Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

27
ASPECTS RÉGLEMENTAIRES DE LA S.S.I EN TUNISIE SUJET : Université de la Manouba École Supérieure d’Économie Numérique Elaboré par: Hanen Ben Saad Seifeddine Dridi Ahmed Amina Douiri Proposé par: Mr Mohamed BENDANA

Transcript of Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

Page 1: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

ASPECTS RÉGLEMENTAIRES DE LA S.S.I EN TUNISIE

SUJET :

Université de la Manouba École Supérieure d’Économie Numérique

Elaboré par:

Hanen Ben Saad

Seifeddine Dridi

Ahmed Amina Douiri

Proposé par:

Mr Mohamed BENDANA

Page 2: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

Plan

Introduction

Système d’information

Loi n° 2004-5 du 3 février 2004, reIative à Ia sécurité informatique

Organismes ANSI

Audit

Pénalisation de la criminalité informatique

Conclusion

2

Page 3: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

INTRODUCTION

Le système d’information, considéré comme le cœur de l’entreprise, est l’ensemble des moyens organisationnels, humains et technologiques mis en œuvre pour la gestion de l’information.

Il doit être exempt de toute faille de sécurité qui risquerait de compromettre l’information qui y circule, du point de vue de la confidentialité, de l’intégrité ou de la disponibilité.

Ainsi, des normes de sécurité ont été définies, donnant les règles à respecter afin de maintenir la sécurité du système d’information de l’entreprise.

3

Page 4: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

LE SYSTÈME D’INFORMATION

« Un système d’information (SI) est un ensemble organisé de ressources (matériels, logiciels, personnel, données et procédures) qui permet de regrouper, de classifier, de traiter et de diffuser de l’information sur un environnement donné. »

« [...] le système d'information d'une entreprise est un réseau complexe de relations structurées où interviennent des hommes, des machines et des procédures, qui a pour objet d'engendrer des flux ordonnés d'informations pertinentes, provenant de sources internes et externes à l'entreprise et destinées à servir de base aux décisions. »

Jean Jacques Lambin

4

Page 5: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

Chapitre I La présente loi a pour objet d’Organiser le domaine de la

sécurité informatique et de fixer les règles générales de protection des systèmes informatiques et des réseaux.

La création "Agence Nationale de la Sécurité Informatique".

Journal Official de la République Tunisienne Loi n° 2004-5 du 3 février 2004, reIative à Ia sécurité informatique

5

Page 6: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

• ANCI effectue un contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics et privés.

6

Page 7: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

Elle est chargée des missions suivantes: • Veiller à l'exécution des orientations nationales et de la

stratégie générale en systèmes de sécurité des systèmes informatiques et des réseaux• Suivre l'exécution des plans et des programmes relatifs à la

sécurité informatique dans le secteur public.• Assurer la veille technologique dans le domaine de la

sécurité informatique

ANCI : Missions

7

Page 8: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

• Etablir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en l'objet et procéder à leur publication.• Œuvrer pour encourager le développement de solutions

nationales dans le domaine de la sécurité informatique.

• Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique

• Veiller à l'exécution des réglementations relatives a l'obligation de l'audit périodique de la sécurité des systèmes informatiques et des réseaux

ANCI : Missions

8

Page 9: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

• Les systèmes informatiques et les réseaux des divers organismes publics sont soumis à un régime d'audit obligatoire et périodique de la sécurité informatique.

• Dans le cas où les organismes n'effectuent pas l'audit obligatoire périodique, L‘ANCI avertit l'organisme concerné qui devra effectuer l'audit dans un délai ne dépassant pas un mois à partir de la date de cet avertissement.

• Les organismes publics et privés doivent permettre à l'agence nationale de la sécurité informatique et aux experts qui seront chargés de l'opération d'audit, de consulter tous les documents et dossiers relatifs à la sécurité informatique afin d'accomplir leurs missions.

CHAPITRE II : DE L'AUDIT OBLIGATOIRE

9

Page 10: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

CHAPITRE III : DES AUDITEURS

• L'opération d'audit est effectuée par des experts, personnes physiques ou morales, préalablement certifiées par l‘ANCI.

• Il est interdit aux agents de l'agence nationale de la sécurité informatique et aux experts chargés des opérations d'audit de divulguer toutes informations dont ils ont eu connaissance lors de l'exercice de leurs missions.

10

Page 11: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

CHAPITRE IV : DES DISPOSITIONS DIVERSES

Tout exploitant d'un système informatique ou réseau doit informer l’ANCI de toutes attaques, intrusions et autres perturbations susceptibles d'entraver le fonctionnement d'un autre système informatique ou réseau, afin de lui permettre de prendre les mesures nécessaires pour y faire face.

11

Page 12: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

DÉMARCHE D’AUDIT

• Un audit de sécurité consiste à valider les moyens de protection mis en œuvre sur les plans organisationnels, procéduraux et techniques, au regard de la politique de sécurité en faisant appel à un tiers de confiance expert en audit sécurité informatique.

• L'audit de sécurité conduit, au delà du constat, à analyser les risques opérationnels et à proposer des recommandations et plans d'actions quantifiées et hiérarchisées pour corriger les vulnérabilités et réduire l'exposition aux risques.

12

Page 13: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

PHASES D’AUDIT DE SÉCURITÉ D’INFORMATION• L'audit de la sécurité du système d'information est

décomposé en deux grandes phases :

* Phase d'audit des aspects organisationnels, C’est l’évaluation et calcul des risques inhérents.

* Phase d'audit technique : une analyse technique de la sécurité de toutes les composantes du système informatique et la réalisation de tests de leur résistance face aux attaques avec une analyse et une évaluation des dangers qui pourraient résulter de l'exploitation des failles découvertes suite à l'opération d'audit.

13

Page 14: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

Système d’information d’un

réseau audité

Audit organisationnel et

physiqueAudit technique

Test intrusif

Identification des vulnérabilité d’ordre

organisationnel et physiqueEvaluation des risques

Détection régulière automatisée des

vulnérabilité et des failles potentielles

Détection des vulnérabilité

détecter depuis l’extérieur

Cycle de vie d’un audit de sécurité des systèmes d’information

14

Page 15: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

NORMES ET STANDARDS RELATIVES À LA SÉCURITÉLes normes sont des accords documentés contenant des spécifications techniques ou autres critères précis destinés à être utilisés systématiquement en tant que règles, lignes directrices ou définitions de caractéristiques pour assurer que des processus, services, produits et matériaux sont aptes à leur emploi.On trouve 3 normes : • ISO 27001• ISO 27002• ISO 2005

15

Page 16: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

ISO 27001

• La norme ISO/IEC a été publiée en octobre 2005, intitulé « Exigences de SMSI », elle est la norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui définit les conditions pour mettre en oeuvre et documenter un SMSI (Système de Management de la Sécurité de l'Information).

16

Page 17: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

ISO 27002 • ISO 27002 couvre le sujet de la gestion des risques. Elle donne des

directives générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations.

• Elle est composée de 15 chapitres dont 4 premiers introduisent la norme et les 11 chapitres suivants composés de 39 rubriques et 133 mesures dites « best practices » qui couvrent le management de la sécurité aussi bien dans ses aspects stratégiques que dans ses aspects opérationnels (les objectifs de sécurité et les mesures à prendre).

17

Page 18: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

• Chapitre n°1: Champ d'application • Chapitre n°2: Termes et définitions • Chapitre n°3: Structure de la

présente norme • Chapitre n°4: Évaluation des risques

et de traitement

Chapitres définissant le

cadre de la norme:

• Chapitre n°5: Politique de sécurité de l'information • Chapitre n°6: Organisation de la sécurité de l'information • Chapitre n°7: Gestion des actifs • Chapitre n°8: Sécurité liée aux ressources humaines • Chapitre n°9: Sécurités physiques et environnementales • Chapitre n°10: Exploitation et gestion des communications • Chapitre n°11: Contrôle d'accès • Chapitre n°12: Acquisition, développement et maintenance

des systèmes d'informations • Chapitre n°13: Gestion des incidents • Chapitre n°14: Gestion de la continuité d'activité • Chapitre n°15: Conformité.

Les chapitres définissant les

objectifs de sécurité et les

mesures à prendre

18

Page 19: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

19

Page 20: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

ISO 2005

• La norme ISO 27005, intitulé « Gestion du risque en sécurité de l'information », est une évolution de la norme ISO 13335, définissant les techniques à mettre en œuvre dans le cadre d’une démarche de gestion des risques.

20

Page 21: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

PÉNALISATION DE LA CYBERCRIMINALITÉ

• Pour instaurer un sentiment de confiance dans l’esprit des intervenants et pour protéger les systèmes informatiques, la loi n° 99- 89 du 2 août 1999 a complété certaines dispositions du code pénal en vue de criminaliser certains actes Article 199 bis et ter sanctionnent les actes suivants :

21

Page 22: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

Emprisonnement deux mois à un an et d'une amende de mille dinars

•Toute personne aura accédé ou se sera maintenu dans tout ou partie d'un système de traitement automatisé de données.

Deux ans d'emprisonnement et l'amende à deux mille dinars

•Une altération ou la destruction du fonctionnement des données existantes dans le système indiqué, même sans intention.

Emprisonnement de trois ans et d'une amende de trois mille dinars

•Toute personne aura intentionnellement altéré ou détruit le fonctionnement du traitement automatisé.

Article 199 bis - (Ajouté par la Loi n ° 99-89 du 2 août 1999).

22

Page 23: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

Emprisonnement de deux ans et d'une amende de deux mille dinars

• Toute personne aura introduit une modification de quelque nature qu'elle soit sur le contenu des documents informatisés ou électroniques originairement véritables, à condition qu'elle porte un préjudice à autrui.

• Est puni des mêmes peines, quiconque aura sciemment détenu ou fait usage des documents susvisés.

• La peine est portée au double lorsque les fais susvisés sont commis par un fonctionnaire public ou assimilé. La tentative est punissable

Article 199 ter - (Ajouté par la Loi n° 99-89 du 2 août 1999)

Emprisonnement de cinq ans et d'une amende de cinq mille dinars

•Toute personne aura frauduleusement introduit des données dans un système de traitement automatisé de nature à altérer les données que contient le programme ou son mode de traitement ou de transmission.

•La peine est portée au double lorsque l'acte susvisé est commis par une personne à l'occasion de l'exercice de son activité professionnelle. La tentative est punissable.

23

Page 24: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

• Article 277 Est puni d'un emprisonnement de 6 mois et d'une amende.

• Article 278. - Est puni de deux ans d'emprisonnement et d'une amende de mille dinars, quiconque détruit, détourne, dissipe, prête ou dissimule des oblets saisis.

24

CODE PÉNAL

Page 25: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

CONCLUSION

Avec le développement de l'utilisation d'internet, de plus en plus

d'entreprises ouvrent leur système d'information à leurs partenaires ou

leurs fournisseurs, il est donc essentiel de connaître les ressources de

l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits

des utilisateurs du système d'information. Il en va de même lors de

l'ouverture de l'accès de l'entreprise sur internet.

25

Page 26: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

BIBLIOGRAPHIE• http://www.tunisie.gov.tn/Loi2004_5.pdf• http://www.jurisitetunisie.com/tunisie/codes/cp/cp1175.htm• https://www.ansi.tn/fr/pages/cadre.html

26

Page 27: Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

THANK YOU!

27