Certification des personnes physiques

Dépôt de la demande

La personne désirant exercer l’activité d'audit dans le domaine de la sécurité informatique doit télécharger le cahier des charges du site web officiel ( Cliquez ici pour télécharger le cahier des charges .) Toute personne désirant exercer l’activité d'audit dans le domaine de la sécurité informatique doit déposer, au bureau d’ordre central de l'ANSI, deux exemplaires du présent cahier des charges dûment signés et paraphés dans toutes les pages.

Délais de traitement

L'agence nationale de la sécurité informatique fournit une copie paraphée du cahier des charges, dans un délai d’un jour ouvrable , à l’auditeur dans le domaine de la sécurité informatique, après vérification des renseignements déclarés par rapport aux conditions requises dans le cahier des charges.
En cas de non-conformité des renseignements déclarés par rapport au cahier des charges, l'agence nationale de la sécurité informatique donne au demandeur concerné un délai supplémentaire de 15 jours de la date de sa notification par voie électronique ou par tout moyen laissant une trace écrite pour régulariser sa situation. Au-delà de ce délai, il doit déposer une nouvelle demande du cahier des charges et respecter ces conditions. L'Agence émet nécessairement, dans un délai ne dépassant pas dix (10) jours ouvrables de la date du dépôt du nouveau cahier des charges, une réponse au demandeur concerné.

1 - Conditions administratives

Toute personne physique désirant exercer l’activité d’audit dans le domaine de la sécurité informatique doit remplir les conditions suivantes :

  • Être de nationalité tunisienne et jouir de ses droits civils.
  • La carte d’identification fiscale doit mentionner l’audit de la sécurité des systèmes d’information et des réseaux comme activité principale.
  • Être titulaire d’une licence en informatique ou en télécommunications ou d’un diplôme équivalent.
  • Être détenteur d’un certificat professionnel dans le domaine de la sécurité informatique reconnu par l'agence nationale de la sécurité informatique.
  • Avoir une expérience professionnelle minimale de (3) années dans le domaine de la sécurité informatique.
  • Être affiliés à la caisse nationale de sécurité sociale.

2 - Conditions techniques

Les moyens techniques et matériels minimums nécessaires pour exercer l’activité d'audit dans le domaine de la sécurité informatique sont fixés comme suit :

  • Détenir un manuel de procédures organisationnelles et techniques permettant d’assurer la qualité de l'audit et de protéger les informations et données qui seront récupérées et traitées et ce, contre les risques de dommages, de modifications ou autres pouvant survenir.
  • Utiliser les outils adoptés par l'agence nationale de la sécurité informatique pour mener les missions d’audit.

Documents demandés

Toute personne physique doit fournir les documents suivants :

  • Deux copies du présent cahier des charges signées par le représentant légal de la personne morale.
  • Demande d’exercice de l’activité d’audit dans le domaine de la sécurité informatique (télécharger le formulaire).
  • Une copie de la carte d’adhésion à la caisse nationale de la sécurité sociale.
  • Une copie de la carte d'identité nationale.
  • Le bulletin N°3 datant de moins de trois mois.
  • Une copie du diplôme universitaire prouvant le niveau scientifique requis.
  • Une copie des certificats professionnels dans le domaine de la sécurité informatique reconnus par l'agence nationale de la sécurité informatique.
  • Une clé publique issue d’une autorité de certification électronique de confiance.
  • Une copie de la carte d’identification fiscale.
  • Les documents justifiant l'expérience professionnelle minimale de (3) années dans le domaine de la sécurité informatique. Chaque attestation d'expérience doit être accompagnée de ce formulaire dûment rempli ainsi que toute preuve d’exécution des projets de sécurité réalisés (attestation de la bonne exécution, PVs, …). 
  • Une copie du manuel de procédures organisationnelles et techniques pour assurer la qualité de l'audit et pour protéger les données reçues et traitées contre le risque de dommages, de modifications ou d'autres risques pouvant survenir.
  • Liste des outils utilisés pour mener des missions d’audit selon le modèle de présentation des outils d’audit utilisés (télécharger le modèle).

L'expert auditeur désirant se spécialiser dans l’un des domaines, doit fournir, en sus, les documents suivants :

    • Une copie du/des certificat(s) professionnel(s) dans le domaine de la sécurité informatique reconnu(s) par l'agence nationale de la sécurité informatique, et ce, selon la spécialité demandée.
    • Les documents justifiant l'expérience professionnelle minimale de (3) années dans le domaine de la sécurité informatique. Chaque attestation d'expérience doit être accompagnée de ce formulaire dûment rempli ainsi que toute preuve d’exécution des projets de sécurité réalisés (attestation de la bonne exécution, PVs, …).

Obligations de l'expert auditeur

L'expert auditeur doit se conformer dans l’exercice d’activité aux obligations suivantes :

  • Respecter le code d’éthique publié sur le site web officiel de l'agence.
  • Réaliser ses missions conformément au référentiel d'audit relatif aux spécifications et exigences techniques adoptées et approuvées par décision du directeur général de l'agence.
  • Respecter le modèle du rapport d'audit mis à la disposition des experts auditeurs, publié au site web officiel de l'agence et approuvé par décision du directeur général.
  • Respecter les délais contractuels convenus.
  • Garantir l’intégrité des données de référence et la qualité d'audit.
  • La conservation des documents et données, imprimés ou numériques, qui lui ont été confiés au cours de ses missions d’audit.
  • Signature et paraphe de ses travaux tout en mentionnant son identité et ses coordonnées électroniques et postales.
  • Œuvrer à l’encadrement de ses employés et ses stagiaires afin de leur permettre d’acquérir l’expérience nécessaire.
  • L'expert auditeur doit assurer la veille technologique sur la base du minimum d’activités effectuées pendant les trois années à compter de la date du début de son activité, à savoir :
    • Assurer une session de formation dans le domaine de la sécurité informatique pendant au moins trois jours ou bien suivre une formation reconnue par l'agence.
    • Encadrer au moins un stagiaire pendant, au minimum, trois mois dans l’exercice d’activité d’audit dans le domaine de la sécurité informatique.

Communication avec l'ANSI

L’expert auditeur doit communiquer, par voie électronique à l’agence, son rapport d’activités annuel. L’expert auditeur, personne morale, doit rajouter à son rapport annuel une déclaration trimestrielle des salaires et des salariés déclarés auprès de la caisse nationale de sécurité sociale.
L’expert auditeur doit, par voie électronique, toutes les (3) années , communiquer à l’agence les documents prouvant ses activités de veille technologique, et ce, conformément aux activités minimales citées à l’article 14.

Changements sur les conditions d’exercice de l’activité d’expert auditeur

L’expert auditeur doit informer, par voie électronique, l'agence de tout changement survenu aux conditions initiales d’exercice de l’activité, au plus tard, un mois de la date du changement.
L'expert auditeur ne répondant plus aux conditions d’exercice d’activité est tenu de régulariser sa situation dans un délai fixé par l’agence, et ce, en ne dépassant pas trois (03) mois à compter de la date de sa notification par voie électronique ou par tout moyen laissant trace écrite.
L’agence nationale de la sécurité informatique s’engage, dans le cadre de ses missions, de suivre l’activité des experts auditeurs et ce, en publiant, sur son site web officiel, la liste actualisée des experts exerçant l’activité d’audit dans le domaine de la sécurité informatique sont-ils, soit personnes physiques ou morales.

Contrôle des infractions

Les services concernés de l’ANSI, sont tenus par le contrôle de l’activité de l’expert auditeur et par la consultation, à la demande, des documents relatifs à ses transactions et à l’exercice de son activité ainsi qu’aux documents correspondants à ses moyens humains et matériels et la vérification, une fois toute les 3 années et chaque fois nécessaire.
A cet effet, l'expert auditeur, est tenu de répondre aux demandes desdits documents et faciliter les travaux d’inspection et contrôle des services de l’agence menés sur terrain, le cas échéant.

Sanctions

Le directeur général de l’ANSI, dans le cadre de ses prérogatives, peut adresser à l’expert auditeur un préavis en cas de violation des taches à exécuter ou ne pas fournir les conditions exigées au cahier des charges.
Le directeur général de l’agence peut, après recours à l’avis de la commission d'éthique crée auprès de l’agence, infliger des sanctions aux experts qui ont enfreint aux conditions du présent cahier des charges comme suit :

  • Avertir l’expert auditeur, par lettre recommandée avec accusé de réception, ou par voie électronique ou par tout autres moyens laissant une trace écrite, pour lever ces infractions dans les délais fixés par l’agence : mettre fin aux pratiques illégales ou lever des violations objet d’un préavis.
  • La suspension temporaire de l’activité, pour une durée maximale de 6 mois, si l’expert auditeur ne se conforme pas dans les délais spécifiés à l’avertissement adresser.

L’expert auditeur, objet de suspension temporaire de l’activité, doit informer ses clients et suspendre les missions engagées jusqu’à régularisation de sa situation.
La suspension définitive de l’activité par décision motivée dans les cas suivant :

  • La non régularisation, pendant la durée de la suspension temporaire de l’activité, des infractions constatées.
  • La répétition d’une pratique sujette d’une suspension temporaire de l’activité.
  • La participation, en quelque manière que ce soit, aux appels d’offres, aux consultations et aux négociations pendant la période de suspension temporaire de l’activité.