BREF APERÇU SUR LE NOUVEAU DECRET PRESIDENTIEL 20-05 PORTANT SUR LA MISE EN PLACE D’UN DISPOSITIF NATIONAL DE LA SECURITE DES SYSTEMES D’INFORMATION.

CONTEXTE GENERAL DU DISPOSITF DE SECURITE DES SYSTEMES D’INFORMATION

Le développement technologique a induit de profondes transformations sur tous les plans, cependant, ces transformations ne sont pas sans risques, car nous constatons de plus en plus de cyber attaques dont les motivations sont multiples, et ne se limitent plus à la cyber-délinquances, mais, menacent, de nos jours, les structures essentielles et vitales d’un état.

C’est pourquoi, ne pouvant échapper aux conséquences du tout numérique, et des risques y afférents, l’Algérie, a entrepris, une démarche vitale, qui vise à long terme, la protection de son patrimoine informationnel et structurel, à travers la promulgation d’un décret présidentiel 20-05 portant sur la mise en place d’un dispositif national de la sécurité des systèmes d’information.             ( journal officiel n°4 du 26-01-2020)  

CADRE ORGANISATIONNEL DU DISPOSITIF NATIONAL DE SECURITE DES SYSTEMES D’INFORMATION

Le décret tend à mettre en place un dispositif national de sécurité des systèmes d’information. Ce dispositif est matérialisé par la création de deux nouveaux organismes, le Conseil National et l’Agence de sécurité des systèmes d’information, organismes qui seront chargés de diverses missions, notamment, la mise en place de la stratégie nationale de sécurité des systèmes d’information.

Présidé par le ministre de la Défense Nationale, le Conseil National de sécurité des systèmes d’information, aura pour mission, notamment, de définir la stratégie nationale, de statuer sur les éléments de la stratégie proposée par l’agence de sécurité des systèmes d’information, d’approuver la classification des systèmes d’information ainsi que la politique de certification électronique établie par l’autorité nationale de certification électronique.

Quant à l’Agence de la sécurité des systèmes d’information, qui est un établissement public à caractère administratif, administré par un comité d’orientation et doté d’un comité scientifique, et disposant d’un centre national opérationnel, détient une séries d’attributions tel qu’il ressort de la lecture de l’article 18 dudit texte et sur lesquels nous y reviendrons tout au long de ce billet.

IMPATCS LIES A LA MISE EN PLACE DU DISPOSITIF NATIONAL DE SECURITE DES SYSTEMES D’INFORMATION

1-impact sur les prestataires de services en matière de sécurité des systèmes d’information

La prestation d’audit de sécurité des systèmes d’information a fait l’objet d’une attention particulière par le législateur, suivant les dispositions de l’article 18 l’agence de sécurité des systèmes d’information sera chargée de proposer les modalités d’accréditation des prestataires de service d’audit en matière de sécurité des systèmes d’information.

Ce qui implique que des conditions spécifiques doivent être remplies par les prestataires en vue d’obtenir leurs accréditations en tant qu’auditeurs de la sécurité des systèmes d’informations, accréditation qui sera certainement retenue comme exigence, lorsqu’il sera question de contracter avec certains organismes et institutions publics. De plus, nous n’écartons pas la possibilité de voir d’autres textes spécifiques portant sur la régulation de la prestation d’audit des systèmes d’information.

Outre, le mécanisme d’accréditation, le législateur évoque à l’article 18 d’autres mécanismes comme la certification et la labélisation des prestataires en matière de protection des systèmes d’information.

L’Agence de protection des systèmes d’information sera chargée quant à elle, de mettre en place les procédures y afférentes, cependant, aucune piste n’a été donnée quant à l’organisme qui sera chargé de conduire les procédures de labélisation, de certification et ou d’accréditation des prestataires. C’est pourquoi, afin d’éviter toute ambiguïté, il aurait été plus judicieux d’identifier l’organisme qui sera chargé de conduire ces missions, comme cela a été le cas, pour les produits ou le législateur identifie clairement l’organisme en question. En outre, la multiplication de la terminologie liée aux futurs mécanismes qui seront mis en place, est porteuse d’une grande confusion, qui d’ailleurs, est accentuée par la mauvaise rédaction du texte, qui laisse transparaitre un manque d’expertise en la matière.   

2-impact sur les produits de sécurité des systèmes d’information

L’article 18 énonce la mise en place de nouveaux mécanismes comme l’homologation et la  certification des produits de sécurité des systèmes d’information, cependant, aucune autre précision n’est faite par rapport au contenu de ces mécanismes. Aussi, l’Agence de sécurité des systèmes d’information est identifiée comme étant l’organisme qui aura la charge de conduire les procédures liées à l’homologation et à la certification.

A noter, que le texte en question, énonce un autre mécanisme, celui de la labélisation, sans qu’en soit précisé les contours, ni l’organisme qui sera chargé de le conduire.

Cependant, il est à noter, que la réussite des procédés énoncées, est tributaire du respect de certains paramètres par l’agence, notamment, la mise en place de procédures administratives claires et souples, des délais appropriés pour mener les évaluations ainsi que des couts raisonnables.

En outre, bien que le texte soit muet sur ce point, il n’est pas écarté la possibilité de voir les institutions vitales de l’Etat n’opter que pour des produits homologués certifiés ou labélisés.

3-impact sur les organismes publics et privé :

Tel qu’il ressort des dispositions de l’article 41 du décret 20-05, les institutions, les administrations, les organismes publics et les opérateurs privés sont tenus de désigner un responsable en charge de la sécurité des systèmes d’information, et disposent , à cet effet, d’un délai d’une année à compter de la date de publication du texte au journal officiel, soit un délai qui s’étend jusqu’à janvier 2021 pour ce faire.

De plus, l’article 18 dispose que l’agence sera chargée de recenser les systèmes d’informations et soumettre au conseil, leur classification, et, devra établir et maintenir à jour une cartographie des systèmes d’information classifiés. Ce qui implique, au préalable un recensement des infrastructures, organismes et des entreprises ayant une importance vitale, ce qui permettra d’établir une cartographie des systèmes d’informations et identifier ceux qui revêtent un caractère sensible.  Ceci étant, il est possible de voir les organismes identifiés comme vitaux d’être obligés de mettre en place un seuil élevé de sécurisation des systèmes d’information, impact qui s’étendra même aux choix des prestataires proposant des solutions touchant aux systèmes d’information.

En outre, l’Agence a été dotée d’un pouvoir quasi judicaire, celui de d’opérer à des investigations numériques en cas d’attaques ou d’incidents cybernétiques ciblant les institutions nationales. Aussi l’Agence sera chargée d’accompagner les entités publiques dans le traitement des incidents liés à la sécurité des systèmes d’information. C’est pourquoi, il n’est pas à écarter l’idée de voir les organismes être dans l’obligation de déclarer à l’Agence toute atteinte liée à leurs systèmes d’informations.

LES AXES POSSIBLES DE LA STRATEGIE NATIONALE DE SECURITE DES SYSTEMES D’INFORMATION :

Bien que le texte en question charge le Conseil National et l’Agence de mettre en place la stratégie de sécurité des systèmes d’information, les contours de la stratégie nationale peuvent être appréciables à travers les indicateurs qui ressortent des attributions octroyés au Conseil national et à l’agence de sécurité des systèmes d’informations, que nous pouvons résumer comme suit :

1-Mise en place d’un état des lieux des systèmes d’informations ;

2-Mise en place des mécanismes de protection des systèmes d’informations ;

3-Mise en place d’un plan de sensibilisation et de formation ;

4 Le recours au partenariat et à la coopération.

CONCLUSION

La promulgation du décret présidentiel 20-05 démontre, l’intérêt qui doit être réservé à la matière cyber sécurité, ainsi que les profondes mutations qui vont impacter tous les secteurs, avec une attention toute particulière aux institutions et infrastructures vitales du pays.

Cependant, la multiplication des acteurs, impliques dans la régulation et l’administration de la sphère technologique, dont les textes fondateurs sont peu précis et dont les missions et attributions se s’entremêlent dans certains cas, la coordination devient un impératif pour la réussite de la stratégie de sécurité des systèmes d’information.

En outre, il est important de toujours se rappeler, quel que soit le degré de technicité, auquel l’on pourrait faire face, tout commence avec le facteur humain, c’est pourquoi une démarche efficace en matière de protection des systèmes d’information ne peut se faire valoir qu’avec la sensibilisation et la formation de la ressource humaine.

                                                                                                               Maitre Riad  ARADJI