La Côte d'Ivoire se dote de nouveaux textes pour une meilleure sécurisation des systèmes d'information

L’audit de la sécurité des systèmes d’information en Côte d’Ivoire est régi par l’article 50 de la loi N°2013-546 du 30 Juillet 2013 relative aux transactions électroniques.

Plusieurs décrets ont été pris à cet effet :

- N°2021-915 du 22 décembre 2021 portant adoption de la Politique de Sécurité des Systèmes d’Information de l’Administration Publique (PSSI)

- N°2021-916 du 22 décembre 2021 Annexe 1 portant adoption du Référentiel Général de Sécurité des Systèmes d’Information (RGSSI)

- N°2021-916 du 22 décembre 2021 Annexe 2 portant adoption du Plan de Protection des Infrastructures Critiques (PPIC)

- N°2021-917 du 22 décembre 2021 définissant les procédures d’audit, de contrôle et de certification des systèmes d’information

- N°2021-918 du 22 décembre 2021 instituant un département en charge des systèmes d'information au sein des ministères

Les organismes concernés par l'audit obligatoire périodique de sécurité sont :

• Les systèmes d’informations de l’Administration et des organismes relevant du secteur public ;
• Les systèmes d’information des organismes et entreprises relevant du secteur privé et se trouvant sur le territoire national, notamment :

- Les entreprises de Télécommunications/TIC ;
- Les fournisseurs de services de télécommunications et d’internet ;
- Les entreprises dont les systèmes d’information sont connectés à travers des réseaux publics de télécommunications ;
- Les entreprises qui procèdent au traitement automatisé des données à caractère personnel de leurs clients dans le cadre de la fourniture de leurs services ;
- Les entreprises exerçant des activités de transactions électroniques ;
- Les prestataires de services agréées par l’autorité compétente ;
- Les prestataires de services d’archivages électroniques ou de conservation.

Les seules personnes habilitées à effectuer ces missions d'audit sont les auditeurs certifiés par l’ARTCI et ce, conformément au décret N°2021-917 du 22 décembre 2021 définissant les procédures d’audit, de contrôle et de certification des systèmes d’information.

Les Personnes morales habilitées à réaliser les missions d’audit de sécurité sont les Prestataires d’Audit de sécurité des Systèmes d’Information (PASSI).

Les conditions et les procédures d’agrément des PASSI ainsi que la certification des experts auditeurs sont fixés par décision de l’ARTCI.

L’ARTCI met à la disposition des Administrations publics, une Politique de Sécurité des Systèmes d’Information de l’Administration Publique (PSSI) auxquelles sont soumises conformément au décret N°2021-915 du 22 décembre 2021 portant adoption de la Politique de Sécurité des Systèmes d’Information de l’Administration Publique (PSSI).

Cette politique énumère les principes de base liés au choix d'éléments de confiance pour construire les systèmes d'information, sur la gouvernance de la sécurité et sur la sensibilisation des acteurs. Par ailleurs, elle stipule que les organisations sont appelées à mettre en place un ensemble de mesures de sécurité pour renforcer le niveau de la sécurité de leurs systèmes d’information, en particulier :

- la création d’un comité de pilotage,
- la création d’une cellule opérationnelle de sécurité,
- la nomination d'un Responsable de la Sécurité des Systèmes d'Information RSSI.

Conformément l’Annexe 2 au décret N°2021-916 du 22 décembre 2021 portant adoption du Référentiel Général de Sécurité des Systèmes d’Information et du Plan de Protection des Infrastructures Critiques (PPIC), celui-ci comprend l’ensemble des activités visant à prévenir, à atténuer ou à neutraliser le risque d'une réduction ou d'une discontinuité de la disponibilité des services indispensables à la sauvegarde des intérêts vitaux ou des besoins essentiels de tout ou partie du pays.

Le PPIC décrit les (3) principes fondateurs à savoir : (1) approche globale de gestions des risques, (2) régulation à responsabilité partagée des acteurs, (3) partenariat public-privé.