mar..28.02.12
Alors que les opérateurs de télécommunications européens et internationaux sont soumis à l’obligation de sécurité à travers notamment deux obligations, s’appliquant respectivement à la sécurité des réseaux et à la protection des données à caractère personnel, on se permet de poser cette question d’actualité, chez nous, en Tunisie :  les opérateurs ont-ils soumis leurs infrastructures IT aux audits obligatoires de sécurité, conformément à la loi n° 5-2004 du 3 février 2004 et ses décrets associés 1249-2004 et 1250-2004, et quelles sont leurs pratiques/standards actuelles en matière de sécurité ?

Dans ce contexte, et à titre d’exemple, on rappelle que depuis la cyber attaque ayant paralysé l’Estonie en 2007, le législateur européen a fait en effet de la sécurité des réseaux de communication une obligation inconditionnelle du métier de fournisseur de réseau. Celui-ci est tenu de mettre en place un niveau de sécurité adapté au risque existant et de se soumettre à des audits indépendants. Ainsi, tout incident de sécurité ayant un impact significatif sur le fonctionnement des réseaux et systèmes devra être porté à sa connaissance, le public n’étant informé que s’il est jugé d’utilité publique de le faire. 

En outre, une seconde obligation a été mise en place qui incite les fournisseurs et opérateurs à une vigilance accrue en matière de protection des données. Elle impose ainsi de notifier sans retard indu l’autorité compétente de toute violation de données à caractère personnel, c’est-à-dire de toute violation entrainant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé aux données. Les impacts ne sont pas nuls. Ils deviennent même considérables lorsque l’on ajoute que les abonnés ou personnes concernées doivent être informées dès lors que cette violation peut avoir un impact sur eux.

Ainsi, les opérateurs de télécoms doivent s’assurer que leur gestion de la sécurité leur permet :
• D’assurer un niveau adapté aux risques, y compris sur les périmètres sous-traités à des tiers.
• De détecter et de répondre rapidement aux incidents de sécurité.
• De répondre aux sollicitations de l’autorité compétente et d’être à même de lui démontrer du niveau de sécurité mis en place.
• De gérer une communication de crise efficace et adaptée aux violations de données.

L’inventaire et la cartographie des données à caractère personnel sur le SI des opérateurs apparaissent donc être des chantiers indispensables dans notre pays, en tant que vecteurs de maitrise et donc de sécurité mais également comme première étape d’un programme plus vaste de protection. Celui-ci incluant notamment le chiffrement, mais pas uniquement, il faut mentionner également l’utilisation des bonnes pratiques et normes internationalement reconnues et notamment la norme ISO 27001.

Signalons à ce sujet, que Maroc Telecom, très en avance sur les opérateurs de télécoms tunisiens, a obtenu, le 8 Janvier 2008, la certification ISO 27001 version 2005 de son Système de Gestion de la Sécurité de l’Information pour l’ensemble de ses activités.

L’objectif de la gestion de la sécurité de l’information est d’assurer la continuité opérationnelle de l’entreprise en réduisant les risques de dommages, en prévenant et minimisant l’impact des incidents liés à la sécurité de l’information. L’information essentielle est ainsi protégée en fonction des critères de confidentialité, d’intégrité et de disponibilité.

Les normes ISO 2700x constituent une marque de confiance pour la sécurité globale d’un opérateur de télécommunications, tout comme ISO 9000 représente une garantie de la qualité, les bénéfices attendus couvrent notamment: une confiance mutuelle accrue entre partenaires; une diminution potentielle des primes d’assurance contre les risques informatiques; une amélioration des pratiques sur la vie privée et une conformité aux lois sur les renseignements personnels; une meilleure protection de l’information confidentielle; une réduction des risques d’attaques cybernétiques; une récupération des opérations plus rapidement en cas de désastre; une méthodologie de sécurité structurée et reconnue internationalement; Bref, une meilleure gestion de la sécurité des informations sur une base continue.

La sécurité de l'information devrait être une préoccupation clé pour tout opérateur de télécommunications. Les audits externes (qui sont obligatoires, conformément à la loi n° 5-2004 du 3 février 2004 et ses décrets associés 1249-2004 et 1250-2004), doivent être encouragés; la mise en place d’SMSI ISO 27002 devrait être une priorité afin que les clients puissent  communiquer de manière hautement sécurisée.

Etre reconnu ISO 27001, témoigne de l’importance et de la nécessité de la protection des données des différents citoyens tunisiens. En suivant ces pratiques, les clients, citoyens et entreprises économiques, peuvent ainsi être confortés dans le fait que leurs données critiques sont protégées par des procédures de sécurité en parfaite adéquation avec les meilleurs standards internationaux.

Dr. Ing. Adlen LOUKIL,

Expert international en sécurité de l’information

• Finances
  Mohamed Saïd OUERGHI - Universitaire - Expert en TIC
• Sécurité informatique
  Haythem EL MIR, Directeur Technique à l’ANSI
• Informatique
  Dr. Ing. Adnen LOUKIL, Expert international en sécurité de l’information