Certification des personnes morales

Dépôt de la demande

La personne désirant exercer l’activité d'audit dans le domaine de la sécurité informatique doit télécharger le cahier des charges du site web officiel ( Cliquez ici pour télécharger le cahier des charges .) Toute personne désirant exercer l’activité d'audit dans le domaine de la sécurité informatique doit déposer, au bureau d’ordre central de l'ANSI, deux exemplaires du présent cahier des charges dûment signés et paraphés dans toutes les pages.

Délais de traitement

L'agence nationale de la sécurité informatique fournit une copie paraphée du cahier des charges, dans un délai d’un jour ouvrable , à l’auditeur dans le domaine de la sécurité informatique, après vérification des renseignements déclarés par rapport aux conditions requises dans le cahier des charges.
En cas de non-conformité des renseignements déclarés par rapport au cahier des charges, l'agence nationale de la sécurité informatique donne au demandeur concerné un délai supplémentaire de 15 jours de la date de sa notification par voie électronique ou par tout moyen laissant une trace écrite pour régulariser sa situation. Au-delà de ce délai, il doit déposer une nouvelle demande du cahier des charges et respecter ces conditions. L'Agence émet nécessairement, dans un délai ne dépassant pas dix (10) jours ouvrables de la date du dépôt du nouveau cahier des charges, une réponse au demandeur concerné.

1 - Conditions administratives

Toute personne morale désirant exercer l’activité d’expert auditeur dans le domaine de la sécurité informatique doit remplir les conditions suivantes :

  • Être constituée conformément au droit tunisien et ayant un capital social détenu nominativement et en majorité par des tunisiens.
  • Le représentant légal de la personne morale doit être de nationalité tunisienne.
  • Le représentant légal et tous les experts auditeurs relevant de la personne morale doivent bénéficier de leurs droits civils et ne pas avoir d’antécédents judiciaires.
  • Ne pas être en état de faillite.
  • Le représentant légal et tous les experts auditeurs relevant de la personne morale doivent être affiliés à la caisse nationale de sécurité sociale.

2 - Conditions techniques

Les moyens techniques et matériels minimums nécessaires pour exercer l’activité d'audit dans le domaine de la sécurité informatique sont fixés comme suit :

  • Détenir un manuel de procédures organisationnelles et techniques permettant d’assurer la qualité de l'audit et de protéger les informations et données qui seront récupérées et traitées et ce, contre les risques de dommages, de modifications ou autres pouvant survenir.
  • Utiliser les outils adoptés par l'agence nationale de la sécurité informatique pour mener les missions d’audit.

La personne morale doit disposer des moyens humains comme suit :

    Employer à plein temps au moins deux cadres devant remplir, chacun, les conditions suivantes :
    • Être de nationalité tunisienne et bénéficier de leurs droits civils et ne pas avoir d’antécédents judiciaires.
    • Être titulaires d’une licence en informatique ou en télécommunications ou d’un diplôme équivalent.
    • Être détenteurs d’un certificat professionnel dans le domaine de la sécurité informatique reconnu par l'agence nationale de la sécurité informatique.
    • Avoir une expérience professionnelle minimale de (3) années dans le domaine de la sécurité informatique.

Documents demandés

Toute personne morale doit fournir les documents suivants :

  • Deux copies du présent cahier des charges signées par le représentant légal de la personne morale .
  • Demande d’exercice de l’activité d’audit dans le domaine de la sécurité informatique (télécharger le formulaire).
  • Une copie de la carte d'identité nationale du représentant légal ainsi que les experts auditeurs concernés.
  • Le bulletin N°3 datant de moins de trois mois du représentant légal ainsi que les experts auditeurs concernés.
  • Un certificat de non faillite.
  • Une copie du statut accompagnée d’un justificatif de publication au journal officiel de la république tunisienne.
  • Une copie du registre national des entreprises.
  • Une attestation d’affiliation auprès de la caisse nationale de la sécurité sociale.
  • Une copie de la déclaration trimestrielle des salariés auprès de la caisse nationale de la sécurité sociale.
  • Une clé publique issue d’une autorité de certification électronique de confiance.
  • Une copie du manuel de procédures organisationnelles et techniques pour assurer la qualité de l'audit et pour protéger les données reçues et traitées contre le risque de dommages, de modifications ou d'autres risques pouvant survenir.
  • Liste des outils utilisés pour mener des missions d’audit selon le modèle de présentation des outils d’audit utilisés (Télécharger le modèle).

En ce qui concerne les documents requis pour les experts auditeurs (et ce, pour deux experts au moins) :

  • Une copie des contrats de travail à durée d’une année renouvelable ou à durée indéterminée ou un contrat de stage d’insertion dans la vie professionnelle.
  • Une copie du diplôme universitaire prouvant le niveau scientifique requis.
  • Une copie des certificats professionnels dans le domaine de la sécurité informatique reconnus par l'agence nationale de la sécurité informatique.
  • Les documents justifiant l'expérience professionnelle minimale de (3) années dans le domaine de la sécurité informatique. Chaque attestation d'expérience doit être accompagnée de ce formulaire dûment rempli ainsi que toute preuve d’exécution des projets de sécurité réalisés (attestation de la bonne exécution, PVs, …). 

L'expert auditeur désirant se spécialiser dans l’un des domaines, doit fournir, en sus, les documents suivants :

    • Une copie du/des certificat(s) professionnel(s) dans le domaine de la sécurité informatique reconnu(s) par l'agence nationale de la sécurité informatique, et ce, selon la spécialité demandée pour au moins un expert.
    • Les documents justifiants l'expérience professionnelle minimale de (3) années dans le domaine de la sécurité informatique. Chaque attestation d'expérience doit être accompagnée de ce formulaire dûment rempli ainsi que toute preuve d’exécution des projets de sécurité réalisés (attestation de la bonne exécution, PVs, …)

      Documents demandés

      Toute personne physique doit fournir les documents suivants :

      • Deux copies du présent cahier des charges signées par le représentant légal de la personne morale.
      • Demande d’exercice de l’activité d’audit dans le domaine de la sécurité informatique (télécharger le formulaire).
      • Une copie de la carte d’adhésion à la caisse nationale de la sécurité sociale.
      • Une copie de la carte d'identité nationale.
      • Le bulletin N°3 datant de moins de trois mois.
      • Une copie du diplôme universitaire prouvant le niveau scientifique requis.
      • Une copie des certificats professionnels dans le domaine de la sécurité informatique reconnus par l'agence nationale de la sécurité informatique.
      • Une clé publique issue d’une autorité de certification électronique de confiance.
      • Une copie de la carte d’identification fiscale.
      • Les documents justifiant l'expérience professionnelle minimale de (3) années dans le domaine de la sécurité informatique. Chaque attestation d'expérience doit être accompagnée de ce formulaire dûment rempli ainsi que toute preuve d’exécution des projets de sécurité réalisés (attestation de la bonne exécution, PVs, …). 
      • Une copie du manuel de procédures organisationnelles et techniques pour assurer la qualité de l'audit et pour protéger les données reçues et traitées contre le risque de dommages, de modifications ou d'autres risques pouvant survenir.
      • Liste des outils utilisés pour mener des missions d’audit selon le modèle de présentation des outils d’audit utilisés (télécharger le modèle).

      L'expert auditeur désirant se spécialiser dans l’un des domaines, doit fournir, en sus, les documents suivants :

        • Une copie du/des certificat(s) professionnel(s) dans le domaine de la sécurité informatique reconnu(s) par l'agence nationale de la sécurité informatique, et ce, selon la spécialité demandée.
        • Les documents justifiant l'expérience professionnelle minimale de (3) années dans le domaine de la sécurité informatique. Chaque attestation d'expérience doit être accompagnée de ce formulaire dûment rempli ainsi que toute preuve d’exécution des projets de sécurité réalisés (attestation de la bonne exécution, PVs, …).

Obligations de l'expert auditeur

L'expert auditeur doit se conformer dans l’exercice d’activité aux obligations suivantes :

  • Respecter le code d’éthique publié sur le site web officiel de l'agence.
  • Réaliser ses missions conformément au référentiel d'audit relatif aux spécifications et exigences techniques adoptées et approuvées par décision du directeur général de l'agence.
  • Respecter le modèle du rapport d'audit mis à la disposition des experts auditeurs, publié au site web officiel de l'agence et approuvé par décision du directeur général.
  • Respecter les délais contractuels convenus.
  • Garantir l’intégrité des données de référence et la qualité d'audit.
  • La conservation des documents et données, imprimés ou numériques, qui lui ont été confiés au cours de ses missions d’audit.
  • Signature et paraphe de ses travaux tout en mentionnant son identité et ses coordonnées électroniques et postales.
  • Œuvrer à l’encadrement de ses employés et ses stagiaires afin de leur permettre d’acquérir l’expérience nécessaire.
  • L'expert auditeur doit assurer la veille technologique sur la base du minimum d’activités effectuées pendant les trois années à compter de la date du début de son activité, à savoir :
    • Assurer une session de formation dans le domaine de la sécurité informatique pendant au moins trois jours ou bien suivre une formation reconnue par l'agence.
    • Encadrer au moins un stagiaire pendant, au minimum, trois mois dans l’exercice d’activité d’audit dans le domaine de la sécurité informatique.

Communication avec l'ANSI

L’expert auditeur doit communiquer, par voie électronique à l’agence, son rapport d’activités annuel. L’expert auditeur, personne morale, doit rajouter à son rapport annuel une déclaration trimestrielle des salaires et des salariés déclarés auprès de la caisse nationale de sécurité sociale.
L’expert auditeur doit, par voie électronique, toutes les (3) années , communiquer à l’agence les documents prouvant ses activités de veille technologique, et ce, conformément aux activités minimales citées à l’article 14.

Changements sur les conditions d’exercice de l’activité d’expert auditeur

L’expert auditeur doit informer, par voie électronique, l'agence de tout changement survenu aux conditions initiales d’exercice de l’activité, au plus tard, un mois de la date du changement.
L'expert auditeur ne répondant plus aux conditions d’exercice d’activité est tenu de régulariser sa situation dans un délai fixé par l’agence, et ce, en ne dépassant pas trois (03) mois à compter de la date de sa notification par voie électronique ou par tout moyen laissant trace écrite.
L’agence nationale de la sécurité informatique s’engage, dans le cadre de ses missions, de suivre l’activité des experts auditeurs et ce, en publiant, sur son site web officiel, la liste actualisée des experts exerçant l’activité d’audit dans le domaine de la sécurité informatique sont-ils, soit personnes physiques ou morales.

Contrôle des infractions

Les services concernés de l’ANSI, sont tenus par le contrôle de l’activité de l’expert auditeur et par la consultation, à la demande, des documents relatifs à ses transactions et à l’exercice de son activité ainsi qu’aux documents correspondants à ses moyens humains et matériels et la vérification, une fois toute les 3 années et chaque fois nécessaire.
A cet effet, l'expert auditeur, est tenu de répondre aux demandes desdits documents et faciliter les travaux d’inspection et contrôle des services de l’agence menés sur terrain, le cas échéant.

Sanctions

Le directeur général de l’ANSI, dans le cadre de ses prérogatives, peut adresser à l’expert auditeur un préavis en cas de violation des taches à exécuter ou ne pas fournir les conditions exigées au cahier des charges.
Le directeur général de l’agence peut, après recours à l’avis de la commission d'éthique crée auprès de l’agence, infliger des sanctions aux experts qui ont enfreint aux conditions du présent cahier des charges comme suit :

  • Avertir l’expert auditeur, par lettre recommandée avec accusé de réception, ou par voie électronique ou par tout autres moyens laissant une trace écrite, pour lever ces infractions dans les délais fixés par l’agence : mettre fin aux pratiques illégales ou lever des violations objet d’un préavis.
  • La suspension temporaire de l’activité, pour une durée maximale de 6 mois, si l’expert auditeur ne se conforme pas dans les délais spécifiés à l’avertissement adresser.

L’expert auditeur, objet de suspension temporaire de l’activité, doit informer ses clients et suspendre les missions engagées jusqu’à régularisation de sa situation.
La suspension définitive de l’activité par décision motivée dans les cas suivant :

  • La non régularisation, pendant la durée de la suspension temporaire de l’activité, des infractions constatées.
  • La répétition d’une pratique sujette d’une suspension temporaire de l’activité.
  • La participation, en quelque manière que ce soit, aux appels d’offres, aux consultations et aux négociations pendant la période de suspension temporaire de l’activité.