Connexion
Elaboré par l'administration de la Défense nationale, le décret N° 2.21.406 portant application de la Loi 05-20 relative à la cybersécurité, publié dans le BO du 9 août 2021, vise à définir les mesures de protection des systèmes d’information des administrations de l’Etat, des établissements et entreprises publics et toute autre personne morale de droit public, ainsi que ceux des infrastructures d’importance vitale et des opérateurs privés. Il détermine également les critères de qualification des prestataires de services d’audit et des prestataires de services de cybersécurité.
Dans son premier chapitre, le texte prévoit la mise en place de deux organes de gouvernance. Il s'agit notamment de « L’Autorité nationale de la cybersécurité », à laquelle a été confiée la mise en œuvre de la stratégie de l’Etat dans le domaine de la cybersécurité. Selon le décret, l’Administration de la défense nationale (direction générale de la sécurité des systèmes d’information - DGSSI) est désignée autorité nationale de la cybersécurité. Le « Comité stratégique de la cybersécurité » se chargera, quant à lui, d’instaurer un cadre qui définit les responsabilités des membres et des mesures relatives à la gestion des crises et des modalités de communication et d’échanges des informations.
Définition des règles de sécurité des SI du secteur public
S’agissant des mesures de protection de la sécurité des systèmes d’information du secteur public, le décret confie à l’autorité gouvernementale chargée de l’administration de la défense nationale la mission de définir les orientations nationales en matière de sécurité des systèmes d’information et d’instaurer les règles organisationnelles et techniques à l’application desquelles doivent veiller les entités que sont les administrations publiques, les collectivités territoriales, les institutions et entreprises publiques, ainsi que toute personne morale soumise au droit public. En outre, ce texte définit un cadre général de classification des données et des systèmes d’information de ces entités en se basant sur l’analyse des impacts des incidents susceptibles de porter atteinte aux besoins de sécurité.
Par ailleurs, la DGSSI procède à l’élaboration des règles de sécurité devant être appliquées en tenant compte des différents niveaux de classification des systèmes d’information et données. Chaque entité ou infrastructure d’importance vitale désigne un responsable de la sécurité du système d’information, chargé principalement de définir et d’analyser les défis et dangers de la cybersécurité auxquels fait face cette entité ou infrastructure, ainsi que de définir les objectifs de la cybersécurité, la mise en place et le suivi de la politique de la sécurité de son système d’information ainsi que la présentation de rapports réguliers relatifs aux menaces y afférentes.
Application de dispositions propres aux opérateurs, aux prestataires d’audit et prestataires de service de cybersécurité
Dans le cadre de la mise en œuvre des règles et des dispositions de sécurité, appliquées aux opérateurs définies par la loi, notamment les exploitants des réseaux publics des communications, les fournisseurs des services internet, les prestataires des services de cybersécurité, les prestataires des services numériques et les éditeurs des plateformes d’internet, il est prescrit de se conformer aux orientations de l’autorité nationale, en particulier celles relatives à la conservation des données techniques nécessaires à la définition et l’analyse de tout incident de cybersécurité, ainsi que la prise de mesures de protection nécessaires pour la préservation et la neutralisation des effets des menaces ou des infractions portant atteinte aux systèmes d’information de leurs clients.
A cet effet, l’autorité nationale est qualifiée pour mettre en place des outils techniques sur les réseaux publics des communications et des réseaux des fournisseurs des services internet exclusivement en vue de détecter les événements susceptibles d’influer sur la sécurité des systèmes d’information des clients des opérateurs, des entités et des infrastructures d’importance vitale.
Par ailleurs, les systèmes d’information sensibles des infrastructures d’importance vitale sont soumis à un audit réalisé par l’autorité nationale ou les prestataires d’audit qualifiés par ladite autorité. Cet audit concerne les domaines d’organisation, d’architecture, d’élaboration, du code source, des tests d’intrusion et des systèmes industriels.
Dans ce cadre, le texte a défini les conditions de qualification des prestataires d’audit de la sécurité des systèmes d’information, les modalités de préparation des dossiers de demande de qualification et leurs dépôts auprès de la DGSSI.
Enfin, en vue de renforcer le secteur national de cybersécurité, ce décret a instauré un système de qualification des prestataires de cybersécurité dans les domaines de détection des incidents de cybersécurité, d’analyse, d’investigation et de réaction auxdits incidents. De plus, ce texte définit les conditions à remplir pour l’obtention de cette qualification, telle que la disponibilité chez le demandeur de l’expertise et de la qualification requises, et des outils lui permettant d’assurer l’exploitation et la gestion des services de détection et d’analyse des incidents de la cybersécurité.
