Cadre juridique et réglémentaire de la mission d'audit

L’audit de la sécurité des systèmes d’information en Tunisie est régi par la loi n°5-2004 du 3 février 2004, organisé par le décret N°2004-1250 du 25 Mai 2004 et l’arrêté du ministre des technologies de la communication et de l'économie numérique et du ministre du développement, de l’investissement et de la coopération internationale du 01 Octobre 2019, fixant le cahier des charges relatif à l'exercice de l’activité d’audit dans le domaine de la sécurité informatique. Le décret cité identifie les organismes soumis à l’obligation de l’audit, ainsi que les étapes clés de la mission d’audit et les livrables à fournir à l’organisme audité à la fin de la mission. 

L'obligation de l’audit concerne :

  • Les systèmes informatiques et les réseaux relevant des organismes publics,
  • Les opérateurs de réseaux publics et FSI’s,
  • Les entreprises dont les réseaux sont interconnectés à travers des réseaux externes,
  • Les entreprises qui procèdent au traitement automatisé des données personnelles de leurs clients.

Les seules personnes habilitées à effectuer ces missions d'audit sont les auditeurs certifiés par l'Agence Nationale de la Sécurité Informatique et ce, conformément à l’arrêté du ministre des technologies de la communication et de l'économie numérique et du ministre du développement, de l’investissement et de la coopération internationale du 01 Octobre 2019, fixant le cahier des charges relatif à l'exercice de l’activité d’audit dans le domaine de la sécurité informatique.

La circulaire n°19 du 11 avril 2007 relative au renforcement des mesures de sécurité informatique dans les établissements publiques stipule entre autre la création d'une Cellule Technique de Sécurité, la nomination d'un Responsable de la Sécurité des Systèmes d'Information RSSI et la mise en place d'un Comité de pilotage.