Décret En vigueur

Décret n°076/PR/201 9 du 21 janvier 2019 fixant les conditions et les modalités d'audit de sécurité obligatoire des réseaux de communications électroniques et des systèmes d'information

Décret 19-076

Décrète :

Chapitre 1 : Dispositions générales

Article 1 : Le présent décret fixe les conditions et les modalités d’audit de sécurité obligatoire des réseaux de communications électroniques et des systèmes d’information.

Article 2 : Sont soumis à l’audit de sécurité obligatoire et périodique, les réseaux des communications électroniques et systèmes d’information notamment :

  • Des opérateurs de réseaux ouverts au public des communications électroniques, les fournisseurs des communications électroniques ;
  • Des entreprises qui procèdent au traitement automatisé des données personnelles de leurs clients dans le cadre de la fourniture de leurs services à travers les réseaux des communications électroniques et systèmes d’information ;
  • Des autorités de certification électronique ;
  • Des entreprises dont les réseaux informatiques sont interconnectées à travers les réseaux des opérateurs de communications électroniques ouverts au public.

Article 3 : Les activités d’experts auditeurs de sécurité des réseaux et des systèmes d’information s’exercent librement.

Chapitre 2 : Des conditions et des modalités d’audit de sécurité

Section 1 : De la nature d’audit de sécurité

Article 4 : L’audit de sécurité s’effectue au moyen d’une enquête sur le terrain basée notamment sur les éléments suivants :

  • les aspects organisationnels et structurels de la fonction sécurité ;
  • le mode de gestion et utilisation des procédures de sécurités et la disponibilité des outils de sécurisations du réseau ou du système d’information ;
  • l’analyse technique de la sécurité de toutes les composantes du réseau et du système d’information ;
  • la réalisation du test de résistance à tous les types de risques, de pénétration, d’intrusion et d’attaques ;
  • l’analyse et l’évaluation des risques qui pourraient résulter de l’exploitation des failles découvertes suite à l’opération de l’audit;
  • la classification des risques selon les niveaux de gravité d’impact définis par la réglementation en vigueur.

Section 2 : Des conditions d’audit de sécurité

Article 5 :

(1) Les opérations d’audit de sécurité sont effectuées par l’Agence Nationale de Sécurité Informatique et de Certification Electronique (ANSICE), ou par les experts auditeurs préalablement agréés par elle.

(2) Les frais d’audit de sécurité sont supportés par les organismes audités.

Article 6 :

(1) Les réseaux des communications électroniques et systèmes d’information prévus à l’article 2 du présent décret feront l’objet d’un audit de sécurité au moins une (01) fois tous les douze (12) mois.

(2) la périodicité visée à l’alinéa 1 ci-dessus peut être modifiée par décision du Directeur Général de l’ANSICE.

Article 7 :

(1) L’ANSICE établit annuellement un planning des audits de sécurité qu’elle communique aux organismes concernés.

(2) Tout organisme souhaitant le report de son audit de sécurité est tenu d’adresser une demande motivée à l’ANSICE trois (03) mois au moins avant l’échéance.

(3) L’ANSICE peut, lorsque les motifs invoqués lui paraissent fondés, proroger ce délai. Tout refus est motivé et notifié.

Article 8 :

(1) Tout organisme public ou privé exploitant un réseau des communications électroniques ou un système d’information es1 1enu d’informer l’ANSICE de toutes attaques, intrusions et autres perturbations susceptibles d’entraver le fonctionnement d’un autre réseau ou système d’information.

(2) L’organisme visé à l’aliéna 1 ci-dessus est tenu de se conformer aux mesures arrêtées par l’ANSICE pour mettre fin à ces perturbations

Article 9 : Dans les cas prévus à l’article 7 ci-dessus, le Directeur Général peut prescrire l’isolement du réseau ou du système d’information concerné jusqu’à la cessation des perturbations.

Section 3 : Du rapport d’audit

Article 10 : Lorsque l’opération d’audit est assurée par l’ANSICE, elle délivre à l’organisme concerné un rapport certifié.

Lorsque l’opération d’audit est réalisée par un expert auditeur, le rapport d’audit, conforme au modèle défini par ANSICE, lui est transmis par le soin de cet expert.

Article 11 : Le rapport visé à l’article 10 ci-dessus comprend notamment :

  • La description et l’évaluation complète du dispositif de sécurité du réseau et du système d’information ;
  • Les mesures adoptées depuis le dernier audit réalisé et les insuffisances constatées dans l’application des recommandations ;
  • L’analyse précise des insuffisances organisationnelles et techniques relatives aux procédures et outils de sécurité adoptés;
  • L’évaluation des risques qui pourraient résulter de l’exploitation des failles découvertes ;
  • La proposition des procédures et des solutions organisationnelles et techniques de sécurité permettant de corriger les insuffisances constatées.

Article 12 :

1- L’ANSICE peut, après étude et analyse du rapport, demander à l’organisme audité de lui fournir des informations ou des documents complémentaires et procéder à des contrôles ou des vérifications supplémentaires.

2- L’ANSICE avise, par tout moyen laissant trace écrite, l’organisme concerné des contrôles ou des vérifications supplémentaires visés à l’alinéa 1.

3- L’ANSICE peut rejeter le rapport d’audit dans les cas suivants :

  • La non réalisation de l’audit de terrain, selon les procédures prévues à l’article 9 du présent décret
  • Si le rapport d’audit ne contient pas les éléments prévus à l’article 10 alinéa 2.

En cas de rejet du rapport, l’organisme concerné est tenu de refaire l’audit et de communiquer le rapport à l’ANSICE dans un délai ne dépassant pas deux (02) mois à partir de la date de la notification du rejet.

A l’expiration de ce délai sans résultat, l’ANSICE peut désigner un expert qui sera chargé de l’audit susvisé aux frais de l’organisme.

Chapitre 3 : Des conditions et des procédures d’agrément des experts auditeurs

Section 1 : Des conditions de délivrance

Article 13 : Toute personne physique ou morale désirant exercer l’activité d’expert auditeur dans le domaine de sécurité des réseaux et des systèmes d’information doit disposer d’un agrément délivré par l’ANSICE, dans les conditions prévues par les dispositions du présent décret.

Article 14 : La demande d’agrément d’auditeur de sécurité des réseaux et des systèmes d’information est adressée à l’ANSICE, par lettre recommandée ou tout document électronique fiable, contre accusé de réception ou par dépôt auprès de l’ANSICE, contre récépissé.

La demande visée à l’alinéa 1 ci-dessus comprend les documents ci-après :

Pour la personne physique :

  • Une fiche de renseignement fournie par l’ANSICE, dûment remplie, signée par le demandeur et timbrée au tarif de 10 000 FCFA ;
  • Une copie certifiée conforme de la Carte Nationale d’Identité ou toute autre pièce en tenant lieu ;
  • Un casier judiciaire datant de moins de trois (03) mois ;
  • Un diplôme d’études supérieures spécialisées dans la sécurité informatique ou d’un diplôme équivalent ;
  • Un diplôme d’ingénieur en informatique ou en télécommunications ou d’un diplôme équivalent et qui a suivi avec succès le cycle de formation reconnu par l’ANSICE ;
  • Une maîtrise en Informatique ou en télécommunications ou d’un diplôme équivalent et qui a suivi avec succès un cycle de formation reconnu par l’ANSICE et qui une expérience de plus de deux (02) ans ;
  • Une certification en sécurité des réseaux ou des systèmes d’information ;
  • Un certificat d’imposition ou de non imposition fiscal ;
  • Une quittance de paiement de frais de dossier dont le montant est fixée par une décision du Directeur Général de l’ANSICE.

Pour la personne morale

  • Une fiche de renseignement fournie par l’ANSICE, dûment remplie, signée par le représentant légal du demandeur et timbrée au tarif de 10 000 FCFA ;
  • Une copie certifiée conforme de la Carte Nationale d’Identité du représentant légal de la personne morale ;
  • Une copie des contrats de travail conclus avec les trois (03) experts auditeurs qui vont être employés et toutes les pièces requises la personne physique ;
  • Une copie de l’extrait du Registre de Commerce ;
  • Un dossier fiscal (Numéro d’Identification Fiscal) ;
  • Une quittance de paiement de frais de dossier dont le montant est fixée par une décision du Directeur Général de l’ANSICE.

Article 15 : Le dossier complet est déposé à l’ANSICE qui le transmet pour avis au Service prévu à l’article 16 ci-dessous :

Lorsque l’avis du Service est favorable, le Service transmet le dossier assorti du projet d’agrément, ainsi que son avis motivé au Directeur Général de l’ANSICE, pour signature.

En cas d’avis défavorable de la commission, l’ANSICE notifie le refus motivé au demandeur.

Article 16 : Il sera créé par décision au sein de l’ANSICE, un Service chargé d’émettre des avis sur les demandes de délivrances d’agrément pour l’exercice de l’activité d’expert auditeur dans le domaine de la sécurité des réseaux et des systèmes d’information.

Article 17 : L’expert auditeur agréé doit suivre une formation continue organisée par l’ANSICE dans le domaine de la sécurité des réseaux et des systèmes d’information au moins une (01) fois tous les deux (02) ans.

En cas de manquement à l’exigence de formation continue prévue à l’alinéa 1 ci-dessus, le Directeur Général de l’ANSICE peut suspendre l’agrément, jusqu’à ce que l’expert régularise sa situation.

Au cas où l’expert ne régularise pas sa situation dans les trois (03) mois suivant la décision de suspension, le Directeur Général prononce le retrait de l’agrément.

Article 18 : En cas de manquement de l’expert auditeur à ses obligations professionnelles ou d’infraction aux dispositions de la législation en vigueur, le Directeur Général de l’ANSICE peut, après avis du Service concerné, retirer l’agrément d’expert auditeur de sécurité.

Section 2 : De la durée et du renouvellement des agréments

Article 19 : L’agrément d’un expert auditeur de sécurité a une durée de cinq (05) ans renouvelable.

Cette durée peut être renouvelée six (06) mois au moins avant l’expiration de la durée prévue à l’alinéa (1) ci-dessus.

La demande de renouvellement obéit aux mêmes conditions de forme et de procédure prévues à l’article 14 du présent décret.

Chapitre 4 : Dispositions diverses et finales.

Article 20 : Le présent Décret, qui prend effet pour compter de la date de sa signature, sera enregistré et publié ou Journal officiel de la République.

N’Djaména, le 21 janvier 2019