L'Agence Nationale de Sécurité Informatique Tunisienne et son CERT Francophone
Date : 05 Janvier 2007
L’ANSI
est chargée de la protection des infrastructures
vitales et de la sensibilisation des citoyens Tunisiens. Pour ce faire
elle a
mis en place le Cert Tunisian Coordination Center (appelé le
CERT-TCC).
L’ANSI
a, dans le cadre des projets de la banque
mondiale, initialisé une mission de conseil/assistance avec
l’équipe Alcatel
CIT qui opère le Cert-IST.
Dans le cadre de cette mission, l’équipe Alcatel CIT a constaté que les actions de l’ANSI, parfois intégrées dans le bilan du CERT-TCC, vont au-delà des objectifs d’un Cert et en font effectivement l’ossature d’une véritable Agence Nationale au sens du paragraphe 2.4 du rapport Lasbordes, qui avait fait l’objet d’un précédent article.
Historique et Mission de l’ANSI
Une unité existait depuis 1999, en vue de l’établissement d’un plan national pour la cyber-sécurité (il est à noter que la prise de conscience des risques d’origine NTIC a partiellement été déclenchée par le problème du « bug de l’an 2000 »).
En Janvier 2003, lors d’un Comité interministériel restreint, sous la présidence du Président Tunisien Zine El Abidine BEN ALI, dédié à l’informatique et à la sécurité des SI, il a été décidé :
- la Création d’une Agence Nationale, spécialisée dans la sécurité des SI
- l’introduction d’un audit obligatoire et périodique dans le domaine de la sécurité informatique, (pilier de la stratégie), accompagné de la création d’un corps d’auditeurs certifiés en sécurité des SI, plus d’autres mesures d’accompagnement (dont une obligation de déclaration des incidents de sécurité).
La loi mentionne la création d'une entreprise publique à caractère non administratif dénommée « ANSI » (Agence Nationale de Sécurité Informatique), soumise à la tutelle du Ministère chargé des technologies de la communication, pour effectuer un contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics et privés. Elle est en particulier chargée de :
- Veiller à l’exécution des orientations nationales stratégiques en matière de SSI
- Suivre l’exécution des plans pour le secteur public, hors défense et sécurité nationale.
- Assurer la veille technologique
- Etablir des normes et publier des guides techniques
- Encourager et promouvoir le développement de solutions nationales
- Participer à la consolidation des formations dans le domaine
- Veiller à l’exécution des réglementations relatives à [l’obligation de] l’audit périodique.
A
noter que dans cette même loi sont définis
réglementairement une obligation d’audit
périodique des organismes publics ou
critiques dont la liste est fixée par décret (*),
le processus de certification
des auditeurs qui en ont la capacité, et enfin une
obligation de déclaration de
survenance d’un incident informatique pouvant avoir de
répercussions sur les
systèmes d’autres organismes.
(*)
Le décret n°2004-1250 du 25 Mai
|
Année 1999 |
Une unité cyber-sécurité au Ministère |
|
Janvier 2003 |
Décision de création de l’ANSI |
|
Février 2004 |
Promulgation Loi (création de l'ANSI et description de sa mission) |
|
Mai 2004 |
Promulgation décrets d’application |
Effectif, moyens et actions de l’ANSI
L’agence
dispose aujourd’hui d’un effectif de 30
personnes en croissance rapide (4 en 2004, 10 en 2005), dont plus des
2/3 sont
affectée à
Ainsi,
Pour en savoir plus : http://www.ansi.tn/fr/index_fr.htm
Le
programme d’identification et de formation des
auditeurs a permis de certifier 30 experts au cours du 1er semestre
2006 et 70
experts au cours du 2ème semestre 2006.
Les fonctions d’exécution de plan nationaux sont remplies, soit par la constitution et l’animation de réseaux de correspondants dans les organismes, soit par des actions de sensibilisation aussi bien en direction des professionnels que du grand public.
En particulier celui-ci est la cible de nombreuses actions pour la protection de l’enfance et le contrôle parental.
L’ANSI
et sa structure opérationnelle, le CERT-TCC, ont
été particulièrement actifs
à l’occasion du SMSI , à Tunis, tout en n’étant pas,
rappelons-le, prioritairement responsables de la
sûreté nationale, mais uniquement responsables
d’infrastructures critiques
telles que celles fournies par les opérateurs. A ce titre,
ils sont un des
acteurs majeurs dans le déclenchement et la coordination du
plan « AMEN »,
applicable en cas de cyber-crise majeure en Tunisie.
Par
rapport aux autres pays, le modèle Tunisien serait
dans l’esprit des missions assez proche du BSI Allemand, avec
une dimension
R&D produits qui se focalise sur l’Open Source, et
une organisation ou un
vocabulaire (CERT, ISAC) qu’ils empruntent au
modèle Anglais.
L’ANSI
et les
recommandations du rapport Lasbordes
La Tunisie, avec l’ANSI, s‘est dotée d’une structure de protection des infrastructures critiques analogue a priori à l’ensemble DCSSI + COSSI / CERTA en France, ou à certains cas étudiés dans le rapport Lasbordes (NSA /DHS, NISCC, BSI, NCSC).
La structure et les missions de l’ANSI sont finalement extrêmement proches des 6 recommandations du rapport Lasbordes et même de son objectif de refonte organisationnelle :
|
Recommandations du Rapport Lasbordes |
Constat ANSI |
|
Sensibiliser et former à la sécurité des systèmes d’information (Sensibilisation des PME et du grand public par la mise en place d’un portail d’information, d’une campagne de communication et une meilleure coordination avec la filière éducative.) |
Sensibilisation portail, radios, expositions, priorité protection de l’enfant sur Internet |
|
Responsabiliser les acteurs (Chartes et des processus de labellisation) |
Engagé pour l’audit |
|
Renforcer la politique de développement de technologies et de produits de SSI et définir une politique d’achat public en cohérence. |
Actif, pour la promotion de solutions Open source (poussées par la réglementation) |
|
Rendre accessible la SSI à toutes les entreprises |
Actif, pour la promotion de solutions Open source (poussées par la réglementation). |
|
Rendre accessible la SSI à toutes les entreprises |
Fonctionnement d’assistance aux PME et aux citoyens. |
|
Accroître la mobilisation des moyens judiciaires |
Engage pour la filière audit, sensibilisation planifiée pour la cybercriminalité et les données personnelles. |
|
Assurer la sécurité de l’Etat et des infrastructures vitales (Le rapport conseillait) de renforcer une autorité centrale chargée de conseiller en amont les maîtrises d'ouvrage de l'Etat pour des projets sensibles et d’en contrôler l’application par des inspections sur site et des tests d’intrusion sans préavis, de renforcer la formation (et l’autorité) des experts et responsables grâce à une filière SSI transverse. |
… C’est aujourd’hui le cœur de mission et d’action de l’ANSI et du CERT-TCC pour la Tunisie …
|
L’ANSI aux Assises de la Sécurité à Monaco 2006
Grâce
à ces nombreuses réalisations, l’ANSI,
ses projets,
son bilan, ont suscité un intérêt
certain lors des Assises de la sécurité
à
Monaco.
Le
Président du Cert-IST, Yvon Klein a eu le plaisir de
présenter son Directeur, Nabil Sahli, à de
nombreuses personnalités.
Ainsi
M. Sahli a eu l’occasion de s’entretenir longuement
de la démarche Tunisienne
avec le Député Pierre Lasbordes (intervenant
remarqué lors de la conférence
plénière du Jeudi 12). Les
réalisations de l’ANSI en matière de
services aux PME et aux citoyens ont en
particulier été discutées.
De
plus, ces réalisations exemplaires ont également
attiré l’attention de Chantal d’Abboville, Présidente
de
