Présentation sommaire du Décret-loi n° 2023-17 du 11 mars 2023 relatif à la cybersécurité
- Objet : Réglementation du domaine de la cybersécurité et fixation des missions de l’Agence nationale de la cybersécurité et des mécanismes qui lui sont attribués pour assurer la sécurité de l’espace cybernétique national.
- Domaines exclus de l’application du décret-loi n° 2023-17 : Les systèmes d’informations et équipements électroniques par lesquels sont traitées des données relatives à la sécurité publique ou à la défense nationale et qui affectent la sécurité nationale et l’intérêt suprême de l’État.
- L’Agence nationale de la cybersécurité:
EPNA : Établissement public à caractère non administratif
Siège : Tunis
Tutelle : ministère chargé des technologies de la communication
Objectif : la supervision de la sécurité des systèmes d’informations et de communication des structures publiques et privées de l’espace cybernétique national.
Missions : -Élaborer et mettre à jour les politiques et mécanismes de gouvernance et de la sécurité de l’espace cybernétique national et les mettre à la disposition des secteurs et organismes concernés.
-Suivre la mise en œuvre des plans d’actions pour la sécurité de l’espace cybernétique national concernant :
- Les mesures proactives pour éviter les menaces délibérées et accidentelles sur l’espace cybernétique national.
- Les mesures préventives pour se protéger contre les risques cybernétiques.
- Les mécanismes de détection et de signalement instantanés des incidents et des attaques cybernétiques.
- La réponse urgente en cas d’urgences pour faire face aux attaques cybernétiques et atténuer leurs impacts.
- La reprise rapide suite à effets des incidents et des attaques cybernétiques pour assurer la continuité de l’activité.
- L’enquête et l’investigation numérique pour diagnostiquer les incidents et déterminer les responsabilités en relation avec la cyber sécurité.
- Élaborer et suivre la mise en œuvre des programmes de développement des compétences dans le domaine de la cybersécurité à travers :
- La participation à l’élaboration des programmes académiques et professionnels spécialisés dans le domaine de la cyber sécurité.
- La validation des programmes de formation dans le domaine de la cyber sécurité et leur publication sur le site officiel de l’Agence.
- L’organisation des sessions de formations spécialisées dans le domaine de la cybersécurité.
- Élaborer et publier les référentiels, les modèles et les guides liés à la cybersécurité dont les organismes publics et privés doivent adopter.
- Élaborer les indicateurs de mesure du niveau national de cybersécurité et publier les tableaux de bord de façon périodique.
- Mener des campagnes périodiques de communication et de sensibilisation dans le domaine de la cybersécurité, notamment lors des crises cybernétiques.
- Assurer la veille technologique et suivre les évolutions dans le domaine de la cybersécurité,
- La coopération internationale et la coordination avec les structures étrangères officielles compétentes conformément aux accords conclus à cet effet à l’échelle bilatérale, régionale et internationale.
- L’audit obligatoire de la sécurité des systèmes d’information :
Entités concernées par l’audit obligatoire et périodique :
- Les opérateurs de réseaux publics de télécommunications et les fournisseurs des services de télécommunications et d’internet,
- Les entreprises dont les réseaux informatiques sont interconnectés à travers des réseaux de télécommunications,
- Les fournisseurs des services d’hébergement et d’informatique en nuages.
- Les entreprises qui procèdent au traitement automatisé des données personnelles de leurs usagers dans le cadre de la fourniture de leurs services à travers les réseaux de télécommunications.
- Les infrastructures numériques d’importance vitale
Modalités de réalisation de l’audit :
L’audit obligatoire de sécurité des systèmes d’information est effectué :
- Par des experts exerçant leurs activités conformément à la législation en vigueur
- Une fois au moins tous les douze (12) mois.
L’Agence publie et met à jour la liste des experts et des organismes autorisés à exercer l’activité d’audit dans le domaine de la sécurité cybernétique.
Rapport d’audit :
Un rapport d’audit doit être :
- Remis à l’agence dans un délai ne dépassant pas dix (10) jours après la fin des opérations d’audit.
- Les entités concernées doivent mettre en œuvre toutes les recommandations de sécurité contenues dans le rapport.
Classification des entités concernées selon le degré de sécurité
L’Agence classe les organismes concernés selon le degré de confiance numérique en trois (03) niveaux comme suit :
- Premier niveau : organisme classifié premier degré.
- Deuxième niveau : organisme classifié deuxième degré.
- Troisième niveau : organisme non classifié.
Les niveaux de classifications sont déterminés en fonction des critères suivants :
- L’engagement de l’organisme de l’audit obligatoire de sécurité des systèmes d’information et le degré de son application des recommandations qui en découlent.
- L’utilisation de l’organisme d’équipements et solutions homologués selon la législation en vigueur.
- L’hébergement de l’organisme de ses systèmes auprès d’un fournisseur de service d’hébergement classé conformément aux dispositions de l’article 8 du présent décret-loi.
Mise en demeure : Le ministre chargé des technologies de la communication, sur proposition de l’Agence, met en demeure les organismes classés au troisième niveau pour se conformer aux normes appliquées dans le classement dans un délai ne dépassant pas une année.
Mise en garde : En cas d’incident ou d’attaque cybernétique aux entités concernées, l’Agence met en garde l’organisme concerné pour lever les défaillances dans un délai ne dépassant pas trente (30) jours.
Isolation : Le ministre chargé des technologies de la communication, dans le cas d’incident ou d’attaque cybernétique, peut prendre une décision pour isoler temporairement les systèmes d’information et les réseaux afin de protéger le cyberespace, et ce en vertu d’une décision sur rapport motivé de l’Agence.
- Réponse aux urgences cybernétiques :
Missions de L’agence :
- Élaborer et appliquer le plan national de réponse aux urgences cybernétiques.
- Mettre en place les modalités techniques nécessaires à la détection précoce des incidents et attaques cybernétiques qui menacent l’espace cybernétique national.
- Mettre en place et exploiter les canaux de signalement des incidents et attaques cybernétiques.
- Réduire les répercussions des incidents et attaques cybernétiques et garantir la continuité de l’activité et la récupération rapide de leurs effets.
- Alerter les institutions, les administrations et les individus, renforcer les systèmes d’information, gérer les incidents, organiser et coordonner les efforts pour remédier aux faiblesses, les étudier, les analyser et prévoir les solutions appropriées.
- Désigner un point de contact national pour la réponse aux urgences cybernétiques, qui coordonne avec les centres de réponse aux urgences cybernétiques publics ou sectoriels ou privés mentionnés à l’article 19 du décret-loi n° 2023-17.
Centres de réponse aux urgences
Les entités concernées sont tenues de créer leurs propres centres de réponse aux urgences ou d’adhérer à des centres de réponse aux urgences cybernétiques publics ou sectoriels ou privés.
- Infrastructures numériques d’importance vitale :
Liste des structures qui gèrent les infrastructures numériques d’importance vitale : fixée par décret.
Mesures de sécurité : Les structures qui gèrent des infrastructures numériques d’importance vitale sont tenues de prendre les mesures de sécurité suivantes :
- Utiliser des logiciels et équipements ayant le label « sécurisé ».
- Avoir son propre centre d’hébergement principal et un centre de backup auprès d’un fournisseur de services informatique en nuage ayant obtenu le label.
- Respecter les mesures et les procédures nécessaires pour assurer la continuité d’activité et protéger les bases de données sensibles dont l’atteinte à l’intégrité pourrait affecter à la sécurité nationale en cas de crise cybernétique.
Les infractions aux dispositions du décret-loi n° 2023-17 sont constatées, sur la base d’un rapport de l’Agence adressé au ministre chargé des technologies de la communication, par des procès-verbaux dressés par deux des agents suivants :
- Les officiers de police judiciaire visés aux numéros 3 et 4 de l’article 10 du code de procédure pénale.
- Les agents assermentés du ministère chargé des technologies de la communication.
- Les Agents assermentés du ministère de l’intérieur.
Les procès-verbaux sont transmis au ministre chargé des technologies de la communication qui les transmet, pour poursuite, au procureur de la République territorialement compétent.
- Sanctions administratives :
Dégradation des organismes concernés et classés aux premier et deuxième niveaux dans les cas suivants :
- La non-réalisation de l’audit obligatoire et périodique de sécurité des systèmes d’information.
- Le défaut de remise à l’Agence d’une copie électronique protégée du rapport d’audit dans le délai mentionné à l’article 8 du décret-loi n° 2023-17.
- La non-exécution des recommandations du rapport d’audit ou leur exécution partielle dans un délai n’excédant pas une année.
- Le non-respect des mesures d’urgence prescrites par le point de contact national pour la réponse aux urgences cybernétiques ou les centres de réponse aux urgences cybernétiques suite à la survenance d’un incident ou d’une attaque cybernétique.
- Le non-relève des défaillances dans un délai de trente jours.
- La non-création d’un centre de réponse aux urgences cybernétiques ou la non-adhésion aux centres de réponse aux urgences cybernétiques.
Est puni d’une amende de cinquante mille (50 000) dinars à cent mille (100 000) dinars les organismes mentionnés à l’article 6 du décret-loi n° 2023-17, et classés au troisième niveau, et ce dans les cas suivants :
- La non-réalisation de l’audit obligatoire et périodique de sécurité des systèmes d’information.
- La non-exécution des recommandations du rapport d’audit ou leur exécution partielle dans un délai n’excédant pas une année.
- Le non-respect des mesures d’urgence prescrites par le point de contact national pour la réponse aux urgences cybernétiques ou les centres de réponse aux urgences cybernétiques suite à la survenance d’un incident ou d’une attaque cybernétique.
- Le non-relève des défaillances dans un délai de trente jours
- La non-création d’un centre de réponse aux urgences cybernétiques ou la non adhésion aux centres de réponse aux urgences cybernétiques.