Cadre juridique et réglémentaire de la mission d'audit

L’audit de la sécurité des systèmes d’information en Tunisie est régi par la loi n°5-2004 du 3 février 2004décret N°2004-1250 du 25 Mai 2004, fixe les systèmes informatiques et les réseaux des organismes soumis à l'audit obligatoire périodique de la sécurité informatique et les critères relatifs à la nature de l'audit et à sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit. 

L'obligation de l’audit concerne :

  • Les systèmes informatiques et les réseaux relevant des organismes publics,
  • Les opérateurs de réseaux publics et FSI’s,
  • Les entreprises dont les réseaux sont interconnectés à travers des réseaux externes,
  • Les entreprises qui procèdent au traitement automatisé des données personnelles de leurs clients.

Les seules personnes habilitées à effectuer ces missions d'audit sont les auditeurs certifiés par l'Agence Nationale de la Sécurité Informatique et ce, conformément au décret N°2004-1249 du 25 Mai 2004 fixant les conditions et les procédures de certification des auditeurs dans le domaine de la sécurité informatique.

La circulaire n°19 du 11 avril 2007 relative au renforcement des mesures de sécurité informatique dans les établissements publiques stipule entre autre la création d'une Cellule Technique de Sécurité, la nomination d'un Responsable de la Sécurité des Systèmes d'Information RSSI et la mise en place d'un Comité de pilotage.