Le système d’information, considéré comme le cœur de l’entreprise, est l’ensemble des moyens organisationnels, humains et technologiques mis en œuvre pour la gestion de l’information.
Il doit être exempt de toute faille de sécurité qui risquerait de compromettre l’information qui y circule, du point de vue de la confidentialité, de l’intégrité ou de la disponibilité.
Ainsi, des normes de sécurité ont été définies, donnant les règles à respecter afin de maintenir la sécurité du système d’information de l’entreprise.
CNIL - Guide de la sécurité des données personnelles
Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien
1. ASPECTS RÉGLEMENTAIRES DE LA S.S.I
EN TUNISIE
SUJET :
Université de la Manouba
École Supérieure d’Économie Numérique
Elaboré par:
Hanen Ben Saad
Seifeddine Dridi
Ahmed Amina Douiri
Proposé par:
Mr Mohamed BENDANA
2. Plan
Introduction
Système d’information
Loi n° 2004-5 du 3 février 2004, reIative à Ia sécurité
informatique
OrganismesANSI
Audit
Pénalisation de la criminalité informatique
Conclusion
2
3. INTRODUCTION
Le système d’information, considéré comme le cœur de l’entreprise, est
l’ensemble des moyens organisationnels, humains et technologiques mis en
œuvre pour la gestion de l’information.
Il doit être exempt de toute faille de sécurité qui risquerait de compromettre
l’information qui y circule, du point de vue de la confidentialité, de l’intégrité
ou de la disponibilité.
Ainsi, des normes de sécurité ont été définies, donnant les règles à respecter
afin de maintenir la sécurité du système d’information de l’entreprise.
3
4. LE SYSTÈME D’INFORMATION
« Un système d’information (SI) est un ensemble organisé de ressources (matériels, logiciels,
personnel, données et procédures) qui permet de regrouper, de classifier, de traiter et de
diffuser de l’information sur un environnement donné. »
« [...] le système d'information d'une entreprise est un réseau complexe de relations
structurées où interviennent des hommes, des machines et des procédures, qui a pour
objet d'engendrer des flux ordonnés d'informations pertinentes, provenant de sources
internes et externes à l'entreprise et destinées à servir de base aux décisions. »
Jean Jacques Lambin
4
5. Chapitre I
La présente loi a pour objet d’Organiser le domaine de la sécurité
informatique et de fixer les règles générales de protection des systèmes
informatiques et des réseaux.
La création "Agence Nationale de la Sécurité Informatique".
Journal Official de la République Tunisienne
Loi n° 2004-5 du 3 février 2004, reIative à Ia
sécurité informatique
5
6. • ANCI effectue un
contrôle général
des systèmes
informatiques et
des réseaux
relevant des divers
organismes
publics et privés.
6
7. Elle est chargée des missions suivantes:
• Veiller à l'exécution des orientations nationales et de la stratégie
générale en systèmes de sécurité des systèmes informatiques et des
réseaux
• Suivre l'exécution des plans et des programmes relatifs à la sécurité
informatique dans le secteur public.
• Assurer la veille technologique dans le domaine de la sécurité
informatique
ANCI :
Missions
7
8. • Etablir des normes spécifiques à la sécurité informatique et élaborer
des guides techniques en l'objet et procéder à leur publication.
• Œuvrer pour encourager le développement de solutions nationales dans
le domaine de la sécurité informatique.
• Participer à la consolidation de la formation et du recyclage dans le
domaine de la sécurité informatique
• Veiller à l'exécution des réglementations relatives a l'obligation de
l'audit périodique de la sécurité des systèmes informatiques et des
réseaux
ANCI : Missions
8
9. • Les systèmes informatiques et les réseaux des divers organismes
publics sont soumis à un régime d'audit obligatoire et périodique de la
sécurité informatique.
• Dans le cas où les organismes n'effectuent pas l'audit obligatoire
périodique, L‘ANCI avertit l'organisme concerné qui devra effectuer
l'audit dans un délai ne dépassant pas un mois à partir de la date de
cet avertissement.
• Les organismes publics et privés doivent permettre à l'agence nationale
de la sécurité informatique et aux experts qui seront chargés de
l'opération d'audit, de consulter tous les documents et dossiers relatifs à
la sécurité informatique afin d'accomplir leurs missions.
CHAPITRE II : DE L'AUDIT OBLIGATOIRE
9
10. CHAPITRE III : DES AUDITEURS
• L'opération d'audit est effectuée par des experts, personnes physiques
ou morales, préalablement certifiées par l‘ANCI.
• Il est interdit aux agents de l'agence nationale de la sécurité
informatique et aux experts chargés des opérations d'audit de divulguer
toutes informations dont ils ont eu connaissance lors de l'exercice de
leurs missions.
10
11. CHAPITRE IV : DES DISPOSITIONS DIVERSES
Tout exploitant d'un système informatique ou réseau doit informer
l’ANCI de toutes attaques, intrusions et autres perturbations susceptibles
d'entraver le fonctionnement d'un autre système informatique ou réseau,
afin de lui permettre de prendre les mesures nécessaires pour y faire face.
11
12. DÉMARCHE D’AUDIT
• Un audit de sécurité consiste à valider les moyens de protection mis en
œuvre sur les plans organisationnels, procéduraux et techniques, au
regard de la politique de sécurité en faisant appel à un tiers de
confiance expert en audit sécurité informatique.
• L'audit de sécurité conduit, au delà du constat, à analyser les risques
opérationnels et à proposer des recommandations et plans d'actions
quantifiées et hiérarchisées pour corriger les vulnérabilités et réduire
l'exposition aux risques.
12
13. PHASES D’AUDIT DE SÉCURITÉ D’INFORMATION
• L'audit de la sécurité du système d'information est décomposé
en deux grandes phases :
* Phase d'audit des aspects organisationnels, C’est l’évaluation et calcul des
risques inhérents.
* Phase d'audit technique : une analyse technique de la sécurité de toutes les
composantes du système informatique et la réalisation de tests de leur
résistance face aux attaques avec une analyse et une évaluation des dangers
dangers qui pourraient résulter de l'exploitation des failles découvertes suite
suite à l'opération d'audit.
13
14. Système
d’information d’un
réseau audité
Audit
organisationnel et
physique
Audit technique
Test intrusif
Identification des
vulnérabilité d’ordre
organisationnel et physique
Evaluation des risques
Détection régulière
automatisée des
vulnérabilité et des failles
potentielles
Détection des
vulnérabilité
détecter depuis
l’extérieur
Cycle de vie d’un audit de sécurité des systèmes
d’information
14
15. NORMES ET STANDARDS RELATIVES À LA SÉCURITÉ
Les normes sont des accords documentés contenant des spécifications techniques ou
autres critères précis destinés à être utilisés systématiquement en tant que règles, lignes
directrices ou définitions de caractéristiques pour assurer que des processus, services,
produits et matériaux sont aptes à leur emploi.
On trouve 3 normes :
15
16. ISO 27001
• La norme ISO/IEC a été publiée en octobre 2005, intitulé « Exigences
de SMSI », elle est la norme centrale de la famille ISO 2700x, c'est la
d'exigences qui définit les conditions pour mettre en oeuvre et
documenter un SMSI (Système de Management de la Sécurité de
l'Information).
16
17. ISO 27002
• ISO 27002 couvre le sujet de la gestion des risques. Elle donne des
directives générales sur la sélection et l'utilisation de méthodes
appropriées pour analyser les risques pour la sécurité des informations.
• Elle est composée de 15 chapitres dont 4 premiers introduisent la norme
et les 11 chapitres suivants composés de 39 rubriques et 133 mesures
dites « best practices » qui couvrent le management de la sécurité aussi
bien dans ses aspects stratégiques que dans ses aspects opérationnels
(les objectifs de sécurité et les mesures à prendre).
17
18. • Chapitre n°1: Champ d'application
• Chapitre n°2: Termes et définitions
• Chapitre n°3: Structure de la
présente norme
• Chapitre n°4: Évaluation des risques
et de traitement
Chapitres
définissant le
cadre de la
norme:
• Chapitre n°5: Politique de sécurité de l'information
• Chapitre n°6: Organisation de la sécurité de l'information
• Chapitre n°7: Gestion des actifs
• Chapitre n°8: Sécurité liée aux ressources humaines
• Chapitre n°9: Sécurités physiques et environnementales
• Chapitre n°10: Exploitation et gestion des communications
• Chapitre n°11: Contrôle d'accès
• Chapitre n°12: Acquisition, développement et maintenance
des systèmes d'informations
• Chapitre n°13: Gestion des incidents
• Chapitre n°14: Gestion de la continuité d'activité
• Chapitre n°15: Conformité.
Les chapitres
définissant les
objectifs de
sécurité et les
mesures à
prendre
18
20. ISO 2005
• La norme ISO 27005, intitulé « Gestion du risque en sécurité de
l'information », est une évolution de la norme ISO 13335, définissant
techniques à mettre en œuvre dans le cadre d’une démarche de gestion
des risques.
20
21. PÉNALISATION DE LA CYBERCRIMINALITÉ
• Pour instaurer un sentiment de confiance dans l’esprit des intervenants
et pour protéger les systèmes informatiques, la loi n° 99- 89 du 2 août
1999 a complété certaines dispositions du code pénal en vue de
criminaliser certains actes Article 199 bis et ter sanctionnent les actes
suivants :
21
22. Emprisonnement deux
mois à un an et d'une
amende de mille dinars
•Toute personne aura accédé ou se sera maintenu dans tout ou
partie d'un système de traitement automatisé de données.
Deux ans
d'emprisonnement et
l'amende à deux mille
dinars
•Une altération ou la destruction du fonctionnement des données
existantes dans le système indiqué, même sans intention.
Emprisonnement de
trois ans et d'une
amende de trois mille
dinars
•Toute personne aura intentionnellement altéré ou détruit le
fonctionnement du traitement automatisé.
Article 199 bis - (Ajouté par la Loi n ° 99-89 du 2 août 1999).
22
23. Emprisonnement de
deux ans et d'une
amende de deux mille
dinars
• Toute personne aura introduit une modification de quelque nature
qu'elle soit sur le contenu des documents informatisés ou
électroniques originairement véritables, à condition qu'elle porte
un préjudice à autrui.
• Est puni des mêmes peines, quiconque aura sciemment détenu ou
fait usage des documents susvisés.
• La peine est portée au double lorsque les fais susvisés sont commis
par un fonctionnaire public ou assimilé. La tentative est
punissable
Article 199 ter - (Ajouté par la Loi n° 99-89 du 2 août 1999)
Emprisonnement de cinq
ans et d'une amende de
cinq mille dinars
•Toute personne aura frauduleusement introduit des données dans
un système de traitement automatisé de nature à altérer les données
que contient le programme ou son mode de traitement ou de
transmission.
•La peine est portée au double lorsque l'acte susvisé est commis par
une personne à l'occasion de l'exercice de son activité
professionnelle. La tentative est punissable.
23
24. • Article 277 Est puni d'un emprisonnement de 6 mois et d'une
amende.
• Article 278. - Est puni de deux ans d'emprisonnement et d'une
amende de mille dinars, quiconque détruit, détourne, dissipe, prête
saisis.
24
CODE PÉNAL
25. CONCLUSION
Avec le développement de l'utilisation d'internet, de plus en plus
d'entreprises ouvrent leur système d'information à leurs partenaires ou
leurs fournisseurs, il est donc essentiel de connaître les ressources de
l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits
des utilisateurs du système d'information. Il en va de même lors de
l'ouverture de l'accès de l'entreprise sur internet.
25