Stratégie nationale pour la Sécurité des Systèmes d’Information:

Présentation au sujet: "Stratégie nationale pour la Sécurité des Systèmes d’Information:"— Transcription de la présentation:

1

2 Stratégie nationale pour la Sécurité des Systèmes d’Information:
Ministère des Technologies de la Communication Agence Nationale de la Sécurité Informatique Stratégie nationale pour la Sécurité des Systèmes d’Information: L’expérience Tunisienne Microsoft clip art Prof Belhassen ZOUARI, Directeur Général, Agence Nationale de la Sécurité Informatique,

3 Bref aperçu historique
fin 1999 : Lancement d’une unité, spécialisée dans la sécurité des SI (Secrétariat d’état à l’informatique) : Objectif : - sensibiliser les directeurs et le personnel technique, - veiller à la sécurité des applications et infrastructures nationales hautement critiques, - suivre de près les derniers développements technologiques en matière de sécurité informatique. À partir de fin 2002 (“ considération du rôle de la sécurité des SI comme pilier de la « Société d’Information ») : mise en place une stratégie et un plan national dans le domaine de la sécurité des SI (enquête nationale, pour définir : priorités, volume des actions, logistique nécessaire, supports, ...). Janvier 2003 Décision de : (CMR) ● Créer une Agence Nationale, spécialisée dans la sécurité des SI (L’outil pour l’exécution de la stratégie et du plan nationaux) ● Introduire un audit obligatoire et périodique dans le domaine de la sécurité informatique (Pilier de notre stratégie) ● Créer un corps d’auditeurs certifiés en sécurité des SI + d’autres mesures d’accompagnement Which lead to green First of its kind Established Deined the missions of

4 (Loi N° 5-2004, Fév 2004 et ses 3 décrets associés) :
2004 : Février : Promulgation d’une LOI “originale” sur la sécurité des SI (Loi N° , Fév 2004 et ses 3 décrets associés) : Obligation de l’audit périodique (annuel actuellement) , pour toutes les entités publiques et les “grandes” et sensibles sociétés privées. Organisation du domaine de l’audit de sécurité (Audits effectués UNIQUEMENT par des auditeurs CERTIFIES TUNISIENS, définition du processus du processus de certification des auditeurs & définition des missions d'audit et du processus de suivi) Création et définition des Missions de l’ Agence Nationale de la Sécurité Informatique Obligation de déclarer les incidents de sécurité (attaques Virales et de piratage de masses, ...) qui peuvent affecter d’autres SI, avec une garantie de confidentialité, par la loi. Lancement des activités de l’Agence Nationale de la Sécurité Informatique 2005 : Septembre 2005 : Lancement du Cert-Tcc (Computer Emergency Response Team / Tunisian Coordination Center)

5 Lignes Directrices de la Stratégie Tunisienne en Sécurité Informatique

6 Sécurité des Systèmes d’Information Nationaux
Permettre une « ouverture » sécurisée et une forte intégration entre les systèmes d’information nationaux (e-administration, e-banking, e-commerce, ..) Instruire des règles pour assurer une amélioration sécurisée et progressive de la sécurité de SI et le suivi pour des plans de sécurité réalistes et efficaces.  Institution de l’audit périodique obligatoire Fournir l’assistance technique pour garantir la correcte protection des SI et infrastructures critiques. Renforcer le rôle joué par le secteur privé et l’aider à se développer (fournir des “Marchés”, formations, aide à la certification, concurrence loyale, ..) Identifier & Regrouper les « Lourds” Investissement et les engager (infrastructures de Continuité de fonctionnement en cas de désastre, ISAC,..) Renforcement du rôle joué par les Associations (participation de toutes les forces vives de la Nation, actions de sensibilisation, évaluation des actions complémentaires requises, …)

7 Sécurité du Cyber-espace National (« Société de l’Information »)
Permettre une utilisation confiante des TICs et d’Internet (« Société de l’Information ») Fournir l’assistance et le support nécessaires dans le domaine de la sécurité informatique (équipes d’intervention CSIRST) Développer des : Mécanismes pour la détection précoce d’attaques (système « saher »), Plans de Réaction efficaces (plan de réaction « Amen ») - Implémenter des outils efficace pour la coordination entre les différents concernés, en cas d’attaques cybernétiques.

8 Consolider le “Savoir-faire” en sécurité informatique
Atteindre une « relative » autonomie technologique Encourager le développement de Solutions et outils Nationaux, liés aux besoins stratégiques « Lourds ». (Issus du monde de l’Open-source) Faire évoluer les capacités nationales en R&D et les rendre plus responsives à nos besoins urgents. Encourager la recherche de base (Université) portant sur les importants thèmes (cryptographie, méthodologies, mécanismes) Motiver l’émergence d’associations Académiques dans le domaine de la sécurité informatique Assurer un « Suivi Technologique» efficace dans le domaine.

9 Formation & Sensibilisation en sécurité des SI
- Renforcer le potentiel de formateurs en sécurité informatique Lancer des diplômes universitaires spécialisés dans le domaine de la sécurité informatique (Mastères). - Introduction de formation de base (sensibilisation) dans TOUS les cursus académiques et scolaires. - Encourager la certification (Internationale) de haut niveau des professionnels dans le domaine. - Promouvoir des activités de sensibilisation sur les dangers potentiels, les meilleures pratiques et les outils de protection :  Lancer un CERT national, en charge, entre autres, de l’intensification des opérations de sensibilisation, à l’échelle de TOUTES les régions.  Motiver la création d’Associations, œuvrant dans ce domaine.

10 Aspects Juridiques & Réglementaires
« Mettre à jour » le cadre juridique et la réglementation Adopter/Adapter des normes, réglementation et procédures de certification dans le domaine de la sécurité des Systèmes d’information et harmoniser la tâche des régulateurs publics. - Œuvrer pour le renforcement des mécanismes de contrôle des abus (protection du consommateur, contrôle du Spam, respect de la protection des données à caractère personnel,respect de la propriété Intellectuelle …) - Renforcer la compétence des autorités judiciaires et policières , traitant des affaires de cybercriminalité (formation) Assurer la “mise à jour continuelle” des textes, selon les nouvelles problématiques introduites par la cybercriminalité et renforcer l’adhésion et l’application des conventions et traités internationaux (Crimes Cybernétiques, …) .

11 Principales Actions du PLAN National
Présentation des Principales Actions du PLAN National dans le domaine de la sécurité des SI

12 (Computer Emergency Response Team / Tunisian Coordination Center)
Lancement du Cert /TCC (Computer Emergency Response Team / Tunisian Coordination Center) “L’équipe de Réponse aux Urgences Informatiques – Centre de Coordination Tunisien” Missions Fournir aux utilisateurs des TIC, une assistance technique en ligne (call-center, ) ; Fournir une assistance pour la gestion d’incidents (24H/24 et 7j/7) ; Agir comme moteur de sensibilisation; Collecter, développer et diffuser des guides et informations relatives au domaine de la sécurité des SI; Organiser des cycles de formation de haut niveau (formateurs, …); Essayer d'être un centre de synergie entre les professionnels, les chercheurs et les praticiens.

13 Information & Sensibilisation

14 Information & Alerte Information en « temps réel » sur les vulnérabilités et activités malicieuses observées : Diffusion des informations (Collectées à travers la surveillance de multiple sources ) à travers une Mailing-List : Pus de 7000 abonnés volontaires Plus de 160 s envoyés en 2007 (plus de 470 vulnérabilités sur produits déclarées) Rubriques Variées : Menace : Information : .Faille .Virus .Spam .Hoax .Précaution .Administrateur .Alerte .Outils .Open-source .Annonce .Livre 1- vulnérabilité critique dans ………….., qui permet …… 2- vulnérabilité moyennement critique dans ………….., qui permet …… 3- ……………….. 1- “Nom du Produit” Plates-formes Concernées : …… Versions Concernées : ……… Brève Description : …….. ……. Pour plus de détails : (urls) SOLUTION ………. 2- “Nom du Produit” ………………… Objet : ………….. Systèmes et Plates-formes concernés : …… Effets Signes Visibles Moyen de propagation Propagation à l’échelle Nationale Propagation à l’échelle Internationale Plus de détails (urls) Mesures Préventives .VIRUS . Administrateurs (Professionnels en Sécurité) . Faille (simples utilisateurs)

15 Actions de sensibilisation
Le Cert-TCC a orienté ses premières manifestations publiques vers le domaine de la sensibilisation : Participation à toutes les foires Nationales et Régionales (ateliers de simulation d’attaques réelles  montrer la réalité des risques encourus) Développement et distribution de brochures (9) et de CDs (3: outils de sécurité gratuitement pour usage domestique , outils open-source, patchs volumineux) Intervention dans les principales Conférences & Ateliers de Travail (22 interventions en 2005, 21 depuis début 2006) et organisation de présentations pour les décideurs publics (& contrôleurs de dépenses, .., ). + rubriques de sensibilisation dans la mailing-list ( .Flash / .Outils), Les médias jouent un Rôle Important et moteur dans la sensibilisation : Création d’un poste de relations avec la presse (une journaliste ), afin de fournir la matière brute nécessaire aux journalistes. Participation dans l’animation de 6 rubriques hebdomadaires dans des station radio Régionales et Nationales : « Echabab », Le Kef, Sfax, Tataouine, Monastir, « Jawhara ». Préparation d’un module de sensibilisation dans le domaine de la sécurité des SI, pour des Journalistes.

16 Parents & Enfants :  Les sensibiliser, sans les effrayer, à propos des risques sur Internet (risques de pédophilie, virus, …) - Agir pour l’éducation des jeunes générations : Préparation en cours d’un premier module de sensibilisation pour l’école primaire ; Préparation de matière didactique pour les enfants et les parents : Bande Dessinée, Guide/Quizs, rubrique web spécialisée Développement de brochures et ajout d’une rubrique spéciale pour les parents dans la Mailing-List (Outils de Contrôle Parental, risques, … ). Interventions dans les cours de préparation des enseignants de l’enseignement secondaire et initiation d’une Collaboration avec des éducateurs  Centres et associations spécialisés dans l’enfance.

17 Centre d’observation et d’alerte : ISAC Projet “Saher”
(Information Sharing and Analysis Center) Projet “Saher”

18 Connexions Sécurisées Serveur Anti-virus Mail
ISAC “Saher” Un centre d’Observation (basé sur des solutions open-source), qui permet de superviser la sécurité du cyber-espace national en Temps Réel Détection précoce des attaques de masse et évaluation de leur impact. (premier prototype, déployé pendant le SMSI) HoneyPots, HoneyNet Connexions Sécurisées (SSh) Serveur Anti-virus Mail (script) rapports Réseaux ISPs IDCs N.IDS ( Snort) Alerte Communité +/- Alerte Plan de Réaction National « Saher » Analyse & Corrélation - Outil “WebObserver” Déclenchement de contrôle de flux Rapports d’incidents (Call-Center, Fax, Site Web) Déclenchement automatique d’alertes Scripts pour la corrélation de logs. Outils pour le contrôle & l’analyse de flux. Outils de logs. Scripts de "Pot de Miel" (Smart Honey-Poting) Technique proactive & contre-mesures. Collecte et filtrage des logs pour identifier les attaques de masse et les activités potentiellement malicieuses (vers, scans, …) Collecte & Pré-Traitement

19 Infrastructures de continuité de fonctionnement
Plan de Gestion d’alertes --- Plan de Réaction Global "Formel". --- Établissement de coordination entre cellules de crise (FSIs, IDCs, Fournisseurs d’Accès). Avec l’ANSI, agissant comme centre de coordination entre les cellules. Déployé 6 fois, pendant les attaques de vers Sasser& MyDoom, pendant des activités de piratage suspectes et, pro-activement, pendant les grands événements organisés en Tunisie (uniquement avec les FSIs et l’opérateur national de télécommunication) Infrastructures de continuité de fonctionnement Projet de Centre National de continuité de fonctionnement, en cas de sinistre grave, réalisé par le Centre National de l’Informatique, sous un prêt de la Banque Mondiale) Fond d’études pour : L’établissement de Plans de continuité de fonctionnement pour certaines applications nationales critiques. Améliorer la protection du Cyber-espace national contre les attaques de type DDOS.

20 Équipe CSIRT Assistance pour la Gestion des Incidents
(Computer Security Incident Response Team)

21 CSIRT Loi No du 3 février 2004 relative à la sécurité des SI Article 10 : Tout exploitant d'un système informatique ou réseau, qu'il soit organisme public ou privé, doit informer immédiatement l'agence nationale de la sécurité de toutes les attaques, intrusions et autres perturbations susceptibles d’entraver le fonctionnement d’un autre système informatique ou réseau, afin de lui permettre de prendre les mesures nécessaires pour y faire face. L’exploitant est tenu de se conformer aux mesures arrêtées par l’agence nationale de la sécurité informatique pour mettre fin à ces perturbations. o Une équipe CSIRT en charge d l’Assistance dans la gestion des Incidents (sur terrain) o Un centre d’appel (Hotline), disponible pour assistance 24heures/24 et 7jours/7 Loi No du 3 février 2004 relative à la sécurité des SI Article 9 - II est interdit aux agents de l'agence nationale la sécurité informatique et aux experts chargés des opérations d'audit de divulguer toute information dont ils ont eu connaissance lors de l’exercice de leurs missions. Sont passibles des sanctions prévues à l'article 254 du code pénal, quiconque divulgue, participe ou incite à 1a divulgation de ces informations. Les organisations privées et publiques devraient nous faire confiance et demander l’assistance, sans « peur » pour une éventuelle « mauvaise publicité » + Agir pour l’émergence de CSIRs dans les domaines stratégiques (E-gov, E-Banking  Énergie, Transport, Santé)

22 Formation & Éducation

23 Formation Professionnelle
Objectif : Constituer un noyau de Formateurs en sécurité informatique. Initiation à la mise en place de formations de formateurs - 3 premiers cours réalisés (pour 35 formateurs chacun , sous un prêt de la Banque Mondiale) : - Sécurité des réseaux - Sécurité des plate-formes et systèmes Méthodologies d’audit de sécurité ( ISO ,ISO ) et développement de plans de sécurité. + Préparation de 4 autres modules de formation de formateurs. Mise à niveau de professionnels : - organisation de formations (avec la collaboration de centres de formation) pour les auditeurs en sécurité (Cours du soir pour professionnels, pour la préparation à l’examen de certification) pour des administrateurs en sécurité (sessions de 5 jours pour les administrateurs de l’e-gov (CNI, Premier ministère) Préparation de 2 sessions de formation pour juges et personnel judiciaire. - Agir pour la motivation des centres de formation privés. - Aider et motiver les professionnels, pour obtenir des certifications internationales (cours de préparation à l’examen CISSP).

24 Éducation Collaboration avec des institutions académiques pour :
Développement de Mastères en sécurité informatique : (En ce moment, un diplôme de mastère en sécurité informatique permet l’obtention de la certification de l’Agence). en 2004 : Lancement du premier Mastère en sécurité informatique (Collaboration entre deux institutions universitaires : ISI& SupCom). Maintenant : 5 mastères (3 universités publiques & 2 privées)

25 Induction de plus de Synergie Compter sur le tissu Associatif
entre professionnels (CERT-TCC) Compter sur le tissu Associatif Motive la création d’associations spécialisées en sécurité informatique : Une association académique a été lancée : “Association Tunisienne de la Sécurité Numérique”. Une association de praticiens, en cours de création : “Association Tunisienne des Experts de la Sécurité Informatique”.

26 - Collaboration avec les associations/professionnels, pour :
- L’organisation de séminaires et cours de sensibilisation (ATIM, ATSN, JCC gabes, sfax, ATAI, ..) - Le développement de Modèles de cahiers de Charges ( Concurrence Loyale  confiance des investisseurs) Publication d’un Modèle de cahier de charges pour les opérations d’audit (Avec concertation des auditeurs privés) Développement de projets de cahier de charges pour l’acquisition d’outils de sécurité (Firewalls, IDS, …, Assistance pour le déploiement de produits Open-source) (en attente de validation avec les intégrateurs privés) - L’évaluation d’actions & Révision de Plans d’Action - Réalisation d’enquêtes Nationales concernant la Sécurité Informatique Une Enquête Nationale Électronique a été effectuée vers la fin 2003 (mettre en place du plan national (faiblesse, actions urgentes et leurs volumes) Une nouvelle enquête sera effectuée, avec le concours des associations, d’ici fin 2006 Hébergement de projets d’étudiants…

27 Cadre Juridique Tunisien Sécurité Informatique
en matière de Sécurité Informatique et Cybercriminalité

28 Loi de la sécurité Informatique : Loi n°2004-5
Loi de la protection de la vie privée : Loi n° Lois concernant le respect de la propriété intellectuelle : Loi n° , Loi n° , Loi n° , Loi n° , Loi sur la certification électronique : Loi n° Loi concernant sur les délits informatiques : Loi n°99-89 Loi concernant le Cyber terrorisme : Loi n° Les Lois Tunisiennes

29 Loi concernant la sécurité Informatique = Loi N°5/2004
Lois Tunisiennes : Article 9 de la loi n° du 3 février 2004, relative à la sécurité informatique (JORT publié le 03 février 2004) : confidentialité des incidents Il est interdit aux agents de l’Agence Nationale de la Sécurité informatique et aux experts chargés des opérations d’audit de divulguer toutes informations dont ils ont eu connaissance lors de l’exercice de leurs missions. Sont passibles des sanctions prévues à l’article 254 du code pénal, quiconque divulgue, participe ou incite à la divulgation de ces informations Lois Tunisiennes : Article 10, 11 de la loi n° du 3 février 2004, relative à la sécurité informatique (JORT publié le 03 février 2004) : Déclaration des incidents. Les Lois Tunisiennes

30 Décret numéro 1248 promulgué le 4 Juin 2004
Chapitre premier L’Agence Nationale de la Sécurité Informatique Etablir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en l’objet est procéder a leurs publication, Ouvrer à encourager le développement de solutions nationales dans le domaine de la sécurité informatique et à les promouvoir conformément au priorité et au programme qui seront fixer par l’agence, Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique, Veiller à l’exécution des réglementations relatives à l’obligation et l’audit périodique de la sécurité des systèmes informatiques et des réseaux. L’autorité de tutelle peut confier à l’agence toute autre activité en rapport avec le domaine de son intervention. Les Lois Tunisiennes Décret numéro 1248 promulgué le 4 Juin 2004 fixant le statut administratif et financier de l’agence

31 Décret numéro 1250 du 4 Juin 2004 Chapitre deux De l’audit obligatoire
- Les systèmes informatiques et des réseaux relevants des divers organismes public sont soumis à un régime d’audit obligatoire et périodique de la sécurités informatiques à l’exception des systèmes informatiques et des réseaux appartenant au ministères de la défense national et de l’intérieur et du développement local. - Sont, également soumis à l’audit obligatoire périodique de la sécurité informatique, les systèmes informatiques et les réseaux des organismes qui seront fixés par décret. Les Lois Tunisiennes Décret numéro 1250 du 4 Juin 2004 - Dans le cas où les organismes n’effectue pas l’audit obligatoire périodique, l’agence national de la sécurité informatique avertit l’organisme concerner qui devra effectuer l’audit dans un délais ne dépassant pas un mois à partir de la date de cet avertissement . A l’expiration de ce délais sans résultat, l’agence est tenue de désigner aux frais de l’organisme contrevenant, un expert qui sera charger de l’audit sous indiquée.

32 Chapitre Trois : Des auditeurs - L’opération d’audit est effectuée par des experts, personnes physiques ou morales, préalablement certifiées par l’agence nationale de la sécurité informatique. Décret numéro 1249 du 4 Juin 2004 qui fixe les conditions et les procédures de certification de ces experts Les Lois Tunisiennes - Il est interdit aux agents de l’agence nationale de la sécurité informatique et aux experts chargés des opération d’audit de divulguer toutes informations dont ils ont eu connaissance lors de l’exercice de leurs missions……

33 Des dispositions diverses
Chapitre Quatre Des dispositions diverses - Tout exploitant d’un système informatique ou réseau, qu’il soit organisme public ou privé, doit informer immédiatement l’agence nationale de la sécurité informatique de toutes attaques, intrusions et autres perturbations susceptibles d’entraver le fonctionnement d’un autre système informatique ou réseau, afin de lui permettre de prendre les mesures nécessaires pour y faire face. Les Lois Tunisiennes - Afin de protéger les systèmes informatiques et les réseaux, l’agence nationale de la sécurité informatique peut proposer l’isolement du système informatique ou du réseau concerné jusqu'à ce que ces perturbations cessent. L’isolement est prononcé par décision du ministre chargé des technologies de la communication.

34 Les Lois Tunisiennes

35 Loi concernant la protection de la vie privée
Loi n° du 27 juillet 2004, portant sur la protection des données à caractère personnel. Les Lois Tunisiennes

36 Les conditions de traitement des données à caractère personnel :
Cette loi spécifie : Les dispositions générales concernant la protection des données à caractère personnel Les conditions de traitement des données à caractère personnel : Les procédures préliminaires de traitement de ces données Le responsable de traitement de ces données et ses obligations Les droits de la personne concernées (consentement, droit d’accès, droit opposition) La collecte, la conservation, l’effacement et la destruction des données à caractère personnel Leurs communication et leur transfert Quelques catégories particulières de traitement de ces données : Par les personnes publiques Relatives à la santé Dans le cadre de la recherche scientifique À des fins de vidéo-surveillance L’instance nationale de protection des données à caractère personnel Les sanctions Les dispositions diverses concernant la protection des données à caractère personnel Les Lois Tunisiennes

37 Les Données à caractère personnel ?
Loi n° du 27 juillet 2004 Les Lois Tunisiennes

38 Lois concernant le respect de la propriété intellectuelle
Les droits de propriété intellectuelle sont les droits conférés à l'individu par une création intellectuelle. On répartit généralement les droits de propriété intellectuelle en deux grands groupes : Droit d'auteur et droits connexes Propriété industrielle Les Lois Tunisiennes

39 1- Droit d'auteur Les droits des auteurs d'oeuvres littéraires et artistiques (livres et autres écrits, compositions musicales, tableaux, acteurs, chanteurs, musiciens, sculptures, programmes d'ordinateur et films) sont protégés par ce que l'on appelle le droit d'auteur pendant au moins 50 ans après le décès de l'auteur. Le principal objectif social de la protection du droit d'auteur et des droits connexes est d'encourager et de récompenser la création. Copyright ©: Couvre l’expression d’idées Les Lois Tunisiennes

40 2- Propriété industrielle
La propriété industrielle englobe deux grands domaines : La protection des signes distinctifs, notamment les marques de fabrique ou de commerce TM (qui distinguent les produits ou les services d'une entreprise de ceux d'autres entreprises)=> Elle vise à promouvoir et assurer la concurrence loyale et à protéger les consommateurs, en leur permettant de choisir en connaissance de cause entre différents produits et services. La durée de la protection peut être illimitée si le signe en question garde son caractère distinctif. La protection des inventions (protégées par des brevets), des dessins et modèles industriels et des secrets commerciaux => protégés principalement pour encourager l'innovation, la conception et la création technologiques. Les Lois Tunisiennes

41 3- Propriété intellectuelle en Tunisie
Dans le secteur des droits de propriété intellectuelle, la loi principale protégeant les découvertes et inventions innovatrices en Tunisie date de 2000 (loi sur les brevets d'invention). La loi donne une définition précise des inventions brevetables, fixe les droits et obligations du détenteur du brevet, instaure trois types de licence, définit la contrefaçon et les sanctions y afférentes, prévoit un contrôle préventif aux frontières. Depuis 2001 une autre législation protège les marques, de commerce et de service. Toute atteinte portée aux droits du propriétaire de la marque constitue une contrefaçon engageant la responsabilité civile et pénale de son auteur. Les droits d’auteur bénéficient également d’une protection en Tunisie (convention de Berne). Les Lois Tunisiennes

42 Les dispositifs législatif tunisiens en matière de propriété intellectuelle :
La loi n° du 24 août 2000, relative aux brevets d’invention (JORT n°68 du 25 août 2000). La loi n° du 6 février 2001, relative à la protection des dessins et modèles industriels (JORT n°12 du 9 février 2001). La loi n° du 6 février 2001, relative à la protection des schémas de configuration des circuits intégrés (JORT n°12 du 9 février 2001). La loi n° du 17 avril 2001, relative à la protection des marques de fabrique, de commerce et de services (JORT n°31 du 17 avril 2001). Les Lois Tunisiennes

43 Loi concernant la certification Electronique
loi n° du 9 août 2000, relative aux échanges et au commerce électroniques ”يتمثل الإمضاء في وضع إسم أو علامة خاصة بيد العاقد نفسه مدمجة بالكتب المرسوم بها أو إذا كان إلكتروني في استعمال منوال تعريف موثوق به يضمن صلة الامضاء المذكور بالوثيقة الالكترونية المرتبطة به“ : الفصل 453 من مجلة الالتزامات والعقود الذي وقع اتمامه بمقتضى القانون عدد 57 لسنة 2000 المؤرخ في 13 جوان 2000، Les Lois Tunisiennes

44 L'Agence Nationale de Certification Électronique (ANCE)
Créée par la loi n° du 9 Août 2000 Missions : La signature et le cryptage des messages électroniques. La sécurisation des transactions et des échanges électroniques. La fourniture des clés pour les Réseaux Privés Virtuels (VPNs). L'homologation des systèmes de cryptage. La sécurisation des échanges effectués par les entreprises. L'analyse des risques pour une entreprise. Les services d'horodatage. Les Lois Tunisiennes

45 Loi concernant les délits informatiques
Lois tunisiennes : loi n° du 2 août 1999, modifiant et complétant certaines dispositions du code pénal. Articles : 199 bis et 199 ter Les Lois Tunisiennes

46 Les Lois Tunisiennes

47 Les Lois Tunisiennes

48 Loi concernant le Cyber terrorisme
loi du 10/12/2003 relative aux soutiens internationaux de lutte contre le terrorisme et à la répression du blanchissement de l'argent Les Lois Tunisiennes

49 Merci de votre attention
Microsoft clip art

50 نصوص ترتيبية منشور السيد الوزير الأول عدد 19/2007 بتاريخ 11 أفريل 2007، حول تدعيم إجراءات السلامة المعلوماتية بالهياكل العمومية : مسؤول عن السلامة المعلوماتية، خلية فنية مختصة بالسلامة المعلوماتية، هيئة متابعة. منشور السيد الوزير الأول عدد   حول تامين المقرات التابعة للدولة والمؤسسات والمنشآت العمومية من خطر الحرائق منشور السيد الوزير الأول عدد 19/2003، المتعلق حول  إجراءات السلامة و الوقاية بالبناءات التابعة للوزارات و الجماعات المحلية و المؤسسات و المنشآت العمومية منشور السيد الوزير الأول عدد 41/2006 بتاريخ 22 ديسمبر 2006 المتعلق بتنظيم السير الإداري Les Lois Tunisiennes

51 1- جريمة النفاذ المجرّد إلى كامل أو جزء من نظام البرمجيات والبيانات المعلوماتية
استعمل المشرع التونسي عبارتي: - النفاذ : مراعاة الطبيعة اللاماديّة للعالم الإفتراضي، - غير شرعيّة : أي أنه توجد وضعيات يكون فيها النفاذ شرعيا، مثال : النفاذ إلى موقع إلكتروني على صفحات الواب بإعتباره مفتوح للعموم وبالتالي يجوز النفاذ إليه.  هل أنّ جريمة النفاذ الغير الشرعي تقوم إذا لم يقع خرق أي نظام حمائي؟ لم يشترط المشرع أن يكون النظام المعلوماتي الواقع النفاذ إليه محميّا، بل جرّم النفاذ الغير الشرعي حتى بالنسبة للنظام المعلوماتية الغير المحصّنة بنظام حمائي، وعليه يمكن قيام جريمة النفاذ ولم يقع اختراق أي نظام حمائي.  هل تعدّ جريمة النفاذ الغير الشرعي قائمة حتى ولم يقصد الشخص ذلك؟ لم يوضح المشرع التونسي ضمنيا هذا الجانب، ولكن إذا أراد أن يجعل من تلك الجريمة جريمة قصدية، لاستعمل عبارة "كل من تعمّد" كما في الفقرة الثالثة من ذات الفصل "199 مكرر”، بما نميل معه للقول بأنّه حتى إن نتج النفاذ عن خطأ فإن الجريمة تبقى قائمة. Les Lois Tunisiennes

52 3- جرائم النفاذ أو الإستقرار غير الشرعيين المنتجين لأثر بنظام معلوماتي
2- جريمة الاستقرار المجرد بكامل أو بجزء من نظام البرماجيات المعلوماتية : تندرج جريمتي الإستقرار الكلي أو الجزئي ضمن جرائم الخطر ولا يدخلان في خانة جرائم الضّرر (حمل سلاح بدون رخصة، السياقة تحت تأثير حالة كحوليّة، بعض جرائم البيئة)==< تسمح للمخالف بالإطلاع على تلك البيانات والمحتوى المعلوماتي، الأمر الذي يشكل انتهاكا لحرمة الأشخاص والمؤسسات، كما أن إطلاع الشخص على المعلومات والبيانات الموجودة بالنظام المعلوماتي قد يستميله إلى إتيان أفعال إجرامية تهدّد كيان شخص طبيعي أو مؤسسة من خلال تسريب تلك المعلومات إلى أطراف لها مصلحة في معرفتها بطرق غير شرعية. == < عقوبة تتراوح بين شهرين وعام سجن وخطية قدرها ألف دينار أو بإحدى هاتين العقوبتين. ملاحظة : تثير عبارة "الاستقرار" صعوبة فيما يتصل بتحديد مدلولها 3- جرائم النفاذ أو الإستقرار غير الشرعيين المنتجين لأثر بنظام معلوماتي إقتضت الفقرة الثانية من الفصل 199 مكرر من المجلة الجزائية أنه إذا نتج عن النفاذ أو الإستقرار غير الشرعيين بكامل أو بجزء من نظام البرمجيات والبيانات المعلوماتية إفساد أو تدمير البيانات الموجودة بالنظام المذكور == < ترفع العقوبة إلى عامين سجن والخطية إلى ألفي دينار. ملاحظة : لم يوضح المشرع التونسي المقصود من عبارتي ”التدمير والإفساد“ والفرق بين كليهما. Les Lois Tunisiennes

53 4- جريمة تعمّد إفساد أو تدمير سير نظام معالجة معلوماتية
نصّت الفقرة الثالثة من الفصل 199 مكرر من المجلة الجزائية على أنه يعاقب == < بالسجن مدة ثلاثة أعوام وبخطية قدرها ثلاثة آلاف دينار كل من يتعمّد إفساد أو تدمير سير نظام معالجة معلوماتية. العقوبة المقرّرة لهذه الجريمة أشد، والسبب في ذلك هو : أن فعل الإفساد أو التدمير هنا يستهدف سير النظام المعلوماتي، لا يمكن اقتراف هذه الجرائم إلا من قبل أشخاص لهم دراية فنية لا يستهان بها في مجال الإعلامية لذلك جعل المشرع منها جريمة قصدية بدليل إستعماله لعبارة "كل من يتعمّد". 5- جريمة إدخال بيانات بنظام معالجة معلوماتية بصفة غير شرعية نصت الفقرة الرابعة من الفصل 199 مكرر من المجلة الجزائية على أن يعاقب == < بالسجن مدة ثلاثة أعوم وبخطية قدرها خمسة آلاف دينار كل من يدخل بصفة غير شرعية بيانات بنظام معالجة معلوماتية من شأنها إفساد البيانات التي تحتوي عليها البرنامج أو طريقة تحليلها أو تحويلها. جريمة ترتكب عادة من قبل أشخاص لهم درجة عالية من المعارف والمهارات في مجال تقنيات الإعلامية وفي معظم الأحيان يقومون باقترافها بمناسبة مباشرتهم لوظائفهم == < لذلك نصّ المشرع على مضاعفة العقوبة إذا ارتكبت الفعلة المذكورة من طر ف شخص بمناسبة مباشرته لنشاطه المهني. ملاحظة : تثير صياغة الفقرة الرابعة من الفصل 199 مكرر تساؤلا حول ما إذا كان فعل إدخال بيانات بنظام معالجة معلوماتية كافيا لذاته لقيام الجريمة، أم لا بدّ أن ينتج عن عملية الإدخال إفساد البيانات التي يحتوي عليها البرنامج أو طريقة تحليلها أو تحويلها؟ ويمكن فهم من صياغة الفقرة أن الجريمة تقوم بمجرّد إحتمال الإفساد للقول بوجود تلك الجريمة. Les Lois Tunisiennes

54 6- جريمة إدخال تغيير على محتوى وثائق معلوماتية أو إلكترونية أصلها صحيح:
نص الفصل 199 ثالثا من المجلة الجزائية على أنه == < "يعاقب بالسجن مدة عامين وبخطية قدرها ألف دينار كل من يدخل تغييرات بأي شكل كان على محتوى وثائق معلوماتية أو إلكترونية أصلها صحيح شريطة حصول ضرر للغير". وضاعف العقوبة في الفقرة الثالثة في صورة ارتكاب تلك الجريمة من طرف موظف عمومي أو شبهه. ملاحظة : جرّم المشرع التونسي من خلال هذا الفصل عملية تدليس الوثيقة الإلكترونية Les Lois Tunisiennes