté par la Loi n ° 99-89 du 2 août 1999).
22
Emprisonnement de
deux ans et d'une
amende de deux mille
dinars
• Toute personne aura introduit une modification de quelque nature
qu'elle soit sur le contenu des documents informatisés ou
électroniques originairement véritables, à condition qu'elle porte
un préjudice à autrui.
• Est puni des mêmes peines, quiconque aura sciemment détenu ou
fait usage des documents susvisés.
• La peine est portée au double lorsque les fais susvisés sont commis
par un fonctionnaire public ou assimilé. La tentative est
punissable
Article 199 ter - (Ajouté par la Loi n° 99-89 du 2 août 1999)
Emprisonnement de cinq
ans et d'une amende de
cinq mille dinars
•Toute personne aura frauduleusement introduit des données dans
un système de traitement automatisé de nature à altérer les données
que contient le programme ou son mode de traitement ou de
transmission.
•La peine est portée au double lorsque l'acte susvisé est commis par
une personne à l'occasion de l'exercice de son activité
professionnelle. La tentative est punissable.
23
• Article 277 Est puni d'un emprisonnement de 6 mois et d'une
amende.
• Article 278. - Est puni de deux ans d'emprisonnement et d'une
amende de mille dinars, quiconque détruit, détourne, dissipe, prête
saisis.
24
CODE PÉNAL
CONCLUSION
Avec le développement de l'utilisation d'internet, de plus en plus
d'entreprises ouvrent leur système d'information à leurs partenaires ou
leurs fournisseurs, il est donc essentiel de connaître les ressources de
l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits
des utilisateurs du système d'information. Il en va de même lors de
l'ouverture de l'accès de l'entreprise sur internet.
25
BIBLIOGRAPHIE
• http://www.tunisie.gov.tn/Loi2004_5.pdf
• http://www.jurisitetunisie.com/tunisie/codes/cp/cp1175.htm
• https://www.ansi.tn/fr/pages/cadre.html
26
THANK YOU!
27

Contenu connexe

Tendances

Fr invitation séminaire 10 et 11 mars
Fr   invitation séminaire 10 et 11 marsFr   invitation séminaire 10 et 11 mars
Fr invitation séminaire 10 et 11 mars
Jamaity
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
PRONETIS
 
Ebios
EbiosEbios
Ebios
kilojolid
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
PRONETIS
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
PRONETIS
 
Soutenance de stage TETRA-SI Martial LIPEB
Soutenance de stage TETRA-SI Martial LIPEBSoutenance de stage TETRA-SI Martial LIPEB
Soutenance de stage TETRA-SI Martial LIPEB
Martial Lipeb
 
Audit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfAudit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdf
TAFEMBLANC
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
Aymen Foudhaili
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationales
ssuser586df7
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
Tidiane Sylla
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
Franck Franchin
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
oussama Hafid
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
Annick Franck Monyie Fouda
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
Maxime ALAY-EDDINE
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionIntissar Dguechi
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
Ammar Sassi
 

Tendances (20)

Fr invitation séminaire 10 et 11 mars
Fr   invitation séminaire 10 et 11 marsFr   invitation séminaire 10 et 11 mars
Fr invitation séminaire 10 et 11 mars
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Ebios
EbiosEbios
Ebios
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Soutenance de stage TETRA-SI Martial LIPEB
Soutenance de stage TETRA-SI Martial LIPEBSoutenance de stage TETRA-SI Martial LIPEB
Soutenance de stage TETRA-SI Martial LIPEB
 
Audit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfAudit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdf
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationales
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusion
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 

Similaire à Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
Alghajati
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
Presentation ansi
Presentation ansiPresentation ansi
Presentation ansi
Blidaoui Abdelhak
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
FootballLovers9
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Lexing - Belgium
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
Thierry RAMARD
 
F02 plan detaille_v1.0
F02 plan detaille_v1.0F02 plan detaille_v1.0
F02 plan detaille_v1.0ben3a
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
Dany Rabe
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
Jean-Michel Razafindrabe
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1  POLITIQUE DE  securite informatique.pptESTEM5A PART 1  POLITIQUE DE  securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
NourAkka1
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
Samy Ntumba Tshunza
 
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Christophe Pekar
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
Agathe Mercante
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
Gaudefroy Ariane
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
kabengniga ibrahima soro
 
Le guide de l'hygiène informatique
Le guide de l'hygiène informatiqueLe guide de l'hygiène informatique
Le guide de l'hygiène informatique
NRC
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdf
khalid el hatmi
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
Dominique Gayraud
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
Christophe Elut
 

Similaire à Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien (20)

Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Presentation ansi
Presentation ansiPresentation ansi
Presentation ansi
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
F02 plan detaille_v1.0
F02 plan detaille_v1.0F02 plan detaille_v1.0
F02 plan detaille_v1.0
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1  POLITIQUE DE  securite informatique.pptESTEM5A PART 1  POLITIQUE DE  securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Le guide de l'hygiène informatique
Le guide de l'hygiène informatiqueLe guide de l'hygiène informatique
Le guide de l'hygiène informatique
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdf
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
 

Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

  • 1. ASPECTS RÉGLEMENTAIRES DE LA S.S.I EN TUNISIE SUJET : Université de la Manouba École Supérieure d’Économie Numérique Elaboré par: Hanen Ben Saad Seifeddine Dridi Ahmed Amina Douiri Proposé par: Mr Mohamed BENDANA
  • 2. Plan Introduction Système d’information Loi n° 2004-5 du 3 février 2004, reIative à Ia sécurité informatique OrganismesANSI Audit Pénalisation de la criminalité informatique Conclusion 2
  • 3. INTRODUCTION Le système d’information, considéré comme le cœur de l’entreprise, est l’ensemble des moyens organisationnels, humains et technologiques mis en œuvre pour la gestion de l’information. Il doit être exempt de toute faille de sécurité qui risquerait de compromettre l’information qui y circule, du point de vue de la confidentialité, de l’intégrité ou de la disponibilité. Ainsi, des normes de sécurité ont été définies, donnant les règles à respecter afin de maintenir la sécurité du système d’information de l’entreprise. 3
  • 4. LE SYSTÈME D’INFORMATION « Un système d’information (SI) est un ensemble organisé de ressources (matériels, logiciels, personnel, données et procédures) qui permet de regrouper, de classifier, de traiter et de diffuser de l’information sur un environnement donné. » « [...] le système d'information d'une entreprise est un réseau complexe de relations structurées où interviennent des hommes, des machines et des procédures, qui a pour objet d'engendrer des flux ordonnés d'informations pertinentes, provenant de sources internes et externes à l'entreprise et destinées à servir de base aux décisions. » Jean Jacques Lambin 4
  • 5. Chapitre I La présente loi a pour objet d’Organiser le domaine de la sécurité informatique et de fixer les règles générales de protection des systèmes informatiques et des réseaux. La création "Agence Nationale de la Sécurité Informatique". Journal Official de la République Tunisienne Loi n° 2004-5 du 3 février 2004, reIative à Ia sécurité informatique 5
  • 6. • ANCI effectue un contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics et privés. 6
  • 7. Elle est chargée des missions suivantes: • Veiller à l'exécution des orientations nationales et de la stratégie générale en systèmes de sécurité des systèmes informatiques et des réseaux • Suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le secteur public. • Assurer la veille technologique dans le domaine de la sécurité informatique ANCI : Missions 7
  • 8. • Etablir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en l'objet et procéder à leur publication. • Œuvrer pour encourager le développement de solutions nationales dans le domaine de la sécurité informatique. • Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique • Veiller à l'exécution des réglementations relatives a l'obligation de l'audit périodique de la sécurité des systèmes informatiques et des réseaux ANCI : Missions 8
  • 9. • Les systèmes informatiques et les réseaux des divers organismes publics sont soumis à un régime d'audit obligatoire et périodique de la sécurité informatique. • Dans le cas où les organismes n'effectuent pas l'audit obligatoire périodique, L‘ANCI avertit l'organisme concerné qui devra effectuer l'audit dans un délai ne dépassant pas un mois à partir de la date de cet avertissement. • Les organismes publics et privés doivent permettre à l'agence nationale de la sécurité informatique et aux experts qui seront chargés de l'opération d'audit, de consulter tous les documents et dossiers relatifs à la sécurité informatique afin d'accomplir leurs missions. CHAPITRE II : DE L'AUDIT OBLIGATOIRE 9
  • 10. CHAPITRE III : DES AUDITEURS • L'opération d'audit est effectuée par des experts, personnes physiques ou morales, préalablement certifiées par l‘ANCI. • Il est interdit aux agents de l'agence nationale de la sécurité informatique et aux experts chargés des opérations d'audit de divulguer toutes informations dont ils ont eu connaissance lors de l'exercice de leurs missions. 10
  • 11. CHAPITRE IV : DES DISPOSITIONS DIVERSES Tout exploitant d'un système informatique ou réseau doit informer l’ANCI de toutes attaques, intrusions et autres perturbations susceptibles d'entraver le fonctionnement d'un autre système informatique ou réseau, afin de lui permettre de prendre les mesures nécessaires pour y faire face. 11
  • 12. DÉMARCHE D’AUDIT • Un audit de sécurité consiste à valider les moyens de protection mis en œuvre sur les plans organisationnels, procéduraux et techniques, au regard de la politique de sécurité en faisant appel à un tiers de confiance expert en audit sécurité informatique. • L'audit de sécurité conduit, au delà du constat, à analyser les risques opérationnels et à proposer des recommandations et plans d'actions quantifiées et hiérarchisées pour corriger les vulnérabilités et réduire l'exposition aux risques. 12
  • 13. PHASES D’AUDIT DE SÉCURITÉ D’INFORMATION • L'audit de la sécurité du système d'information est décomposé en deux grandes phases : * Phase d'audit des aspects organisationnels, C’est l’évaluation et calcul des risques inhérents. * Phase d'audit technique : une analyse technique de la sécurité de toutes les composantes du système informatique et la réalisation de tests de leur résistance face aux attaques avec une analyse et une évaluation des dangers dangers qui pourraient résulter de l'exploitation des failles découvertes suite suite à l'opération d'audit. 13
  • 14. Système d’information d’un réseau audité Audit organisationnel et physique Audit technique Test intrusif Identification des vulnérabilité d’ordre organisationnel et physique Evaluation des risques Détection régulière automatisée des vulnérabilité et des failles potentielles Détection des vulnérabilité détecter depuis l’extérieur Cycle de vie d’un audit de sécurité des systèmes d’information 14
  • 15. NORMES ET STANDARDS RELATIVES À LA SÉCURITÉ Les normes sont des accords documentés contenant des spécifications techniques ou autres critères précis destinés à être utilisés systématiquement en tant que règles, lignes directrices ou définitions de caractéristiques pour assurer que des processus, services, produits et matériaux sont aptes à leur emploi. On trouve 3 normes : 15
  • 16. ISO 27001 • La norme ISO/IEC a été publiée en octobre 2005, intitulé « Exigences de SMSI », elle est la norme centrale de la famille ISO 2700x, c'est la d'exigences qui définit les conditions pour mettre en oeuvre et documenter un SMSI (Système de Management de la Sécurité de l'Information). 16
  • 17. ISO 27002 • ISO 27002 couvre le sujet de la gestion des risques. Elle donne des directives générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations. • Elle est composée de 15 chapitres dont 4 premiers introduisent la norme et les 11 chapitres suivants composés de 39 rubriques et 133 mesures dites « best practices » qui couvrent le management de la sécurité aussi bien dans ses aspects stratégiques que dans ses aspects opérationnels (les objectifs de sécurité et les mesures à prendre). 17
  • 18. • Chapitre n°1: Champ d'application • Chapitre n°2: Termes et définitions • Chapitre n°3: Structure de la présente norme • Chapitre n°4: Évaluation des risques et de traitement Chapitres définissant le cadre de la norme: • Chapitre n°5: Politique de sécurité de l'information • Chapitre n°6: Organisation de la sécurité de l'information • Chapitre n°7: Gestion des actifs • Chapitre n°8: Sécurité liée aux ressources humaines • Chapitre n°9: Sécurités physiques et environnementales • Chapitre n°10: Exploitation et gestion des communications • Chapitre n°11: Contrôle d'accès • Chapitre n°12: Acquisition, développement et maintenance des systèmes d'informations • Chapitre n°13: Gestion des incidents • Chapitre n°14: Gestion de la continuité d'activité • Chapitre n°15: Conformité. Les chapitres définissant les objectifs de sécurité et les mesures à prendre 18
  • 19. 19
  • 20. ISO 2005 • La norme ISO 27005, intitulé « Gestion du risque en sécurité de l'information », est une évolution de la norme ISO 13335, définissant techniques à mettre en œuvre dans le cadre d’une démarche de gestion des risques. 20
  • 21. PÉNALISATION DE LA CYBERCRIMINALITÉ • Pour instaurer un sentiment de confiance dans l’esprit des intervenants et pour protéger les systèmes informatiques, la loi n° 99- 89 du 2 août 1999 a complété certaines dispositions du code pénal en vue de criminaliser certains actes Article 199 bis et ter sanctionnent les actes suivants : 21
  • 22. Emprisonnement deux mois à un an et d'une amende de mille dinars •Toute personne aura accédé ou se sera maintenu dans tout ou partie d'un système de traitement automatisé de données. Deux ans d'emprisonnement et l'amende à deux mille dinars •Une altération ou la destruction du fonctionnement des données existantes dans le système indiqué, même sans intention. Emprisonnement de trois ans et d'une amende de trois mille dinars •Toute personne aura intentionnellement altéré ou détruit le fonctionnement du traitement automatisé. Article 199 bis - (Ajouté par la Loi n ° 99-89 du 2 août 1999). 22
  • 23. Emprisonnement de deux ans et d'une amende de deux mille dinars • Toute personne aura introduit une modification de quelque nature qu'elle soit sur le contenu des documents informatisés ou électroniques originairement véritables, à condition qu'elle porte un préjudice à autrui. • Est puni des mêmes peines, quiconque aura sciemment détenu ou fait usage des documents susvisés. • La peine est portée au double lorsque les fais susvisés sont commis par un fonctionnaire public ou assimilé. La tentative est punissable Article 199 ter - (Ajouté par la Loi n° 99-89 du 2 août 1999) Emprisonnement de cinq ans et d'une amende de cinq mille dinars •Toute personne aura frauduleusement introduit des données dans un système de traitement automatisé de nature à altérer les données que contient le programme ou son mode de traitement ou de transmission. •La peine est portée au double lorsque l'acte susvisé est commis par une personne à l'occasion de l'exercice de son activité professionnelle. La tentative est punissable. 23
  • 24. • Article 277 Est puni d'un emprisonnement de 6 mois et d'une amende. • Article 278. - Est puni de deux ans d'emprisonnement et d'une amende de mille dinars, quiconque détruit, détourne, dissipe, prête saisis. 24 CODE PÉNAL
  • 25. CONCLUSION Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs, il est donc essentiel de connaître les ressources de l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du système d'information. Il en va de même lors de l'ouverture de l'accès de l'entreprise sur internet. 25

Notes de l'éditeur

  1. © Copyright Showeet.com