1

2

Ministère des Technologies de la CommunicationAgence Nationale de la Sécurité Informatique

Stratégie nationale pour la Sécurité des Systèmes d’Information:

L’expérience Tunisienne

Prof Belhassen ZOUARI, Prof Belhassen ZOUARI, Directeur Général, Agence Nationale de la Sécurité Informatique,

E-mail : B.Zouari@ansi.tn

3

Bref aperçu historique

fin 1999 : Lancement d’une unité, spécialisée dans la sécurité des SI (Secrétariat d’état à l’informatique) : Objectif :

- sensibiliser les directeurs et le personnel technique, - veiller à la sécurité des applications et infrastructures nationales hautement critiques,

- suivre de près les derniers développements technologiques en matière de sécurité informatique.

À partir de fin 2002 (“ considération du rôle de la sécurité des SI comme pilier de la « Société d’Information ») : mise en place une stratégie et un plan national dans le domaine de la sécurité des SI (enquête nationale, pour définir : priorités, volume des actions, logistique nécessaire, supports, ...).

Janvier 2003 Décision de : (CMR)

● Créer une Agence Nationale, spécialisée dans la sécurité des SI (L’outil pour l’exécution de la stratégie et du plan nationaux)

● Introduire un audit obligatoire et périodique dans le domaine de la

sécurité informatique (Pilier de notre stratégie)

● Créer un corps d’auditeurs certifiés en sécurité des SI

+ d’autres mesures d’accompagnement

4

Février : Promulgation d’une LOI “originale” sur la sécurité des SI(Loi N° 5-2004, Fév 2004 et ses 3 décrets associés) :

Obligation de l’audit périodique (annuel actuellement) , pour toutes les entités publiques et les “grandes” et sensibles sociétés privées.

Organisation du domaine de l’audit de sécurité (Audits effectués UNIQUEMENT par des auditeurs CERTIFIES TUNISIENS, définition du processus du processus de certification des auditeurs & définition des missions d'audit et du processus de suivi)

Création et définition des Missions de l’ Agence Nationale de la Sécurité Informatique

Obligation de déclarer les incidents de sécurité (attaques Virales et de piratage de masses, ...) qui peuvent affecter d’autres SI, avec une garantie de confidentialité, par la loi.

Lancement des activités de l’Agence Nationale de la Sécurité Informatique

Septembre 2005 : Lancement du Cert-Tcc (Computer Emergency Response Team / Tunisian Coordination Center)

2004 :

2005 :

5

Lignes Directrices de la Stratégie Tunisienne en

Sécurité Informatique

6

Sécurité des Systèmes d’Information Nationaux

Instruire des règles pour assurer une amélioration sécurisée et progressive de la sécurité de SI et le suivi pour des plans de sécurité réalistes et efficaces.

Institution de l’audit périodique obligatoire

Identifier & Regrouper les « Lourds” Investissement et les engager(infrastructures de Continuité de fonctionnement en cas de désastre, ISAC,..)

Fournir l’assistance technique pour garantir la correcte protection des SI et infrastructures critiques.

Renforcement du rôle joué par les Associations(participation de toutes les forces vives de la Nation, actions de sensibilisation, évaluation des actions complémentaires requises, …)

Permettre une « ouverture » sécurisée et une forte intégration entre les systèmes d’information nationaux (e-administration, e-banking, e-commerce, ..)

Renforcer le rôle joué par le secteur privé et l’aider à se développer (fournir des “Marchés”, formations, aide à la certification, concurrence loyale, ..)

7

Sécurité du Cyber-espace National

- Implémenter des outils efficace pour la coordination entre les différents concernés, en cas d’attaques cybernétiques.

Permettre une utilisation confiante des TICs et d’Internet(« Société de l’Information »)

- Développer des : - Mécanismes pour la détection précoce d’attaques (système « saher »),

- Plans de Réaction efficaces (plan de réaction « Amen »)

- Fournir l’assistance et le support nécessaires dans le domaine de la sécurité informatique (équipes d’intervention CSIRST)

8

Consolider le “Savoir-faire” en sécurité informatique Atteindre une « relative » autonomie technologique

- Faire évoluer les capacités nationales en R&D et les rendre plus responsives à nos besoins urgents.

- Encourager le développement de Solutions et outils Nationaux, liés aux besoins stratégiques « Lourds ». (Issus du monde de l’Open-source)

- Assurer un « Suivi Technologique» efficace dans le domaine.

- Encourager la recherche de base (Université) portant sur les importants thèmes (cryptographie, méthodologies, mécanismes)

- Motiver l’émergence d’associations Académiques dans le domaine de la sécurité informatique

9

Formation & Sensibilisation en sécurité des SI

- Renforcer le potentiel de formateurs en sécurité informatique

- Lancer des diplômes universitaires spécialisés dans le domaine de la sécurité informatique (Mastères). - Introduction de formation de base (sensibilisation) dans TOUS les cursus académiques et scolaires.

- Encourager la certification (Internationale) de haut niveau des professionnels dans le domaine.

- Promouvoir des activités de sensibilisation sur les dangers potentiels, les meilleures pratiques et les outils de protection :

Lancer un CERT national, en charge, entre autres, de l’intensification des opérations de sensibilisation, à l’échelle de TOUTES les régions. Motiver la création d’Associations, œuvrant dans ce domaine.

10

Aspects Juridiques & Réglementaires

- Adopter/Adapter des normes, réglementation et procédures de certification dans le domaine de la sécurité des Systèmes d’information et harmoniser la tâche des régulateurs publics. - Œuvrer pour le renforcement des mécanismes de contrôle des abus (protection du consommateur, contrôle du Spam, respect de la protection des données à caractère personnel,respect de la propriété Intellectuelle …)

- Renforcer la compétence des autorités judiciaires et policières , traitant des affaires de cybercriminalité (formation)

Assurer la “mise à jour continuelle” des textes, selon les nouvelles problématiques introduites par la cybercriminalité

et renforcer l’adhésion et l’application des conventions et traités internationaux (Crimes Cybernétiques, …) .

« Mettre à jour » le cadre juridique et la réglementation

11

Présentation des Principales Actions du

PLAN National dans le domaine de la

sécurité des SI

12

Lancement du Cert /TCC(Computer Emergency Response Team / Tunisian Coordination Center)

“L’équipe de Réponse aux Urgences Informatiques – Centre de Coordination Tunisien”

Missions

Fournir aux utilisateurs des TIC, une assistance technique en ligne (call-center, e-mail) ;

Fournir une assistance pour la gestion d’incidents (24H/24 et 7j/7) ;

Agir comme moteur de sensibilisation;

Collecter, développer et diffuser des guides et informations relatives au domaine de la sécurité des SI;

Organiser des cycles de formation de haut niveau (formateurs, …);

Essayer d'être un centre de synergie entre les professionnels, les chercheurs et les praticiens.

13

Information&

Sensibilisation

14

Information en « temps réel » sur les vulnérabilités et activités malicieuses observées :

Diffusion des informations (Collectées à travers la surveillance de multiple sources ) à travers une Mailing-List :Pus de 7000 abonnés volontaires Plus de 160 e-mails envoyés en 2007 (plus de 470 vulnérabilités sur produits déclarées)

Rubriques Variées : Menace :

Information :

Information & Alerte

1- vulnérabilité critique dans ………….., qui permet ……

2- vulnérabilité moyennement critique dans ………….., qui permet ……

3- ………………..

1- “Nom du Produit” Plates-formes Concernées : …… Versions Concernées : ………Brève Description :……..…….Pour plus de détails : (urls)

SOLUTION ………. ……….

2- “Nom du Produit” …………………

Objet : …………..Systèmes et Plates-formes concernés : ……

Effets

Signes Visibles

Moyen de propagation

Propagation à l’échelle Nationale

Propagation à l’échelle Internationale

Plus de détails (urls)

Mesures Préventives

. Faille (sim

ples u

tilisateurs)

. Ad

min

istrateurs (P

rofessio

nn

els en

Sécu

rité).V

IRU

S

.Faille .Virus .Spam .Hoax .Précaution .Administrateur .Alerte

.Outils .Open-source .Annonce .Livre

15

Le Cert-TCC a orienté ses premières manifestations publiques vers le domaine de la sensibilisation :

Participation à toutes les foires Nationales et Régionales (ateliers de simulation d’attaques réelles montrer la réalité des risques encourus)

Développement et distribution de brochures (9) et de CDs (3: outils de sécurité gratuitement pour usage domestique , outils open-source, patchs volumineux)

Intervention dans les principales Conférences & Ateliers de Travail (22 interventions en 2005, 21 depuis

début 2006) et organisation de présentations pour les décideurs publics (& contrôleurs de dépenses, .., ).

+ rubriques de sensibilisation dans la mailing-list ( .Flash / .Outils),

Actions de sensibilisation

- Les médias jouent un Rôle Important et moteur dans la sensibilisation :

Création d’un poste de relations avec la presse (une journaliste ), afin de fournir la matière brute nécessaire aux journalistes. Participation dans l’animation de 6 rubriques hebdomadaires dans des station radio Régionales et Nationales : « Echabab », Le Kef, Sfax, Tataouine, Monastir, « Jawhara ».

- Préparation d’un module de sensibilisation dans le domaine de la sécurité des SI, pour des Journalistes.

16

Parents & Enfants : Les sensibiliser, sans les effrayer, à propos des risques sur Internet (risques de pédophilie, virus, …)

- Agir pour l’éducation des jeunes générations :

Préparation en cours d’un premier module de sensibilisation pour l’école primaire ;

Préparation de matière didactique pour les enfants et les parents : Bande Dessinée, Guide/Quizs,

rubrique web spécialisée

-Développement de brochures et ajout d’une rubrique spéciale pour les parents dans la Mailing-List (Outils de Contrôle Parental, risques, … ).

- Interventions dans les cours de préparation des enseignants de l’enseignement secondaire et initiation d’une Collaboration avec des éducateurs Centres et associations spécialisés dans l’enfance.

17

Centre d’observation et d’alerte : ISAC

(Information Sharing and Analysis Center)

Projet “Saher”

18

Collecte et filtrage des logs pour identifier les attaques de masse et les activités potentiellement malicieuses (vers, scans, …)

Collecte & Pré-Traitement

Un centre d’Observation (basé sur des solutions open-source), qui permet de superviser la sécurité du cyber-espace national en Temps Réel Détection précoce des attaques de masse et évaluation de leur impact. (premier prototype, déployé pendant le SMSI)

HoneyPots, HoneyNet

Connexions Sécurisées(SSh)

Serveur Anti-virus Mail(script) rapports

Réseaux

ISPs

IDCs

N.IDS ( Snort)

Ale

rte

Plan de Réaction National

Alerte Communité

+/-

ISAC “Saher”

Analyse & Corrélation

- Outil “WebObserver”-Déclenchement de -contrôle de flux

Rapports d’incidents(Call-Center, Fax, Site Web)

Déclenchement automatique d’alertes- Scripts pour la corrélation de logs.- Outils pour le contrôle & l’analyse de flux.- Outils de logs.- Scripts de "Pot de Miel" (Smart Honey-Poting)- Technique proactive & contre-mesures.

« Saher »

19

Plan de Gestion d’alertes --- Plan de Réaction Global "Formel".--- Établissement de coordination entre cellules de crise (FSIs, IDCs, Fournisseurs d’Accès).Avec l’ANSI, agissant comme centre de coordination entre les cellules.

Déployé 6 fois, pendant les attaques de vers Sasser& MyDoom, pendant des activités de piratage suspectes et, pro-activement, pendant les grands événements organisés en Tunisie (uniquement avec les FSIs et l’opérateur national de télécommunication)

Projet de Centre National de continuité de fonctionnement, en cas de sinistre grave, réalisé par le Centre National de l’Informatique, sous un prêt de la Banque Mondiale)

Fond d’études pour :

L’établissement de Plans de continuité de fonctionnement pour certaines applications nationales critiques. Améliorer la protection du Cyber-espace national contre les attaques de type DDOS.

Infrastructures de continuité de fonctionnement

20

Assistance pour la Gestion des Incidents

Équipe CSIRT(Computer Security Incident Response Team)

21

Article 10 : Tout exploitant d'un système informatique ou réseau, qu'il soit organisme public ou privé, doit informer immédiatement l'agence nationale de la sécurité de toutes les attaques, intrusions et autres perturbations susceptibles d’entraver le fonctionnement d’un autre système informatique ou réseau, afin de lui permettre de prendre les mesures nécessaires pour y faire face.

L’exploitant est tenu de se conformer aux mesures arrêtées par l’agence nationale de la sécurité informatique pour mettre fin à ces perturbations.

o Un centre d’appel (Hotline), disponible pour assistance 24heures/24 et 7jours/7

Les organisations privées et publiques devraient nous faire confiance et demander l’assistance, sans « peur » pour une éventuelle « mauvaise publicité »

Article 9 - II est interdit aux agents de l'agence nationale la sécurité informatique et aux

experts chargés des opérations d'audit de divulguer toute information dont ils ont eu connaissance lors de l’exercice de leurs missions.

Sont passibles des sanctions prévues à l'article 254 du code pénal, quiconque divulgue, participe ou incite à 1a divulgation de ces informations.

Loi No. 2004-5 du 3 février 2004 relative à la sécurité des SI

Loi No. 2004-5 du 3 février 2004 relative à la sécurité des SI

CSIRT

+ Agir pour l’émergence de CSIRs dans les domaines stratégiques (E-gov, E-Banking Énergie, Transport, Santé)

o Une équipe CSIRT en charge d l’Assistance dans la gestion des Incidents (sur terrain)

22

Formation & Éducation

23

Formation Professionnelle

Objectif : Constituer un noyau de Formateurs en sécurité informatique. Initiation à la mise en place de formations de formateurs

- 3 premiers cours réalisés (pour 35 formateurs chacun , sous un prêt de la Banque Mondiale) :- Sécurité des réseaux- Sécurité des plate-formes et systèmes- Méthodologies d’audit de sécurité ( ISO 1 7799,ISO 27 001)

et développement de plans de sécurité.

+ Préparation de 4 autres modules de formation de formateurs.

Mise à niveau de professionnels : - organisation de formations (avec la collaboration de centres de formation)

pour les auditeurs en sécurité (Cours du soir pour professionnels, pour la préparation à l’examen de certification) pour des administrateurs en sécurité (sessions de 5 jours pour les administrateurs de l’e-gov (CNI, Premier ministère) Préparation de 2 sessions de formation pour juges et personnel judiciaire.

- Agir pour la motivation des centres de formation privés.

- Aider et motiver les professionnels, pour obtenir des certifications internationales (cours de préparation à l’examen CISSP).

24

- Collaboration avec des institutions académiques pour :

- Développement de Mastères en sécurité informatique : (En ce moment, un diplôme de mastère en sécurité informatique permet l’obtention de la

certification de l’Agence). en 2004 : Lancement du premier Mastère en sécurité informatique (Collaboration entre deux institutions universitaires : ISI& SupCom).

Maintenant : 5 mastères (3 universités publiques & 2 privées)

Éducation

25

Induction de plus de Synergieentre professionnels

(CERT-TCC)

Motive la création d’associations spécialisées en sécurité informatique : • Une association académique a été lancée : “Association Tunisienne de la Sécurité Numérique”.• Une association de praticiens, en cours de création : “Association Tunisienne des Experts de la Sécurité Informatique”.

Compter sur le tissu Associatif

26

- Réalisation d’enquêtes Nationales concernant la Sécurité Informatique• Une Enquête Nationale Électronique a été effectuée vers la fin 2003 (mettre en place du plan national (faiblesse, actions urgentes et leurs volumes)

• Une nouvelle enquête sera effectuée, avec le concours des associations, d’ici fin 2006

- L’évaluation d’actions & Révision de Plans d’Action

Hébergement de projets d’étudiants…

- Le développement de Modèles de cahiers de Charges ( Concurrence Loyale confiance des investisseurs)

• Publication d’un Modèle de cahier de charges pour les opérations d’audit(Avec concertation des auditeurs privés)

•Développement de projets de cahier de charges pour l’acquisition d’outils de sécurité (Firewalls, IDS, …, Assistance pour le déploiement de produits Open-source) (en attente de validation avec les intégrateurs privés)

- L’organisation de séminaires et cours de sensibilisation (ATIM, ATSN, JCC gabes, sfax, ATAI, ..)

- Collaboration avec les associations/professionnels, pour :

27

Cadre Juridique Tunisien en matière de

Sécurité Informatique et Cybercriminalité

28

Loi de la sécurité Informatique : Loi n°2004-5

Loi de la protection de la vie privéeLoi de la protection de la vie privée : Loi n°2004-63

Lois concernant le respect de la propriété intellectuelle Lois concernant le respect de la propriété intellectuelle

:: Loi n°2000-84, Loi n°2001-20, Loi n°2001-21, Loi n°2001-

36, Loi sur la certification électronique : Loi n°2000-83Loi concernant sur les délits informatiques : Loi n°99-

89Loi concernant le Cyber terrorisme : Loi n°2003-75

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

29

Loi concernant la sécurité Loi concernant la sécurité Informatique = Loi N°5/2004Informatique = Loi N°5/2004

• Lois Tunisiennes : Article 9 de la loi n° 2004-5 du 3 février 2004, relative à la sécurité informatique (JORT publié le 03 février 2004) : confidentialité des incidents

Il est interdit aux agents de l’Agence Nationale de la Sécurité informatique et aux experts chargés des opérations d’audit de divulguer toutes informations dont ils ont eu connaissance lors de l’exercice de leurs missions. Sont passibles des sanctions prévues à l’article 254 du code pénal, quiconque divulgue, participe ou incite à la divulgation de ces informations

• Lois Tunisiennes : Article 10, 11 de la loi n° 2004-5 du 3 février 2004, relative à la sécurité informatique (JORT publié le 03 février 2004) : Déclaration des incidents.

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

30

Chapitre premierChapitre premier

L’Agence Nationale de la Sécurité InformatiqueL’Agence Nationale de la Sécurité Informatique

• Etablir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en l’objet est procéder a leurs publication,• Ouvrer à encourager le développement de solutions nationales dans le domaine de la sécurité informatique et à les promouvoir conformément au priorité et au programme qui seront fixer par l’agence,• Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique,• Veiller à l’exécution des réglementations relatives à l’obligation et l’audit périodique de la sécurité des systèmes informatiques et des réseaux.• L’autorité de tutelle peut confier à l’agence toute autre activité en rapport avec le domaine de son intervention.Décret numéro 1248 promulgué le 4 Juin 2004

fixant le statut administratif et financier de l’agence

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

31

Chapitre deuxChapitre deux

De l’audit obligatoireDe l’audit obligatoire

- Les systèmes informatiques et des réseaux relevants des divers organismes public sont soumis à un régime d’audit obligatoire et périodique de la sécurités informatiques à l’exception des systèmes informatiques et des réseaux appartenant au ministères de la défense national et de l’intérieur et du développement local.- Sont, également soumis à l’audit obligatoire périodique de la sécurité informatique, les systèmes informatiques et les réseaux des organismes qui seront fixés par décret.

Décret numéro 1250 du 4 Juin 2004- Dans le cas où les organismes n’effectue pas l’audit obligatoire périodique, l’agence national de la sécurité informatique avertit l’organisme concerner qui devra effectuer l’audit dans un délais ne dépassant pas un mois à partir de la date de cet avertissement .A l’expiration de ce délais sans résultat, l’agence est tenue de désigner aux frais de l’organisme contrevenant, un expert qui sera charger de l’audit sous indiquée.

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

32

Chapitre Trois : Chapitre Trois :

Des auditeursDes auditeurs- L’opération d’audit est effectuée par des experts, personnes physiques ou morales, préalablement certifiées par l’agence nationale de la sécurité informatique.

Décret numéro 1249 du 4 Juin 2004 qui fixe les conditions et les procédures de certification de ces experts

- Il est interdit aux agents de l’agence nationale de la sécurité informatique et aux experts chargés des opération d’audit de divulguer toutes informations dont ils ont eu connaissance lors de l’exercice de leurs missions……

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

33

Chapitre QuatreChapitre Quatre

Des dispositions diversesDes dispositions diverses- Tout exploitant d’un système informatique ou réseau, qu’il soit organisme public ou privé, doit informer immédiatement l’agence nationale de la sécurité informatique de toutes attaques, intrusions et autres perturbations susceptibles d’entraver le fonctionnement d’un autre système informatique ou réseau, afin de lui permettre de prendre les mesures nécessaires pour y faire face.- Afin de protéger les systèmes informatiques et les réseaux, l’agence nationale de la sécurité informatique peut proposer l’isolement du système informatique ou du réseau concerné jusqu'à ce que ces perturbations cessent. L’isolement est prononcé par décision du ministre chargé des technologies de la communication.

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

34

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

35

Loi concernant la protection de Loi concernant la protection de la vie privéela vie privée

• Loi n° 2004-63 du 27 juillet 2004, portant sur la protection des données à caractère personnel.

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

36

Cette loi spécifie :1. Les dispositions générales concernant la protection des

données à caractère personnel2. Les conditions de traitement des données à caractère

personnel :– Les procédures préliminaires de traitement de ces données– Le responsable de traitement de ces données et ses obligations– Les droits de la personne concernées (consentement, droit

d’accès, droit opposition)3. La collecte, la conservation, l’effacement et la destruction

des données à caractère personnel4. Leurs communication et leur transfert 5. Quelques catégories particulières de traitement de ces

données :– Par les personnes publiques– Relatives à la santé– Dans le cadre de la recherche scientifique– À des fins de vidéo-surveillance

6. L’instance nationale de protection des données à caractère personnel

7. Les sanctions 8. Les dispositions diverses concernant la protection des

données à caractère personnel

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

37

Les Données à caractère Les Données à caractère personnel ?personnel ?

Loi n° 2004-63 du 27 juillet 2004

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

38

Lois concernant le respect de la Lois concernant le respect de la propriété intellectuellepropriété intellectuelle

• Les droits de propriété intellectuelle sont les droits conférés à l'individu par une création intellectuelle.

• On répartit généralement les droits de propriété intellectuelle en deux grands groupes :– Droit d'auteur et droits connexes– Propriété industrielle

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

39

1- Droit d'auteur1- Droit d'auteur• Les droits des auteurs d'oeuvres littéraires et

artistiques (livres et autres écrits, compositions musicales, tableaux, acteurs, chanteurs, musiciens, sculptures, programmes d'ordinateur et films) sont protégés par ce que l'on appelle le droit d'auteur pendant au moins 50 ans50 ans après le décès de l'auteur.

• Le principal objectif social de la protection du droit d'auteur et des droits connexes est d'encourager et de récompenser la création.

• Copyright ©: Couvre l’expression d’idées

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

40

2- Propriété industrielle 2- Propriété industrielle 

La propriété industrielle englobe deux grands domaines : • La protection des signes distinctifs, notamment les

marques de fabrique ou de commerce TM (qui distinguent les produits ou les services d'une entreprise de ceux d'autres entreprises)=> Elle vise à promouvoir et assurer la concurrence loyale et à protéger les consommateurs, en leur permettant de choisir en connaissance de cause entre différents produits et services. La durée de la protection peut être illimitée si le signe en question garde son caractère distinctif.

• La protection des inventions (protégées par des brevets), des dessins et modèles industriels et des secrets commerciaux => protégés principalement pour encourager l'innovation, la conception et la création technologiques.

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

41

3- Propriété intellectuelle en 3- Propriété intellectuelle en TunisieTunisie

Dans le secteur des droits de propriété intellectuelle, la loi principale protégeant les découvertes et inventions innovatrices en Tunisie date de 2000 (loi sur les brevets d'invention).

• La loi donne une définition précise des inventions brevetables, fixe les droits et obligations du détenteur du brevet, instaure trois types de licence, définit la contrefaçon et les sanctions y afférentes, prévoit un contrôle préventif aux frontières.

• Depuis 2001 une autre législation protège les marques, de commerce et de service. Toute atteinte portée aux droits du propriétaire de la marque constitue une contrefaçon engageant la responsabilité civile et pénale de son auteur.

• Les droits d’auteur bénéficient également d’une protection en Tunisie (convention de Berne).

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

42

Les dispositifs législatif tunisiens en matière de propriété intellectuelle :

La loi n°2000-84 du 24 août 2000, relative aux brevets d’invention (JORT n°68 du 25 août 2000).

La loi n°2001-20 du 6 février 2001, relative à la protection des dessins et modèles industriels (JORT n°12 du 9 février 2001).

La loi n°2001-21 du 6 février 2001, relative à la protection des schémas de configuration des circuits intégrés (JORT n°12 du 9 février 2001).

La loi n°2001-36 du 17 avril 2001, relative à la protection des marques de fabrique, de commerce et de services (JORT n°31 du 17 avril 2001).

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

43

Loi concernant la certification Loi concernant la certification ElectroniqueElectronique

• loi n° 83-2000 du 9 août 2000, relative aux échanges et au commerce électroniques

”يتمثل اإلمضاء في وضع إسم أو عالمة خاصة بيد العاقد ”يتمثل اإلمضاء في وضع إسم أو عالمة خاصة بيد العاقد • إذا كان إلكترونيإذا كان إلكترونينفسه مدمجة بالكتب المرسوم بها أو نفسه مدمجة بالكتب المرسوم بها أو

في استعمال منوال تعريف موثوق به يضمن صلة االمضاء في استعمال منوال تعريف موثوق به يضمن صلة االمضاء من 453 : الفصل المذكور بالوثيقة االلكترونية المرتبطة به“المذكور بالوثيقة االلكترونية المرتبطة به“

57بمقتضى القانون عدد وقع اتمامه مجلة االلتزامات والعقود الذي،2000 جوان 13 المؤرخ في 2000لسنة

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

44

Créée par la loi n°2000-83 du 9 Août 2000

Missions : – La signature et le cryptage des messages électroniques. – La sécurisation des transactions et des échanges

électroniques. – La fourniture des clés pour les Réseaux Privés Virtuels (VPNs). – L'homologation des systèmes de cryptage. – La sécurisation des échanges effectués par les entreprises. – L'analyse des risques pour une entreprise. – Les services d'horodatage.

L'Agence Nationale de Certification Électronique (ANCE)

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

45

Loi concernant les délits Loi concernant les délits informatiquesinformatiques

• Lois tunisiennes : loi n° 99-89 du 2 août 1999, modifiant et complétant certaines dispositions du code pénal. Articles : 199 bis et 199 ter

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

46

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

47

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

48

•loi 2003-75 du 10/12/2003 relative aux soutiens internationaux de lutte contre le terrorisme et à la répression du blanchissement de l'argent

Loi concernant le Cyber Loi concernant le Cyber terrorismeterrorisme

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

49

Merci de votre attentionMerci de votre attention

50

عدد • األول الوزير السيد ، 2007أفريل 11بتاريخ 19/2007منشورالعمومية بالهياكل المعلوماتية السالمة إجراءات تدعيم :حول

المعلوماتية، – السالمة عن مسؤولالمعلوماتية، – بالسالمة مختصة فنية خلية–. متابعة هيئة

األول منشور • الوزير التابعة   2004-22عدد السيد المقرات تامين حول

الحرائق خطر من العمومية والمنشآت والمؤسسات للدولةعدد • األول الوزير السيد المتعلق 19/2003منشور إجراءات  ، حول

و المحلية الجماعات و للوزارات التابعة بالبناءات الوقاية و السالمةالعمومية المنشآت و المؤسسات

عدد • األول الوزير السيد 2006ديسمبر 22بتاريخ 41/2006منشور

اإلداري السير بتنظيم المتعلق

ترتيبية ترتيبية نصوص نصوص

Le

s L

ois

Tu

nis

ien

nes

Le

s L

ois

Tu

nis

ien

nes

51

د إلى كامل أو جزء من نظام 1 - جريمة النفاذ المجر�

البرمجيات والبيانات المعلوماتية

استعمل المشرع التونسي عبارتي:

: مراعاة الطبيعة الالمادي̈ة للعالم اإلفتراضي،النفاذالنفاذ-

: أي أنه توجد وضعيات يكون فيها النفاذ شرعيا،غير شرعي̈ةغير شرعي̈ة-

النفاذ إلى موقع إلكتروني على صفحات الواب بإعتباره مفتوح للعموم وبالتالي مثال :

يجوز النفاذ إليه.

هل أن� جريمة النفاذ الغير الشرعي تقوم إذا لم يقع خرق أي

نظام حمائي؟

لم يشترط المشرع أن يكون النظام المعلوماتي الواقع النفاذ إليه

م النفاذ الغير الشرعي، بل محمي�ا حتى بالنسبة للنظام جر�

المعلوماتية الغير المح̈صنة بنظام حمائي، وعليه يمكن قيام جريمة النفاذ

ولم يقع اختراق أي نظام حمائي.

هل تعد� جريمة النفاذ الغير الشرعي قائمة حتى ولم يقصد

الشخص ذلك؟

لم يوضح المشرع التونسي ضمنيا هذا الجانب، ولكن إذا أراد أن يجعل

من تلك الجريمة جريمة قصدية، الستعمل عبارة "كل من تع̈مد" كما في

مكرر”، بما نميل معه للقول بأن̈ه 199الفقرة الثالثة من ذات الفصل "

.إن نتج النفاذ عن خطأ فإن الجريمة تبقى قائمةإن نتج النفاذ عن خطأ فإن الجريمة تبقى قائمةحتى

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

52

- جريمة االستقرار المجرد بكامل أو بجزء من نظام 2

البرماجيات المعلوماتية :

وال جرائم الخطرتندرج جريمتي اإلستقرار الكلي أو الجزئي ضمن

يدخالن في خانة جرائم ال̈ضرر (حمل سالح بدون رخصة، السياقة تحت

تسمح للمخالف باإلطالع على <تأثير حالة كحولي̈ة، بعض جرائم البيئة)==

انتهاكا لحرمة تلك البيانات والمحتوى المعلوماتي، األمر الذي يشكل

، كما أن إطالع الشخص على المعلومات األشخاص والمؤسسات

والبيانات الموجودة بالنظام المعلوماتي قد يستميله إلى إتيان أفعال

إجرامية تهد̈د كيان شخص طبيعي أو مؤسسة من خالل تسريب تلك

المعلومات إلى أطراف لها مصلحة في معرفتها بطرق غير شرعية.

عقوبة تتراوح بين شهرين وعام سجن وخطية قدرها >==

ألف دينار أو بإحدى هاتين العقوبتين.

تثير عبارة "االستقرار" صعوبة فيما يتصل بتحديد مدلولهامالحظة :

- جرائم النفاذ أو اإلستقرار غير الشرعيين المنتجين 3

ألثر بنظام معلوماتي مكرر من المجلة الجزائية أنه إذا 199إقتضت الفقرة الثانية من الفصل

نتج عن النفاذ أو اإلستقرار غير الشرعيين بكامل أو بجزء من نظام الموجودة بالنظام تدمير البيانات أو إفسادالبرمجيات والبيانات المعلوماتية

ترفع العقوبة إلى عامين سجن والخطية إلى ألفي >== المذكور .دينار

: لم يوضح المشرع التونسي المقصود من عبارتي ”التدمير واإلفساد“ مالحظة والفرق بين كليهما.

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

53

د إفساد أو تدمير سير نظام معالجة 4 - جريمة تعم�معلوماتية

مكرر من المجلة الجزائية على أنه يعاقب 199ن̈صت الفقرة الثالثة من الفصل بالسجن مدة ثالثة أعوام وبخطية قدرها ثالثة آالف دينار كل >==

د إفساد أو تدمير سير نظام معالجة معلوماتية. من يتعم� العقوبة المق̈ررة لهذه الجريمة أشد، والسبب في ذلك هو : •

أن فعل اإلفساد أو التدمير هنا يستهدف سير النظام المعلوماتي،• ال يمكن اقتراف هذه الجرائم إال من قبل أشخاص لهم دراية فنية ال •

يستهان بها في مجال اإلعالمية لذلك جعل المشرع منها جريمة قصدية بدليل إستعماله لعبارة "كل من يتع̈مد".

- جريمة إدخال بيانات بنظام معالجة معلوماتية بصفة 5غير شرعية

مكرر من المجلة الجزائية على أن 199نصت الفقرة الرابعة من الفصل بالسجن مدة ثالثة أعوم وبخطية قدرها خمسة آالف >== يعاقب

دينار كل من يدخل بصفة غير شرعية بيانات بنظام معالجة التي تحتوي عليها البرنامج أو من شأنها إفساد البياناتمن شأنها إفساد البياناتمعلوماتية

طريقة تحليلها أو تحويلها.جريمة ترتكب عادة من قبل أشخاص لهم درجة عالية من المعارف والمهارات •

في مجال تقنيات اإلعالمية وفي معظم األحيان يقومون باقترافها بمناسبة مضاعفة العقوبة إذا لذلك ن̈ص المشرع على >== مباشرتهم لوظائفهم

ارتكبت الفعلة المذكورة من طر ف شخص بمناسبة مباشرته .لنشاطه المهني

مكرر تساؤال حول ما إذا 199 تثير صياغة الفقرة الرابعة من الفصل مالحظة :كان فعل إدخال بيانات بنظام معالجة معلوماتية كافيا لذاته لقيام الجريمة، أم ال بد̈

أن ينتج عن عملية اإلدخال إفساد البيانات التي يحتوي عليها البرنامج أو طريقة تحليلها أو تحويلها؟ ويمكن فهم من صياغة الفقرة أن الجريمة تقوم بمج̈رد إحتمال

اإلفساد للقول بوجود تلك الجريمة.

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes

54

- جريمة إدخال تغيير على محتوى وثائق معلوماتية أو 6إلكترونية أصلها صحيح:

"يعاقب >== ثالثا من المجلة الجزائية على أنه 199نص الفصل بالسجن مدة عامين وبخطية قدرها ألف دينار كل من يدخل

تغييرات بأي شكل كان على محتوى وثائق معلوماتية أو ضاعف ". وشريطة حصول ضرر للغيرإلكترونية أصلها صحيح

في الفقرة الثالثة في صورة ارتكاب تلك الجريمة العقوبةمن طرف موظف عمومي أو شبهه.

ج̈رم المشرع التونسي من خالل هذا الفصل عملية تدليس الوثيقة : مالحظة اإللكترونية

Les

Lo

is T

un

isie

nn

esL

es L

ois

Tu

nis

ien

nes