La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 2 Ministère des Technologies de la Communication Agence Nationale de la Sécurité Informatique Stratégie nationale pour la Sécurité des Systèmes dInformation:

Présentations similaires


Présentation au sujet: "1 2 Ministère des Technologies de la Communication Agence Nationale de la Sécurité Informatique Stratégie nationale pour la Sécurité des Systèmes dInformation:"— Transcription de la présentation:

1

2 1

3 2 Ministère des Technologies de la Communication Agence Nationale de la Sécurité Informatique Stratégie nationale pour la Sécurité des Systèmes dInformation: Lexpérience Tunisienne Prof Belhassen ZOUARI, Directeur Général, Agence Nationale de la Sécurité Informatique,

4 3 Bref aperçu historique fin 1999 : Lancement dune unité, spécialisée dans la sécurité des SI (Secrétariat détat à linformatique) : Objectif : - sensibiliser les directeurs et le personnel technique, - veiller à la sécurité des applications et infrastructures nationales hautement critiques, - suivre de près les derniers développements technologiques en matière de sécurité informatique. À partir de fin 2002 ( considération du rôle de la sécurité des SI comme pilier de la « Société dInformation ») : mise en place une stratégie et un plan national dans le domaine de la sécurité des SI ( enquête nationale, pour définir : priorités, volume des actions, logistique nécessaire, supports,...). Janvier 2003 Décision de : (CMR) Créer une Agence Nationale, spécialisée dans la sécurité des SI (Loutil pour lexécution de la stratégie et du plan nationaux) Introduire un audit obligatoire et périodique dans le domaine de la sécurité informatique (Pilier de notre stratégie) Créer un corps dauditeurs certifiés en sécurité des SI + dautres mesures daccompagnement

5 4 Février : Promulgation dune LOI originale sur la sécurité des SI (Loi N° , Fév 2004 et ses 3 décrets associés) : Obligation de laudit périodique (annuel actuellement), pour toutes les entités publiques et les grandes et sensibles sociétés privées. Organisation du domaine de laudit de sécurité ( Audits effectués UNIQUEMENT par des auditeurs CERTIFIES TUNISIENS, définition du processus du processus de certification des auditeurs & définition des missions d'audit et du processus de suivi) Création et définition des Missions de l Agence Nationale de la Sécurité Informatique Obligation de déclarer les incidents de sécurité (attaques Virales et de piratage de masses,...) qui peuvent affecter dautres SI, avec une garantie de confidentialité, par la loi. Lancement des activités de lAgence Nationale de la Sécurité Informatique Septembre 2005 : Lancement du Cert-Tcc (Computer Emergency Response Team / Tunisian Coordination Center) 2004 : 2005 :

6 5 Lignes Directrices de la Stratégie Tunisienne en Sécurité Informatique

7 6 Sécurité des Systèmes dInformation Nationaux Instruire des règles pour assurer une amélioration sécurisée et progressive de la sécurité de SI et le suivi pour des plans de sécurité réalistes et efficaces. Institution de laudit périodique obligatoire Identifier & Regrouper les « Lourds Investissement et les engager (infrastructures de Continuité de fonctionnement en cas de désastre, ISAC,..) Fournir lassistance technique pour garantir la correcte protection des SI et infrastructures critiques. Renforcement du rôle joué par les Associations (participation de toutes les forces vives de la Nation, actions de sensibilisation, évaluation des actions complémentaires requises, …) Permettre une « ouverture » sécurisée et une forte intégration entre les systèmes dinformation nationaux (e-administration, e- banking, e-commerce,..) Renforcer le rôle joué par le secteur privé et laider à se développer (fournir des Marchés, formations, aide à la certification, concurrence loyale,..)

8 7 Sécurité du Cyber-espace National - Implémenter des outils efficace pour la coordination entre les différents concernés, en cas dattaques cybernétiques. Permettre une utilisation confiante des TICs et dInternet (« Société de lInformation ») - Développer des : - Mécanismes pour la détection précoce dattaques (système « saher »), - Plans de Réaction efficaces (plan de réaction « Amen ») - Fournir lassistance et le support nécessaires dans le domaine de la sécurité informatique (équipes dintervention CSIRST)

9 8 Consolider le Savoir-faire en sécurité informatique Atteindre une « relative » autonomie technologique - Faire évoluer les capacités nationales en R&D et les rendre plus responsives à nos besoins urgents. - Encourager le développement de Solutions et outils Nationaux, liés aux besoins stratégiques « Lourds ». (Issus du monde de lOpen-source) - Assurer un « Suivi Technologique» efficace dans le domaine. - Encourager la recherche de base (Université) portant sur les importants thèmes (cryptographie, méthodologies, mécanismes) - Motiver lémergence dassociations Académiques dans le domaine de la sécurité informatique

10 9 Formation & Sensibilisation en sécurité des SI - Renforcer le potentiel de formateurs en sécurité informatique - Lancer des diplômes universitaires spécialisés dans le domaine de la sécurité informatique (Mastères). - Introduction de formation de base (sensibilisation) dans TOUS les cursus académiques et scolaires. - Encourager la certification (Internationale) de haut niveau des professionnels dans le domaine. - Promouvoir des activités de sensibilisation sur les dangers potentiels, les meilleures pratiques et les outils de protection : Lancer un CERT national, en charge, entre autres, de lintensification des opérations de sensibilisation, à léchelle de TOUTES les régions. Motiver la création dAssociations, œuvrant dans ce domaine.

11 10 Aspects Juridiques & Réglementaires - Adopter/Adapter des normes, réglementation et procédures de certification dans le domaine de la sécurité des Systèmes dinformation et harmoniser la tâche des régulateurs publics. - Œuvrer pour le renforcement des mécanismes de contrôle des abus (protection du consommateur, contrôle du Spam, respect de la protection des données à caractère personnel,respect de la propriété Intellectuelle …) - Renforcer la compétence des autorités judiciaires et policières, traitant des affaires de cybercriminalité (formation) Assurer la mise à jour continuelle des textes, selon les nouvelles problématiques introduites par la cybercriminalité et renforcer ladhésion et lapplication des conventions et traités internationaux (Crimes Cybernétiques, …). « Mettre à jour » le cadre juridique et la réglementation

12 11 Présentation des Principales Actions du PLAN National dans le domaine de la sécurité des SI

13 12 Lancement du Cert /TCC (Computer Emergency Response Team / Tunisian Coordination Center) Léquipe de Réponse aux Urgences Informatiques – Centre de Coordination Tunisien Missions Fournir aux utilisateurs des TIC, une assistance technique en ligne (call-center, ) ; Fournir une assistance pour la gestion dincidents (24H/24 et 7j/7) ; Agir comme moteur de sensibilisation; Collecter, développer et diffuser des guides et informations relatives au domaine de la sécurité des SI; Organiser des cycles de formation de haut niveau (formateurs, …); Essayer d'être un centre de synergie entre les professionnels, les chercheurs et les praticiens.

14 13 Information & Sensibilisation

15 14 Information en « temps réel » sur les vulnérabilités et activités malicieuses observées : Diffusion des informations (Collectées à travers la surveillance de multiple sources ) à travers une Mailing-List : Pus de 7000 abonnés volontaires Plus de 160 s envoyés en 2007 (plus de 470 vulnérabilités sur produits déclarées) Rubriques Variées : Menace : Information : Information & Alerte 1- vulnérabilité critique dans ………….., qui permet …… 2- vulnérabilité moyennement critique dans ………….., qui permet …… 3- ……………….. 1- Nom du Produit Plates-formes Concernées : …… Versions Concernées : ……… Brève Description : …….. ……. Pour plus de détails : (urls) SOLUTION ………. 2- Nom du Produit ………………… Objet : ………….. Systèmes et Plates-formes concernés : …… Effets Signes Visibles Moyen de propagation Propagation à léchelle Nationale Propagation à léchelle Internationale Plus de détails (urls) Mesures Préventives. Faille (simples utilisateurs). Administrateurs (Professionnels en Sécurité).VIRUS.Faille.Virus.Spam.Hoax.Précaution.Administrateur.Alerte.Outils.Open-source.Annonce.Livre

16 15 Le Cert-TCC a orienté ses premières manifestations publiques vers le domaine de la sensibilisation : Participation à toutes les foires Nationales et Régionales (ateliers de simulation dattaques réelles montrer la réalité des risques encourus) Développement et distribution de brochures (9) et de CDs (3: outils de sécurité gratuitement pour usage domestique, outils open-source, patchs volumineux) Intervention dans les principales Conférences & Ateliers de Travail (22 interventions en 2005, 21 depuis début 2006) et organisation de présentations pour les décideurs publics (& contrôleurs de dépenses,.., ). + rubriques de sensibilisation dans la mailing-list (.Flash /.Outils), Actions de sensibilisation - Les médias jouent un Rôle Important et moteur dans la sensibilisation : Création dun poste de relations avec la presse (une journaliste ), afin de fournir la matière brute nécessaire aux journalistes. Participation dans lanimation de 6 rubriques hebdomadaires dans des station radio Régionales et Nationales : « Echabab », Le Kef, Sfax, Tataouine, Monastir, « Jawhara ». - Préparation dun module de sensibilisation dans le domaine de la sécurité des SI, pour des Journalistes.

17 16 Parents & Enfants : Les sensibiliser, sans les effrayer, à propos des risques sur Internet (risques de pédophilie, virus, …) - Agir pour léducation des jeunes générations : Préparation en cours dun premier module de sensibilisation pour lécole primaire ; Préparation de matière didactique pour les enfants et les parents : Bande Dessinée, Guide/Quizs, rubrique web spécialisée -Développement de brochures et ajout dune rubrique spéciale pour les parents dans la Mailing-List (Outils de Contrôle Parental, risques, … ). - Interventions dans les cours de préparation des enseignants de lenseignement secondaire et initiation dune Collaboration avec des éducateurs Centres et associations spécialisés dans lenfance.

18 17 Centre dobservation et dalerte : ISAC (Information Sharing and Analysis Center) Projet Saher

19 18 Collecte et filtrage des logs pour identifier les attaques de masse et les activités potentiellement malicieuses (vers, scans, …) Collecte & Pré-Traitement Un centre dObservation (basé sur des solutions open-source ), qui permet de superviser la sécurité du cyber-espace national en Temps Réel Détection précoce des attaques de masse et évaluation de leur impact. (premier prototype, déployé pendant le SMSI) HoneyPots, HoneyNet Connexions Sécurisées (SSh) Serveur Anti-virus Mail (script) rapports Réseaux ISPs IDCs N.IDS ( Snort) Alerte Plan de Réaction National Alerte Communité +/- ISAC Saher Analyse & Corrélation - Outil WebObserver -Déclenchement de -contrôle de flux Rapports dincidents (Call-Center, Fax, Site Web) Déclenchement automatique dalertes - Scripts pour la corrélation de logs. - Outils pour le contrôle & lanalyse de flux. - Outils de logs. - Scripts de "Pot de Miel" (Smart Honey- Poting) - Technique proactive & contre-mesures. « Saher »

20 19 Plan de Gestion dalertes --- Plan de Réaction Global "Formel". --- Établissement de coordination entre cellules de crise (FSIs, IDCs, Fournisseurs dAccès). Avec lANSI, agissant comme centre de coordination entre les cellules. Déployé 6 fois, pendant les attaques de vers Sasser& MyDoom, pendant des activités de piratage suspectes et, pro-activement, pendant les grands événements organisés en Tunisie (uniquement avec les FSIs et lopérateur national de télécommunication) Projet de Centre National de continuité de fonctionnement, en cas de sinistre grave, réalisé par le Centre National de lInformatique, sous un prêt de la Banque Mondiale) Fond détudes pour : Létablissement de Plans de continuité de fonctionnement pour certaines applications nationales critiques. Améliorer la protection du Cyber-espace national contre les attaques de type DDOS. Infrastructures de continuité de fonctionnement

21 20 Assistance pour la Gestion des Incidents Équipe CSIRT (Computer Security Incident Response Team)

22 21 Article 10 : Tout exploitant d'un système informatique ou réseau, qu'il soit organisme public ou privé, doit informer immédiatement l'agence nationale de la sécurité de toutes les attaques, intrusions et autres perturbations susceptibles dentraver le fonctionnement dun autre système informatique ou réseau, afin de lui permettre de prendre les mesures nécessaires pour y faire face. Lexploitant est tenu de se conformer aux mesures arrêtées par lagence nationale de la sécurité informatique pour mettre fin à ces perturbations. o Un centre dappel (Hotline), disponible pour assistance 24heures/24 et 7jours/7 Les organisations privées et publiques devraient nous faire confiance et demander lassistance, sans « peur » pour une éventuelle « mauvaise publicité » Article 9 - II est interdit aux agents de l'agence nationale la sécurité informatique et aux experts chargés des opérations d'audit de divulguer toute information dont ils ont eu connaissance lors de lexercice de leurs missions. Sont passibles des sanctions prévues à l'article 254 du code pénal, quiconque divulgue, participe ou incite à 1a divulgation de ces informations. Loi No du 3 février 2004 relative à la sécurité des SI CSIRT + Agir pour lémergence de CSIRs dans les domaines stratégiques (E-gov, E-Banking Énergie, Transport, Santé) o Une équipe CSIRT en charge d lAssistance dans la gestion des Incidents (sur terrain)

23 22 Formation & Éducation

24 23 Formation Professionnelle Objectif : Constituer un noyau de Formateurs en sécurité informatique. Initiation à la mise en place de formations de formateurs - 3 premiers cours réalisés (pour 35 formateurs chacun, sous un prêt de la Banque Mondiale) : - Sécurité des réseaux - Sécurité des plate-formes et systèmes - Méthodologies daudit de sécurité ( ISO ,ISO ) et développement de plans de sécurité. + Préparation de 4 autres modules de formation de formateurs. Mise à niveau de professionnels : - organisation de formations (avec la collaboration de centres de formation) pour les auditeurs en sécurité (Cours du soir pour professionnels, pour la préparation à lexamen de certification) pour des administrateurs en sécurité (sessions de 5 jours pour les administrateurs de le-gov (CNI, Premier ministère) Préparation de 2 sessions de formation pour juges et personnel judiciaire. - Agir pour la motivation des centres de formation privés. - Aider et motiver les professionnels, pour obtenir des certifications internationales (cours de préparation à lexamen CISSP).

25 24 - Collaboration avec des institutions académiques pour : - Développement de Mastères en sécurité informatique : (En ce moment, un diplôme de mastère en sécurité informatique permet lobtention de la certification de lAgence). en 2004 : Lancement du premier Mastère en sécurité informatique (Collaboration entre deux institutions universitaires : ISI& SupCom). Maintenant : 5 mastères (3 universités publiques & 2 privées) Éducation

26 25 Induction de plus de Synergie entre professionnels (CERT-TCC) Motive la création dassociations spécialisées en sécurité informatique : Une association académique a été lancée : Association Tunisienne de la Sécurité Numérique. Une association de praticiens, en cours de création : Association Tunisienne des Experts de la Sécurité Informatique. Compter sur le tissu Associatif

27 26 - Réalisation denquêtes Nationales concernant la Sécurité Informatique Une Enquête Nationale Électronique a été effectuée vers la fin 2003 (mettre en place du plan national (faiblesse, actions urgentes et leurs volumes) Une nouvelle enquête sera effectuée, avec le concours des associations, dici fin Lévaluation dactions & Révision de Plans dAction Hébergement de projets détudiants… - Le développement de Modèles de cahiers de Charges ( Concurrence Loyale confiance des investisseurs) Publication dun Modèle de cahier de charges pour les opérations daudit (Avec concertation des auditeurs privés) Développement de projets de cahier de charges pour lacquisition doutils de sécurité (Firewalls, IDS, …, Assistance pour le déploiement de produits Open-source) (en attente de validation avec les intégrateurs privés) - Lorganisation de séminaires et cours de sensibilisation (ATIM, ATSN, JCC gabes, sfax, ATAI,..) - Collaboration avec les associations/professionnels, pour :

28 27 Cadre Juridique Tunisien en matière de Sécurité Informatique et Cybercriminalité

29 28 Loi de la sécurité Informatique : Loi n° Loi de la protection de la vie privée Loi de la protection de la vie privée : Loi n° Lois concernant le respect de la propriété intellectuelle : Lois concernant le respect de la propriété intellectuelle : Loi n° , Loi n° , Loi n° , Loi n° , Loi sur la certification électronique : Loi n° Loi concernant sur les délits informatiques : Loi n°99-89 Loi concernant le Cyber terrorisme : Loi n° Les Lois Tunisiennes

30 29 Loi concernant la sécurité Informatique = Loi N°5/2004 Lois Tunisiennes : Article 9 de la loi n° du 3 février 2004, relative à la sécurité informatique (JORT publié le 03 février 2004) : confidentialité des incidents Il est interdit aux agents de lAgence Nationale de la Sécurité informatique et aux experts chargés des opérations daudit de divulguer toutes informations dont ils ont eu connaissance lors de lexercice de leurs missions. Sont passibles des sanctions prévues à larticle 254 du code pénal, quiconque divulgue, participe ou incite à la divulgation de ces informations Lois Tunisiennes : Article 10, 11 de la loi n° du 3 février 2004, relative à la sécurité informatique (JORT publié le 03 février 2004) : Déclaration des incidents. Les Lois Tunisiennes

31 30 Chapitre premier LAgence Nationale de la Sécurité Informatique Etablir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en lobjet est procéder a leurs publication, Ouvrer à encourager le développement de solutions nationales dans le domaine de la sécurité informatique et à les promouvoir conformément au priorité et au programme qui seront fixer par lagence, Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique, Veiller à lexécution des réglementations relatives à lobligation et laudit périodique de la sécurité des systèmes informatiques et des réseaux. Lautorité de tutelle peut confier à lagence toute autre activité en rapport avec le domaine de son intervention. Décret numéro 1248 promulgué le 4 Juin 2004 fixant le statut administratif et financier de lagence Les Lois Tunisiennes

32 31 Chapitre deux De laudit obligatoire - Les systèmes informatiques et des réseaux relevants des divers organismes public sont soumis à un régime daudit obligatoire et périodique de la sécurités informatiques à lexception des systèmes informatiques et des réseaux appartenant au ministères de la défense national et de lintérieur et du développement local. - Sont, également soumis à laudit obligatoire périodique de la sécurité informatique, les systèmes informatiques et les réseaux des organismes qui seront fixés par décret. Décret numéro 1250 du 4 Juin Dans le cas où les organismes neffectue pas laudit obligatoire périodique, lagence national de la sécurité informatique avertit lorganisme concerner qui devra effectuer laudit dans un délais ne dépassant pas un mois à partir de la date de cet avertissement. A lexpiration de ce délais sans résultat, lagence est tenue de désigner aux frais de lorganisme contrevenant, un expert qui sera charger de laudit sous indiquée. Les Lois Tunisiennes

33 32 Chapitre Trois : Des auditeurs - Lopération daudit est effectuée par des experts, personnes physiques ou morales, préalablement certifiées par lagence nationale de la sécurité informatique. Décret numéro 1249 du 4 Juin 2004 qui fixe les conditions et les procédures de certification de ces experts - Il est interdit aux agents de lagence nationale de la sécurité informatique et aux experts chargés des opération daudit de divulguer toutes informations dont ils ont eu connaissance lors de lexercice de leurs missions…… Les Lois Tunisiennes

34 33 Chapitre Quatre Des dispositions diverses - Tout exploitant dun système informatique ou réseau, quil soit organisme public ou privé, doit informer immédiatement lagence nationale de la sécurité informatique de toutes attaques, intrusions et autres perturbations susceptibles dentraver le fonctionnement dun autre système informatique ou réseau, afin de lui permettre de prendre les mesures nécessaires pour y faire face. - Afin de protéger les systèmes informatiques et les réseaux, lagence nationale de la sécurité informatique peut proposer lisolement du système informatique ou du réseau concerné jusqu'à ce que ces perturbations cessent. Lisolement est prononcé par décision du ministre chargé des technologies de la communication. Les Lois Tunisiennes

35 34 Les Lois Tunisiennes

36 35 Loi concernant la protection de la vie privée Loi n° du 27 juillet 2004, portant sur la protection des données à caractère personnel. Les Lois Tunisiennes

37 36 Cette loi spécifie : 1.Les dispositions générales concernant la protection des données à caractère personnel 2.Les conditions de traitement des données à caractère personnel : –Les procédures préliminaires de traitement de ces données –Le responsable de traitement de ces données et ses obligations –Les droits de la personne concernées (consentement, droit daccès, droit opposition) 3.La collecte, la conservation, leffacement et la destruction des données à caractère personnel 4.Leurs communication et leur transfert 5.Quelques catégories particulières de traitement de ces données : –Par les personnes publiques –Relatives à la santé –Dans le cadre de la recherche scientifique –À des fins de vidéo-surveillance 6.Linstance nationale de protection des données à caractère personnel 7.Les sanctions 8.Les dispositions diverses concernant la protection des données à caractère personnel Les Lois Tunisiennes

38 37 Les Données à caractère personnel ? Loi n° du 27 juillet 2004 Les Lois Tunisiennes

39 38 Lois concernant le respect de la propriété intellectuelle Les droits de propriété intellectuelle sont les droits conférés à l'individu par une création intellectuelle. On répartit généralement les droits de propriété intellectuelle en deux grands groupes : – Droit d'auteur et droits connexes – Propriété industrielle Les Lois Tunisiennes

40 39 1- Droit d'auteur 50 ansLes droits des auteurs d'oeuvres littéraires et artistiques ( livres et autres écrits, compositions musicales, tableaux, acteurs, chanteurs, musiciens, sculptures, programmes d'ordinateur et films ) sont protégés par ce que l'on appelle le droit d'auteur pendant au moins 50 ans après le décès de l'auteur. Le principal objectif social de la protection du droit d'auteur et des droits connexes est d'encourager et de récompenser la création. Copyright ©: Couvre lexpression didées Les Lois Tunisiennes

41 40 2- Propriété industrielle 2- Propriété industrielle La propriété industrielle englobe deux grands domaines : La protection des signes distinctifs, notamment les marques de fabrique ou de commerce TM (qui distinguent les produits ou les services d'une entreprise de ceux d'autres entreprises)=> Elle vise à promouvoir et assurer la concurrence loyale et à protéger les consommateurs, en leur permettant de choisir en connaissance de cause entre différents produits et services. La durée de la protection peut être illimitée si le signe en question garde son caractère distinctif. La protection des inventions (protégées par des brevets), des dessins et modèles industriels et des secrets commerciaux => protégés principalement pour encourager l'innovation, la conception et la création technologiques. Les Lois Tunisiennes

42 41 3- Propriété intellectuelle en Tunisie Dans le secteur des droits de propriété intellectuelle, la loi principale protégeant les découvertes et inventions innovatrices en Tunisie date de 2000 (loi sur les brevets d'invention). La loi donne une définition précise des inventions brevetables, fixe les droits et obligations du détenteur du brevet, instaure trois types de licence, définit la contrefaçon et les sanctions y afférentes, prévoit un contrôle préventif aux frontières. Depuis 2001 une autre législation protège les marques, de commerce et de service. Toute atteinte portée aux droits du propriétaire de la marque constitue une contrefaçon engageant la responsabilité civile et pénale de son auteur. Les droits dauteur bénéficient également dune protection en Tunisie (convention de Berne). Les Lois Tunisiennes

43 42 Les dispositifs législatif tunisiens en matière de propriété intellectuelle : La loi n° du 24 août 2000, relative aux brevets dinvention (JORT n°68 du 25 août 2000). La loi n° du 6 février 2001, relative à la protection des dessins et modèles industriels (JORT n°12 du 9 février 2001). La loi n° du 6 février 2001, relative à la protection des schémas de configuration des circuits intégrés (JORT n°12 du 9 février 2001). La loi n° du 17 avril 2001, relative à la protection des marques de fabrique, de commerce et de services (JORT n°31 du 17 avril 2001). Les Lois Tunisiennes

44 43 Loi concernant la certification Electronique loi n° du 9 août 2000, relative aux échanges et au commerce électroniques يتمثل الإمضاء في وضع إسم أو علامة خاصة بيد العاقد نفسه مدمجة بالكتب المرسوم بها أو إذا كان إلكتروني في استعمال منوال تعريف موثوق به يضمن صلة الامضاء المذكور بالوثيقة الالكترونية المرتبطة بهيتمثل الإمضاء في وضع إسم أو علامة خاصة بيد العاقد نفسه مدمجة بالكتب المرسوم بها أو إذا كان إلكتروني في استعمال منوال تعريف موثوق به يضمن صلة الامضاء المذكور بالوثيقة الالكترونية المرتبطة به : الفصل 453 من مجلة الالتزامات والعقود الذي وقع اتمامه بمقتضى القانون عدد 57 لسنة 2000 المؤرخ في 13 جوان 2000 ، Les Lois Tunisiennes

45 44 Créée par la loi n° du 9 Août 2000la loi n° du 9 Août 2000 Missions : –La signature et le cryptage des messages électroniques. –La sécurisation des transactions et des échanges électroniques. –La fourniture des clés pour les Réseaux Privés Virtuels (VPNs). –L'homologation des systèmes de cryptage. –La sécurisation des échanges effectués par les entreprises. –L'analyse des risques pour une entreprise. –Les services d'horodatage. L'Agence Nationale de Certification Électronique (ANCE) Les Lois Tunisiennes

46 45 Loi concernant les délits informatiques Lois tunisiennes : loi n° du 2 août 1999, modifiant et complétant certaines dispositions du code pénal. Articles : 199 bis et 199 ter Les Lois Tunisiennes

47 46 Les Lois Tunisiennes

48 47 Les Lois Tunisiennes

49 48 loi du 10/12/2003 relative aux soutiens internationaux de lutte contre le terrorisme et à la répression du blanchissement de l'argent Loi concernant le Cyber terrorisme Les Lois Tunisiennes

50 49 Merci de votre attention

51 50 منشور السيد الوزير الأول عدد 19/2007 بتاريخ 11 أفريل 2007 ، حول تدعيم إجراءات السلامة المعلوماتية بالهياكل العمومية : – مسؤول عن السلامة المعلوماتية، – خلية فنية مختصة بالسلامة المعلوماتية، – هيئة متابعة. منشور السيد الوزير الأول عدد حول تامين المقرات التابعة للدولة والمؤسسات والمنشآت العمومية من خطر الحرائق منشور السيد الوزير الأول عدد 19/2003 ، المتعلق حول إجراءات السلامة و الوقاية بالبناءات التابعة للوزارات و الجماعات المحلية و المؤسسات و المنشآت العمومية منشور السيد الوزير الأول عدد 41/2006 بتاريخ 22 ديسمبر 2006 المتعلق بتنظيم السير الإداري نصوص ترتيبية Les Lois Tunisiennes

52 51 1- جريمة النفاذ المجرّد إلى كامل أو جزء من نظام البرمجيات والبيانات المعلوماتية استعمل المشرع التونسي عبارتي: النفاذ - النفاذ : مراعاة الطبيعة اللاماديّة للعالم الإفتراضي، غير شرعيّة - غير شرعيّة : أي أنه توجد وضعيات يكون فيها النفاذ شرعيا، مثال : النفاذ إلى موقع إلكتروني على صفحات الواب بإعتباره مفتوح للعموم وبالتالي يجوز النفاذ إليه. هل أنّ جريمة النفاذ الغير الشرعي تقوم إذا لم يقع خرق أي نظام حمائي؟ لم يشترط المشرع أن يكون النظام المعلوماتي الواقع النفاذ إليه محميّا، بل جرّم النفاذ الغير الشرعي حتى بالنسبة للنظام المعلوماتية الغير المحصّنة بنظام حمائي، وعليه يمكن قيام جريمة النفاذ ولم يقع اختراق أي نظام حمائي. هل تعدّ جريمة النفاذ الغير الشرعي قائمة حتى ولم يقصد الشخص ذلك؟ إن نتج النفاذ عن خطأ فإن الجريمة تبقى قائمة لم يوضح المشرع التونسي ضمنيا هذا الجانب، ولكن إذا أراد أن يجعل من تلك الجريمة جريمة قصدية، لاستعمل عبارة "كل من تعمّد" كما في الفقرة الثالثة من ذات الفصل "199 مكرر، بما نميل معه للقول بأنّه حتى إن نتج النفاذ عن خطأ فإن الجريمة تبقى قائمة. Les Lois Tunisiennes

53 جريمة الاستقرار المجرد بكامل أو بجزء من نظام البرماجيات المعلوماتية : تندرج جريمتي الإستقرار الكلي أو الجزئي ضمن جرائم الخطر ولا يدخلان في خانة جرائم الضّرر (حمل سلاح بدون رخصة، السياقة تحت تأثير حالة كحوليّة، بعض جرائم البيئة)== < تسمح للمخالف بالإطلاع على تلك البيانات والمحتوى المعلوماتي، الأمر الذي يشكل انتهاكا لحرمة الأشخاص والمؤسسات، كما أن إطلاع الشخص على المعلومات والبيانات الموجودة بالنظام المعلوماتي قد يستميله إلى إتيان أفعال إجرامية تهدّد كيان شخص طبيعي أو مؤسسة من خلال تسريب تلك المعلومات إلى أطراف لها مصلحة في معرفتها بطرق غير شرعية. == < عقوبة تتراوح بين شهرين وعام سجن وخطية قدرها ألف دينار أو بإحدى هاتين العقوبتين. ملاحظة : تثير عبارة "الاستقرار" صعوبة فيما يتصل بتحديد مدلولها 3- جرائم النفاذ أو الإستقرار غير الشرعيين المنتجين لأثر بنظام معلوماتي إقتضت الفقرة الثانية من الفصل 199 مكرر من المجلة الجزائية أنه إذا نتج عن النفاذ أو الإستقرار غير الشرعيين بكامل أو بجزء من نظام البرمجيات والبيانات المعلوماتية إفساد أو تدمير البيانات الموجودة بالنظام المذكور == < ترفع العقوبة إلى عامين سجن والخطية إلى ألفي دينار. ملاحظة : لم يوضح المشرع التونسي المقصود من عبارتي التدمير والإفساد والفرق بين كليهما. Les Lois Tunisiennes

54 53 4- جريمة تعمّد إفساد أو تدمير سير نظام معالجة معلوماتية نصّت الفقرة الثالثة من الفصل 199 مكرر من المجلة الجزائية على أنه يعاقب == < بالسجن مدة ثلاثة أعوام وبخطية قدرها ثلاثة آلاف دينار كل من يتعمّد إفساد أو تدمير سير نظام معالجة معلوماتية. العقوبة المقرّرة لهذه الجريمة أشد، والسبب في ذلك هو : أن فعل الإفساد أو التدمير هنا يستهدف سير النظام المعلوماتي، لا يمكن اقتراف هذه الجرائم إلا من قبل أشخاص لهم دراية فنية لا يستهان بها في مجال الإعلامية لذلك جعل المشرع منها جريمة قصدية بدليل إستعماله لعبارة "كل من يتعمّد". 5- جريمة إدخال بيانات بنظام معالجة معلوماتية بصفة غير شرعية من شأنها إفساد البيانات نصت الفقرة الرابعة من الفصل 199 مكرر من المجلة الجزائية على أن يعاقب == < بالسجن مدة ثلاثة أعوم وبخطية قدرها خمسة آلاف دينار كل من يدخل بصفة غير شرعية بيانات بنظام معالجة معلوماتية من شأنها إفساد البيانات التي تحتوي عليها البرنامج أو طريقة تحليلها أو تحويلها. جريمة ترتكب عادة من قبل أشخاص لهم درجة عالية من المعارف والمهارات في مجال تقنيات الإعلامية وفي معظم الأحيان يقومون باقترافها بمناسبة مباشرتهم لوظائفهم == < لذلك نصّ المشرع على مضاعفة العقوبة إذا ارتكبت الفعلة المذكورة من طر ف شخص بمناسبة مباشرته لنشاطه المهني. ملاحظة : تثير صياغة الفقرة الرابعة من الفصل 199 مكرر تساؤلا حول ما إذا كان فعل إدخال بيانات بنظام معالجة معلوماتية كافيا لذاته لقيام الجريمة، أم لا بدّ أن ينتج عن عملية الإدخال إفساد البيانات التي يحتوي عليها البرنامج أو طريقة تحليلها أو تحويلها؟ ويمكن فهم من صياغة الفقرة أن الجريمة تقوم بمجرّد إحتمال الإفساد للقول بوجود تلك الجريمة. Les Lois Tunisiennes

55 54 6- جريمة إدخال تغيير على محتوى وثائق معلوماتية أو إلكترونية أصلها صحيح: نص الفصل 199 ثالثا من المجلة الجزائية على أنه == < "يعاقب بالسجن مدة عامين وبخطية قدرها ألف دينار كل من يدخل تغييرات بأي شكل كان على محتوى وثائق معلوماتية أو إلكترونية أصلها صحيح شريطة حصول ضرر للغير". وضاعف العقوبة في الفقرة الثالثة في صورة ارتكاب تلك الجريمة من طرف موظف عمومي أو شبهه. ملاحظة : جرّم المشرع التونسي من خلال هذا الفصل عملية تدليس الوثيقة الإلكترونية Les Lois Tunisiennes


Télécharger ppt "1 2 Ministère des Technologies de la Communication Agence Nationale de la Sécurité Informatique Stratégie nationale pour la Sécurité des Systèmes dInformation:"

Présentations similaires


Annonces Google