De nouveaux contrats pour les prestataires privés
Le nouveau décret du chef de gouvernement vient de fixer les conditions requises que les prestataires privés, chargés de la protection des systèmes d’information sensibles, doivent remplir.
Promis par le chef du gouvernement, le nouveau décret vient d’entrer en vigueur. La nouvelle réglementation fixe un délai de 90 jours pour l’évaluation des demandes exprimées par les opérateurs pour l’obtention de l’homologation qui ne peut excéder 3 ans, indique l’article 5 du décret qui ajoute que cette période peut être renouvelée une fois. Les nouvelles conditions imposent aux opérateurs privés d’informer l’autorité compétente «sans délai de tout changement des éléments sur la base desquels l’homologation a été donnée», selon les termes du décret du chef du gouvernement.
Pour plus de diligence, l’État pourra suspendre l’homologation pour une durée de trois mois, «avec une notification de l’opérateur en vue qu’il se conforme aux exigences prévues par la décision de suspension de l’homologation», précise l’article 7 du décret. Chaque année, les pouvoirs publics devront publier la liste des opérateurs homologués, de même que le contenu de la convention liant les deux parties devra comporter une série de mentions obligatoires, essentiellement l’émission des recommandations relatives au suivi de l’application de la convention. La sous-traitance a été aussi régulée en vertu des nouvelles dispositions, «dans un cadre contractuel et à l’issue d’une acceptation écrite», insiste l’article 10 du décret. La sous-traitance a été également permise aux opérateurs homologués pour choisir un expert.
Les modalités de la résiliation
Les nouvelles dispositions imposent d’élaborer un rapport final sur les missions des opérateurs avant de pouvoir mettre un terme à la convention qui lie l’opérateur privé avec les pouvoirs publics. Parmi les obligations exigées par la réglementation figure «la délivrance de tous les documents quel que soit leur support et de ne garder aucune copie», indique l’article 11 du décret qui oblige aussi à sauvegarder les procès verbaux des réunions ainsi que les évaluations des niveaux de maturité par rapport aux objectifs de sécurité qui ont été fixés lors de l’entame de l’audit». L’instance auditée est tenue quant à elle de notifier les résultats des rapports d’audit ainsi que les programmes d’action des recommandations qui ont été insérées dans les rapports d’audit». Pour rappel, c’est la Direction générale de la sécurité des systèmes d’information (DGSSI), rattachée à l’Administration de la défense nationale, qui reste le pivot des nouvelles mesures portant sur l’homologation. Parallèlement au développement des technologies du numérique, le grand souci est de pouvoir affronter la montée en puissance des vulnérabilités des systèmes d’information à cause de la multiplication et la diversification des activités illicites dans le cyberespace et des attaques informatiques qui ont perturbé à maintes reprises le fonctionnement des systèmes d’information et de communication de plusieurs pays.
Stratégie nationale de la cyber-sécurité
La stratégie qui a été établie en 2012 a pour objectifs de «doter nos systèmes d’information d’une capacité de défense et de résilience à même de créer un environnement de confiance et de sécurité propice au développement de la société d’information». Le plan d’action qui découle de cette stratégie dont la mise en œuvre a été confiée à la DGSSI met en avant la mise à jour de la cartographie des systèmes d’information ainsi que la planification du budget consacré à la sécurité des systèmes d’information de chaque entité. D’autres objectifs sont recherchés au niveau de l’hébergement national des données sensibles, selon les règles de protection figurant dans les obligations des opérateurs homologués.
