Ce document présente un rapport sur la classification des données et les réglementations associées en matière de sécurité informatique en Tunisie. Il aborde l'historique du Tunisian Computer Emergency Response Team, les lois et décrets relatifs à la sécurité des systèmes informatiques, ainsi que les enjeux de la classification et de la protection des données personnelles. Enfin, un modèle tunisien de classification des données est esquissé, tenant compte de divers impacts sur la sécurité et la confidentialité.

1. Fadhel GHAJATI
Lead Auditor 27001
Risk Manager ISO 27005
fadhel.ghajati@ansi.tn
Tunisian Computer Emergency Response Team
La protection de données:
La classification un premier pas
25 Février 2015

2. Plan
• Problématique
• Données: définitions
• Classification de données
• Modèle Tunisien (Draft)
• Conclusion
2
• Présentation de l’ANSI
Tunisian Computer Emergency Response Team

3. Plan
• Problématique
• Données: définitions
• Classification de données
• Modèle Tunisien (Draft)
• Conclusion
3
• Présentation de l’ANSI
Tunisian Computer Emergency Response Team

4. Tunisian Computer Emergency Response Team
4
Lancement d’une unité, spécialisée dans la sécurité des SI
(Secrétariat d’état à l’informatique)
1999
Considération du rôle de la sécurité des SI comme pilier de la « Société
d’Information : Mise en place d’une stratégie : priorités, volume des actions,
logistique nécessaire
2002
Décision du conseil ministériel restreint (CMR):
Créer une Agence Nationale : Obligation d’audit et création d’un corps
d’auditeurs certifiés en sécurité des SI.
2003
Promulgation d’une Loi “originale” sur la sécurité des SI (Loi N° 5-2004,
Fév. 2004 et ses 3 décrets associés)
2004
Lancement du CERT-TCC (Computer Emergency Response Team / Tunisian
Coordination Center)
2005
Historique

5. L'agence effectue un contrôle général des systèmes informatiques et des réseaux relevant des divers organismes
publics et privés, elle est chargée des missions suivantes:
Missions
Tunisian Computer Emergency Response Team
Veiller à l'exécution des orientations nationales et de la stratégie générale en systèmes de sécurité des systèmes
informatiques et des réseaux
Suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le secteur public à l'exception
des applications particulières à la défense et à la sécurité nationale et assurer la coordination entre les intervenants
dans ce domaine
Assurer la veille technologique dans le domaine de la sécurité informatique
Etablir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en l'objet et
procéder à leur publication
Œuvrer pour encourager le développement de solutions nationales dans le domaine de la sécurité informatique et à
les promouvoir conformément aux priorités et aux programmes qui seront fixés par l'agence
Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique
Veiller à l'exécution des réglementations relatives a l'obligation de l'audit périodique de la sécurité des
systèmes informatiques et des réseaux
5

6. Décret 1249 du 25 Mai 2004
fixant les conditions et les procédures de certification des experts dans le domaine de la
sécurité informatique.
Cadre réglementaire
Tunisian Computer Emergency Response Team
6
Loi n° 5 - 2004 du 3 février 2004
relative à la sécurité informatique et portant sur l'organisation du domaine de la sécurité
informatique et fixant les règles générales de protection des systèmes informatiques et des
réseaux.
Décret 1250 du 25 Mai 2004
fixant les systèmes informatiques et les réseaux des organismes soumis à l'audit obligatoire
périodique de la sécurité informatique et les critères relatifs à la nature de l'audit et a sa
périodicité et aux procédures de suivi de l'application des recommandations contenues
dans le rapport d'audit.
Circulaire n° 19 - du 11 avril 2007
relatif au renforcement des mesures de sécurité informatique dans les établissements
publiques (Création d'une Cellule Technique de Sécurité, nomination d'un Responsable de
la Sécurité des Systèmes d'Information RSSI ; et mise en place d'un Comité de pilotage).

7. Plan
• Problématique
• Données: définitions
• Classification de données
• Modèle Tunisien (Draft)
• Conclusion
7
• Présentation de l’ANSI
Tunisian Computer Emergency Response Team

8. 8
Tunisian Computer Emergency Response Team
Faux sentiment
de propriété
Méconnaissance des
obligations nées du
contrat de travail ou de
prestation de service
Contrôle de
l’application des règles
d’utilisation du SI
Déficit de sensibilisation
ou complexité de la
politique de protection et
de classification de
l’information
« Vol de données »
par un Utilisateur
Quelle est la portée et
le contenu de
l’obligation de loyauté
? Quelles sont les
clauses importantes
des contrats
d’externalisation ? …
Comment la Charte peut-
elle protéger l’entreprise ?
Quelles sont les
dispositions à prévoir ? …
Quel périmètre pour
la politique de
protection de
données? …
Quel est le statut juridique de
l’information ? Toutes les
informations présentes sur le SI sont-
elles protégées ? Quels sont les
titulaires des droits qui s’appliquent ?
…

9. Création
Gestion
Utilisation
Archivage
Sécurité
Classification de données
9

10. Plan
• Problématique
• Données: définitions
• Classification de données
• Modèle Tunisien (Draft)
• Conclusion
10
• Présentation de l’ANSI
Tunisian Computer Emergency Response Team

11. Données: définitions
Ce qui est connu ou admis comme tel, sur lequel on peut fonder un
raisonnement, qui sert de point de départ pour une recherche,
Représentation conventionnelle d'une information en vue de son
traitement informatique.
Une Donnée au sens statistique est destinée à être étudiée dans le cadre
de l'analyse des données.
Une Donnée au sens informatique est destinée à faire l'objet d'un
traitement de données.
Une Donnée à caractère personnel pouvant bénéficier d'une certaine
protection dans le cadre de la Protection de la vie privée ou du droit à
l'image.
Dictionnaire
11

12. données personnelles : tenant à la personne
données privées : tenant au respect de la vie privée
données professionnelles : à finalité professionnelle
données publiques : définies par la loi
12
Données: définitions
Tunisian Computer Emergency Response Team

13. Plan
• Problématique
• Données: définitions
• Classification de données
• Modèle Tunisien (Draft)
• Conclusion
13
• Présentation de l’ANSI
Tunisian Computer Emergency Response Team

14. SECURITE SantéIndustrie
La classification de données est une problématique répandue dans le monde scientifique,
car elle est à l’origine de nombreuses applications.
14Tunisian Computer Emergency Response Team
Gouvernement Finances
Classification (1/8)

15. Généralement, trois niveaux de sécurité existent : C’est au « classifieur » de décider le
niveau de sécurité qui s’applique à chaque document ou n’importe quelle autre forme
d’information qui existe dans la base de données.
interne secretconfidentiel
15Tunisian Computer Emergency Response Team
Classification (2/8)

16. 16Tunisian Computer Emergency Response Team
PaysClasse Très secret Secret Confidentiel Restreint
Afrique du Sud Top Secret Secret Confidential Restricted
USA Top Secret Secret Confidential
Belgique Très secret Secret Confidentiel
Diffusion
Restreinte
France
Très secret
Défense
Secret Défense
Confidentiel
Défense
Diffusion
restreinte
Italie Segretissimo Segreto Riservatissimo Riservato
Suisse Secret Secret Confidentiel Interne
Source: http://cryptome.info/appf.pdf
Classification (3/8)

17. Ordonnance concernant la protection des informations de la Confédération Suisse
Secret Confidentiel Interne
Les informations dont la prise de connaissance par des
personnes non autorisées peut porter un grave préjudice
aux intérêts du pays. Il s’agit notamment d’informations
dont la divulgation peut:
a. compromettre gravement la liberté d’action de
l’Assemblée fédérale ou du Conseil fédéral;
b. compromettre gravement la sécurité de la population;
c. compromettre gravement l’approvisionnement
économique du pays ou la sécurité d’installations de
conduite et d’infrastructures d’intérêt national;
d. compromettre gravement l’accomplissement de la
mission de l’administration fédérale, de l’armée ou de
parties essentielles de celle-ci;
e. compromettre gravement les intérêts en matière de
politique extérieure ou les relations internationales de la
Suisse;
f. compromettre gravement soit la protection des
sources ou des personnes, soit le maintien du secret
quant aux moyens et aux méthodes opératifs des
services de renseignements.
les informations dont la prise de connaissance par des
personnes non autorisées peut porter préjudice aux
intérêts du pays. Il s’agit notamment d’informations
dont la divulgation peut :
a. porter atteinte à la libre formation de l’opinion et de
la volonté de l’Assemblée fédérale ou du Conseil
fédéral;
b. porter atteinte à la mise en œuvre conforme de
mesures concrètes décidées par une autorité;
c. porter atteinte à la sécurité de la population;
d. porter atteinte à l’approvisionnement économique du
pays ou à la sécurité d’infrastructures importantes;
e. porter atteinte à l’accomplissement de la mission de
parties de l’administration fédérale ou de l’armée;
f. porter atteinte aux intérêts de la Suisse en matière de
politique de sécurité ou aux relations internationales de
la Suisse;
g. porter atteinte aux relations entre la confédération et
les cantons ou aux relations entre les cantons;
h. porter atteinte aux intérêts de la Suisse en matière
économique, monétaire et de politique monétaire.
les informations:
a. dont la prise de
connaissance par
des personnes non
autorisées peut
porter atteinte aux
intérêts du pays; et
b. qui ne doivent
être classifiées ni
«SECRET» ni
«CONFIDENTIE
L».
17
Classification (4/8)

18. 18
le droit français ne protège pas tant contre l’appréhension de l’information (sous
réserve des articles 323-1 et suivants du Code Pénal), la protège plus efficacement
contre sa divulgation :
Livraison d’informations à une puissance étrangère (art. 411-6 à 411-8 du Code
pénal) : vise les « données informatisées ou fichiers »
Protection par le secret :
secret de la défense nationale (art. 413-9 à 413-12 C.Pén. ; IGI n° 1300 et 900)
secret professionnel (articles 226-13 et 226-14 du Code pénal)
secrets de fabrique et espionnage industriel : cas Dassault Aviation (2002)
Protection des informations dans le cadre de procédures administratives ou
judiciaires (type E-discovery) : loi n°68-678 du 26 juillet 1968
Tunisian Computer Emergency Response Team
Classification (5/8)

19. 19Tunisian Computer Emergency Response Team
Classification (6/8)
En Tunisie la protection des données est régie par:
La loi organique - 63 du 27 Juillet 2004 portant sur la protection des données à
caractère personnel
Décret n°2007-3004 du 27 novembre 2007 fixant les conditions et les
procédures de déclaration et d'autorisation pour le traitement des données à
caractère personnel

20. A.8.2.1 Classification des informations
Mesure
Les informations doivent être classifiées en termes d’exigences légales, de valeur, de
caractère critique et de sensibilité au regard d’une divulgation ou modification non
autorisée.
A.8.2.2 Marquage des informations
Mesure
Un ensemble approprié de procédures pour le marquage de l’information doit être élaboré
et mis en œuvre conformément au plan de classification adopté par l’organisation.
ISO 27001 version 2013
1. la divulgation ne cause aucun dommage,
2. la divulgation provoque un dommage mineur,
3. la divulgation a un impact significatif à court terme sur les opérations ou les
objectifs tactiques,
4. la divulgation a un grave impact sur les objectifs stratégiques à long terme ou met la
survie de l'organisation à risque.
Exemple
20
Classification (7/8)

21. FIPS PUB 199
Le format généralisé pour exprimer la catégorie de sécurité est :
SC Information = {(confidentialité, impact), (Intégrité, impact), (Disponibilité,
impact)},
Avec l’impact potentiel est : Faible, Modéré, Elevé, Non Applicable
L’impact potentiel est faible si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un
effet négatif limité pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers.
L’impact potentiel est modéré si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir
un effet négatif sérieux pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers.
L’impact potentiel est élevé si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un
effet négatif catastrophique pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers.
Tunisian Computer Emergency Response Team
21
Classification (8/8)

22. Plan
• Problématique
• Données: définitions
• Classification de données
• Modèle Tunisien (Draft)
• Conclusion
22
• Présentation de l’ANSI
Tunisian Computer Emergency Response Team

23. IMPACT POTENTIEL
Objectif de sécurité FAIBLE MOYEN ELEVE
Confidentialité
La divulgation non autorisée
d'informations pourrait avoir un
effet négatif limité sur les
activités de l'organisation, les
actifs de l'organisation ou des
individus.
IMPACT_C = 1
La divulgation non autorisée
d'informations pourrait avoir un
effet négatif important sur les
opérations de l'organisation, les
actifs de l'organisation ou des
individus.
IMPACT_C = 2
La divulgation non autorisée
d'informations pourrait avoir un
effet négatif grave ou
catastrophique sur les opérations
de l'organisation, les actifs de
l'organisation ou des individus.
IMPACT_C = 3
Intégrité
La modification ou la destruction
non autorisée de renseignements
pourraient avoir un effet négatif
limité sur les activités de
l'organisation, les actifs de
l'organisation ou des individus.
IMPACT_I = 1
La modification ou la destruction
non autorisée de renseignements
pourraient avoir un effet négatif
important sur les activités de
l'organisation limitée, les actifs de
l'organisation ou des individus.
IMPACT_I = 2
La modification ou la destruction
non autorisée de renseignements
pourraient avoir un effet négatif
grave ou catastrophique sur les
activités de l'organisation, les
actifs de l'organisation ou des
individus.
IMPACT_I = 3
Disponibilité
L'interruption de l'accès ou de
l'utilisation des données ou un
système d'information pourrait
avoir un effet négatif limité sur
les activités de l'organisation, les
actifs de l'organisation ou des
individus.
IMPACT_D = 1
L'interruption de l'accès ou de
l'utilisation des données ou un
système d'information pourrait
avoir un effet négatif important
sur les activités de l'organisation
limitée, les actifs de l'organisation
ou des individus.
IMPACT_D = 3
L'interruption de l'accès ou de
l'utilisation des données ou un
système d'information pourrait
avoir un effet négatif grave ou
catastrophique sur les activités de
l'organisation, les actifs de
l'organisation ou des individus.
IMPACT_D = 3
23
Modèle Tunisien (Draft)

24. Criticité des
données
Classe de
données
1
CA
2
3
CB4
6
8
CC9
12
18
CD
27
Modèle Tunisien (Draft)
Tunisian Computer Emergency Response Team
Soient
C,I,D tableaux
C[i] : valeur de l’impact de confidentialité
I[j] : valeur de l’impact de l’intégrité
D[k] : Valeur de l’impact de disponibilité
SC : la valeur de la corrélation {C,I,D}
Classe_D : La classe de donnée
Pour i,j,k de 1 à 3
Calculer
SC= C[i]*I[j]*D[k]
Si SC = 1||2 alors
Classe_D = CA
Si SC = 3||4||6 alors
Classe_D = CB
Si SC=8||9||12 alors
Classe_D = CC
Si SC= 18 ||27 alors
Classe_D = CD
24

25. Criticité
des
données
Classe de
données
Confidentialté Intégrité Disponibilité
Impact Exemple Impact Outil d'échange
Temps
d’arrêt par an
1
CA
La divulgation pourrait être parfois
défavorable aux intérêts de
l’organisation ou du groupe
autorisé.
Guide utilisateur,
certains numéros
directs de
téléphone,
procédure de
fonctionnement.
La modification ou la destruction non
autorisée de renseignements pourraient
parfois avoir un effet négatif limité sur les
activités de l'organisation limitée, les
actifs de l'organisation ou des individus.
Pas de contraintes sur
l’utilisation ou la
transmission.
1 mois
2 3 semaines
3
CB
La divulgation pourrait être
défavorable aux intérêts de
l’organisation ou du groupe
autorisé.
Documentation
ou schéma de
réseau interne,
programme
source.
La modification ou la destruction non
autorisée de renseignements pourraient
avoir un effet négatif limité sur les
activités de l'organisation limitée, les
actifs de l'organisation ou des individus.
contraintes
minimalessur
l’utilisation ou la
transmission.
18 jours
4 2 Semaines
6 1 semaine
8
CC
La divulgation non autorisée
d'informations pourrait avoir un
effet négatif important sur les
opérations de l'organisation, les
actifs de l'organisation ou des
individus.
Secret bancaire,
données à
caractères
personnelles
sensibles (santé),
incidents de
sécurité.
La modification ou la destruction non
autorisée de renseignements pourraient
avoir un effet négatif important sur les
activités de l'organisation limitée, les
actifs de l'organisation ou des individus.
Limitation des droits
d’accès.
½ semaine
9 1 jour
12 ½ jour
18
CD
La divulgation non autorisée
d'informations pourrait avoir un
effet négatif grave ou
catastrophique sur les opérations
de l'organisation, les actifs de
l'organisation ou des individus.
Information
classifiée par la
loi, mot de passe
La modification ou la destruction non
autorisée de renseignements pourraient
avoir un effet négatif grave ou
catastrophique sur les activités de
l'organisation limitée, les actifs de
l'organisation ou des individus.
Utilisation de la
signature, coffre fort. 1 heure
27 30 min
25
Modèle Tunisien (Draft)

26. Criticité
des
données
Classe
de
données
Impact sur la
population
Impact Economique
Impact de
l'interdependance
Périmiètre affecté
1
CA
Impact mineur
(i.e <10)
Impact mineur
(i.e <10 M)
Impact mineur Local
2
3
CB
Impact modéré
(i.e 10-100)
Impact modéré
(i.e 10 M - 100 M)
Impact modéré (Perturbation)
périmètre étendu ou
d'autres sécteurs
(partiellement
affecté)
4
6
8
CC
Impact significatif
(i.e 100-500)
Impact significatif
(i.e 100 M - 500 M)
impact signaficatif
périmètre national
ou un secteur
(totalement affecté)
9
12
18
CD
Impact grave
(i.e >500)
Impact grave
(i.e > 500 M)
impact grave et affaiblissant
périmètre
international ou
plusieurs secteurs
(totalement affecté)
27
26
Modèle Tunisien (Draft)

27. 27Tunisian Computer Emergency Response Team
Modèle Tunisien (Draft)
[Traitement de données]
 L’accès aux données,
 Le cycle de vie de données,
 L’échange de données,
 Le droit d’accès.
 La sécurité des locaux,
 La sécurité des serveurs (l’emplacement des données le cas échéant),
 La sécurité des workspaces,
 L’identification et l’authentification des utilisateurs,
 La sécurité d’accès aux données des utilisateurs,
 La gestion des accès à distance.
L’accès aux données
Processus

28. Données
Backup
Logs
Utilisation
Collaborateur
Introduction
Modification
Destruction
Le cycle de vie des données
28Tunisian Computer Emergency Response Team
 La gestion de l’introduction des
données dans le système,
 La surveillance des traitements sur les
données (journalisation),
 Le chiffrement des données,
 La sécurité des différents supports de
données,
 La sauvegarde les données,
 La destruction de manière définitive
les données,
 La gestion de sous-traitance de
projets,
 La gestion de la sécurité de
l’information et la protection des
données.
Modèle Tunisien (Draft)
[Traitement de données]

29. Logs
Tiers
Communication Transmission
Station de travail
Supports
L’échange de données
29Tunisian Computer Emergency Response Team
 Chiffrer un message à
envoyer à un tiers distant,
 Signer un message à envoyer
à un tiers distant,
 La transmission des
supports mobiles de
manière sécurisée,
 La trace des différentes
communications.
Modèle Tunisien (Draft)
[Traitement de données]

30. Tunisian Computer Emergency Response Team
Criticité de données Classe de données Echange
1
CA Protéger l’accès au document
2
3
CB
Protéger
+ Chiffrer le document4
6
8
CC
Protéger, chiffrer
+ Journaliser le traitement9
12
18
CD
Protéger
Chiffrer
Journaliser
Numéroter27
30
Modèle Tunisien (Draft)
[Traitement de données]

31. Données
Demande d’accès
 Assurer que les personnes
concernées puissent faire
valoir leur droit.
 Assurer la reproductibilité
des procédures d’exécution
du droit d’accès.
Tunisian Computer Emergency Response Team
31
Le droit d’accès
Modèle Tunisien (Draft)
[Traitement de données]

32. La classification de données La protection de données
La politique de protection de l’information a besoin de tous pour s’appliquer ; il faut
replacer le facteur humain au cœur des politiques de sécurité des Systèmes
d’Information.
La confiance n’exclut pas le contrôle.
Tunisian Computer Emergency Response Team
32
Politique de classification et de gestion de l’information facteur clé de succès
La mise en place d’un système de gestion de sécurité de l’information
Conclusion

33. Merci pour votre attention
33
Share your knowledge. It is a way to achieve immortality