Les attaques et les menaces cybernétiques se multiplient de plus en plus un peu partout dans le monde. Les Etats s’emploient à y faire face en se dotant de nouveaux outils technologiques et institutionnels. En Tunisie, cette problématique est à l’ordre du jour. La stratégie nationale de cyber-sécurité pour la période 2020-2025 conjugue anticipation, prévention des menaces et vulnérabilités dans le cyberespace, protection des systèmes et des données, ainsi que la promotion d’une culture numérique et citoyenne fondée sur une veille permanente et une vigilance stratégique pour tous les établissements.
Le Président de la République a souligné, récemment, lors d’une réunion restreinte avec les ministres de la Justice, de l’Intérieur, des Technologies et de la Communication et des directeurs généraux de la sûreté nationale, sur la cyber-sécurité, qui est devenue une nécessité absolue, pour faire face à toutes les menaces pouvant viser les systèmes sensibles et vitaux de l’Etat et ses institutions.
Label «sécurisé»
La Tunisie a toujours fait de la cyber-sécurité une véritable ligne de défense pour protéger ses institutions, son économie et ses citoyens mais également pour assurer la confidentialité, l’intégrité et la disponibilité des données. Elle a aussi insisté sur la menace du cyberespace et de ses données qui sont devenus une question de souveraineté nationale, appelant à fédérer les compétences et les moyens pour se protéger de ces menaces.
Le Chef de l’Etat a, dans ce sens, mis l’accent sur les moyens à mettre en avant pour contrer les cyber-crimes à travers notamment la mise en place d’une véritable ligne de défense et le renforcement de la mission de l’Agence nationale de la sécurité informatique. Dans ce contexte, un nouveau décret présidentiel sur la cyber-sécurité a été publié en mars 2023. Le texte de loi tend à organiser davantage le domaine de la cyber-sécurité en Tunisie ainsi que les missions de l’Agence nationale de la sécurité informatique (Ansi), chargée de la gouvernance du cyber-espace national.
En vertu de ce décret, les structures qui gèrent des infrastructures numériques d’importance vitale sont tenues d’utiliser des logiciels et équipements ayant le label «sécurisé», avoir leur propre centre d’hébergement principal et un centre de backup auprès d’un fournisseur de services informatiques ayant obtenu le label, et respecter les mesures et les procédures nécessaires pour assurer la continuité d’activité et protéger les bases de données sensibles dont l’atteinte à l’intégrité pourrait affecter la sécurité nationale en cas de crise cybernétique, et ce, selon un manuel de procédure approuvé par décret sur proposition du ministre chargé des Technologies de la communication.
Mise à jour de la réglementation
La cyber-menace bouleverse aujourd’hui tous les repères traditionnels de la sécurité. Des acteurs de statut et de taille très distincts sont concernés — Etats, opérateurs économiques, sociétés… Des intérêts sont en jeu, les uns économiques, d’autres politiques.
La tâche qui pèse sur les politiques publiques est de mettre sur pied un plan de protection par de nouvelles technologies et une mise à jour de la réglementation.
Les administrations publiques et les plateformes gouvernementales figurent en tête des cibles des cyber-attaques. La cyber-sécurité constitue aujourd’hui le plus grand risque pour ces entités. Selon les statistiques avancées, les cyber-attaques ont un lourd impact sur l’économie mondiale, évalué à 1.000 milliards de dollars, d’après des données de l’année 2020.
Les données démontrent par ailleurs que des cyber-attaques utilisant des logiciels malveillants ou des méthodes inédites qui ont évolué depuis l’apparition de la pandémie du Covid-19. Cette évolution est passée de 25% avant la pandémie à 35% durant cette période.
Les gouvernements sont, en effet, appelés à élaborer des plans de protection pour leurs infrastructures critiques, investir dans des technologies de sécurité appropriées, renforcer les lois sur la cybercriminalité pour couvrir une gamme de cyber-crimes, notamment l’usurpation d’identité en ligne, les attaques par déni de service, le phishing, le vol de données et les logiciels malveillants.
Il s’agit également de renforcer la collaboration régionale à travers le partage des bonnes pratiques et la promotion des capacités en matière de cyber-sécurité, d’encourager la sensibilisation des citoyens et des entreprises aux risques liés à la cyber-sécurité, afin qu’ils puissent mieux se protéger contre les cyber-attaques qui peuvent compromettre la paix, la sécurité et le développement, et de mettre en place des réglementations appropriées pour régir l’utilisation de l’espace cybernétique.