L’ANSI est chargée de la protection des infrastructures vitales et de la sensibilisation des citoyens Tunisiens. Pour ce faire elle a mis en place le Cert Tunisian Coordination Center (appelé le CERT-TCC).

L’ANSI a, dans le cadre des projets de la banque mondiale, initialisé une mission de conseil/assistance avec l’équipe Alcatel CIT qui opère le Cert-IST.

Dans le cadre de cette mission, l’équipe Alcatel CIT a constaté que les actions de l’ANSI, parfois intégrées dans le bilan du CERT-TCC, vont au-delà des objectifs d’un Cert et en font effectivement l’ossature d’une véritable Agence Nationale au sens du paragraphe 2.4 du rapport Lasbordes, qui avait fait l’objet d’un précédent article.

Une unité existait depuis 1999, en vue de l’établissement d’un plan national pour la cyber-sécurité (il est à noter que la prise de conscience des risques d’origine NTIC a partiellement été déclenchée par le problème du « bug de l’an 2000 »).

En Janvier 2003, lors d’un Comité interministériel restreint, sous la présidence du Président Tunisien Zine El Abidine BEN ALI, dédié à l’informatique et à la sécurité des SI, il a été décidé :

• la Création d’une Agence Nationale, spécialisée dans la sécurité des SI
• l’introduction d’un audit obligatoire et périodique dans le domaine de la sécurité informatique, (pilier de la stratégie), accompagné de la création d’un corps d’auditeurs certifiés en sécurité des SI, plus d’autres mesures d’accompagnement (dont une obligation de déclaration des incidents de sécurité).

La Stratégie Tunisienne dans le domaine de la sécurité informatique sur le site du Ministère chargé des technologies de la communication : http://www.infocom.tn/index.php?id=15

La Loi Tunisienne n°2004-5 du 3 Février 2004 explicitant les missions de l’ANSI

La loi mentionne la création d'une entreprise publique à caractère non administratif dénommée « ANSI » (Agence Nationale de Sécurité Informatique), soumise à la tutelle du Ministère chargé des technologies de la communication, pour effectuer un contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics et privés. Elle est en particulier chargée de :

• Veiller à l’exécution des orientations nationales stratégiques en matière de SSI
• Suivre l’exécution des plans pour le secteur public, hors défense et sécurité nationale.
• Assurer la veille technologique
• Etablir des normes et publier des guides techniques
• Encourager et promouvoir le développement de solutions nationales
• Participer à la consolidation des formations dans le domaine
• Veiller à l’exécution des réglementations relatives à [l’obligation de] l’audit périodique.

A noter que dans cette même loi sont définis réglementairement une obligation d’audit périodique des organismes publics ou critiques dont la liste est fixée par décret (*), le processus de certification des auditeurs qui en ont la capacité, et enfin une obligation de déclaration de survenance d’un incident informatique pouvant avoir de répercussions sur les systèmes d’autres organismes.

(*) Le décret n°2004-1250 du 25 Mai 2004 a identifié en particulier, en sus des organismes publics, les opérateurs de réseaux, les entreprises multi sites, et celles procédant au traitement automatisé de données personnelles des clients.

L’agence dispose aujourd’hui d’un effectif de 30 personnes en croissance rapide (4 en 2004, 10 en 2005), dont plus des 2/3 sont affectée à la structure CERT -Tunisian Coordination Center. Celle-ci, qui assure officiellement des fonctions de veille, alerte, et traitement d’incident, réalise en fait une grande partie des missions opérationnelles de l’ANSI.

Ainsi, la structure CERT-TCC assure une mission de veille et d’information sur les vulnérabilités et les attaques (veille et monitoring ISAC=Information Sharing and Analysis Center), mais aussi de sensibilisation y compris à destination du grand public, et parfois de support à l’exécution des lois et décrets concernant l’audit.

Pour en savoir plus : http://www.ansi.tn/fr/index_fr.htm

Le programme d’identification et de formation des auditeurs a permis de certifier 30 experts au cours du 1er semestre 2006 et 70 experts au cours du 2ème semestre 2006.

Les fonctions d’exécution de plan nationaux sont remplies, soit par la constitution et l’animation de réseaux de correspondants dans les organismes, soit par des actions de sensibilisation aussi bien en direction des professionnels que du grand public.

En particulier celui-ci est la cible de nombreuses actions pour la protection de l’enfance et le contrôle parental.

L’ANSI et sa structure opérationnelle, le CERT-TCC, ont été particulièrement actifs à l’occasion du SMSI , à Tunis, tout en n’étant pas, rappelons-le, prioritairement responsables de la sûreté nationale, mais uniquement responsables d’infrastructures critiques telles que celles fournies par les opérateurs. A ce titre, ils sont un des acteurs majeurs dans le déclenchement et la coordination du plan « AMEN », applicable en cas de cyber-crise majeure en Tunisie.

Par rapport aux autres pays, le modèle Tunisien serait dans l’esprit des missions assez proche du BSI Allemand, avec une dimension R&D produits qui se focalise sur l’Open Source, et une organisation ou un vocabulaire (CERT, ISAC) qu’ils empruntent au modèle Anglais.

 
L’ANSI et les recommandations du rapport Lasbordes

La Tunisie, avec l’ANSI, s‘est dotée d’une structure de protection des infrastructures critiques analogue a priori à l’ensemble DCSSI + COSSI / CERTA en France, ou à certains cas étudiés dans le rapport Lasbordes (NSA /DHS, NISCC, BSI, NCSC).

La structure et les missions de l’ANSI sont finalement extrêmement proches des 6 recommandations du rapport Lasbordes et même de son objectif de refonte organisationnelle :

Grâce à ces nombreuses réalisations, l’ANSI, ses projets, son bilan, ont suscité un intérêt certain lors des Assises de la sécurité à Monaco.

Le Président du Cert-IST, Yvon Klein a eu le plaisir de présenter son Directeur, Nabil Sahli, à de nombreuses personnalités.

Ainsi M. Sahli a eu l’occasion de s’entretenir longuement de la démarche Tunisienne avec le Député Pierre Lasbordes (intervenant remarqué lors de la conférence plénière du Jeudi 12). Les réalisations de l’ANSI en matière de services aux PME et aux citoyens ont en particulier été discutées.

De plus, ces réalisations exemplaires ont également attiré l’attention de Chantal d’Abboville, Présidente de la branche Française de l’association Action Innocence, également intervenante de la conférence plénière, qui a découvert avec intérêt la rubrique "parents-enfants" du site web de l’ANSI ainsi que les CD-ROM et dessins animés de sensibilisation réalisés par l’ANSI  et le CERT-TCC.