1

L'Agence Nationale des Technologies de l’Information et de la Communication (ANTIC) organise, du 03 au 07 Juillet 2017 au Palais polyvalent des Sports de Yaoundé, un atelier de renforcement des capacités des personnels des Administrations publiques sur les méthodes de gestion des projets TIC.

1

 

  1. Qu’est ce que...
  • une adresse IP ? : C’est un numéro d’identification unique attribué à chaque branchement d’appareil ou d’équipement connecté à un réseau de communications électroniques utilisant l’Internet Protocol (IP) ;
  • un nom de domaine ? : C’est un identificateur ayant un ensemble de propriétés permettant aux ordinateurs de faire des conversions vers des adresses IP ;
  • un bureau d’enregistrement du « .cm » ? : C’est une personne morale agréée pour exercer comme bureau d’enregistrement des noms de domaine « .cm » ;
  • un LIR (Local Internet Registry) ? : C’est une personne morale agréée pour exercer comme gestionnaire d’adresse IP.
  1. Pourquoi réguler les ressources de nommage et d’adressage ?

Les ressources d’adressage et de nommage étant une ressource essentielle dans les réseaux informatiques, réguler celles-ci revient à assurer un partage équitable pour une utilisation rationnelle et harmonieuse entre les exploitants de ces réseaux afin de préserver une concurrence saine. La régulation de ces ressources garantit en outre l’interopérabilité et le fonctionnement de l’Internet (et de ses services offerts) qui incarne un puissant levier de développement économique et social.

La régulation anticipe le besoin en ressources de l’évolution des différents réseaux et de l’entrée de nouveaux opérateurs dans le marché.

  1. Qu’est ce qu’il faut réguler ?

La régulation des ressources de nommage et d’adressage porte notamment sur :

  • La gestion des noms de domaine: les noms de domaine permettent une identification visuelle unique des services Internet disponibles sur la toile ;
  • La gestion des adresses IP: les adresses IP permettent d’identifier de façon unique et de localiser géographiquement les sources des données électroniques disponibles sur Internet ;
  • Les secteurs des Technologies de l’Information et de la Communication ;
  • Les services de communication électronique ;
  • Les coûts.
  1. Qui régule les ressources de nommage et d’adressage au Cameroun ?

Conformément à l’article 96 de la loi N°2010/012 du 21 décembre 2010 sur les communications électroniques et au décret N° 2013/0402/PM du 27 février 2013 précisant les modalités de gestion des ressources de nommage et d’adressage, le régulateur des ressources de nommage et d’adressage au Cameroun est l’Agence Nationale des Technologies de l’Information et de la Communication (ANTIC).

 

  1. Comment l’ANTIC régule-t-elle les ressources de nommage et d’adressage ?

En sa qualité de régulateur des ressources de nommage et d’adressage au Cameroun et en vue

d’enclencher véritablement le processus de régulation des ressources de nommage et d’adressage au Cameroun, l’ANTIC s’emploie pour l’heure au développement d’un ensemble d’outils régulatoires dans ce domaine, notamment : à élaborer une stratégie nationale de migration du protocole Internet IPv4 vers IPv6 en collaboration avec toutes les parties prenantes (secteur public, secteur privé et société civile). Pour ce qui est des ressources de nommage, l’ANTIC est le Registre du « .cm ».

Conformément au décret n°2013/0402/PM du 27 février 2013, l’enregistrement des noms de domaine se fait auprès des quatorze (14) bureaux d’enregistrement agréés par l’ANTIC :

 

  • MTN
  • RINGO
  • NETCOM
  • WORLD VOICE
  • ICC SOFT
  • HTT TELECOM
  • CAMTEL
  • INET
  • INFO_GENIE
  • GRID ENGINEERING
  • MATRIX TELECOM
  • MANYAKA
  • CREOLINK
  • ISERVICES

 

 

1

1 - C’est quoi l’Audit de Sécurité d’un système d’information ?

La loi n°2010/012 du 21 décembre 2010 relative à la Cybersécurité et à la Cybercriminalité au Cameroun définit l’audit de sécurité comme un examen méthodique des composantes et des acteurs de la sécurité, de la politique, des mesures, des solutions, des procédures et des moyens mis en oeuvre par une organisation, pour sécuriser son environnement et effectuer des contrôles de conformité de son système d’information.

2 - Quel est le Cadre Juridique qui régit cette activité ?

L’activité d’audit de sécurité est régie par les textes ci-après :

  • Loi N°2010/012 relative à la cybersécurité et à la cybercriminalité au Cameroun qui fixe le cadre légal de l’activité d’audit de sécurité en ses articles 7, 13, 14, 32 et 61 ;
  • Décret N°2012/1643/PM du 14 juin 2012 fixant les conditions et les modalités d’audit obligatoire des réseaux de communications électroniques et des systèmes d’information ;
  • Arrêté conjoint N°00000013/MINPOSTEL/MINFI du 10 mai 2013 fixant les montants et les modalités de paiement des frais perçus par l’ANTIC ;
  • Décision N°00000094/MINPOSTEL du 30 mai 2013 fixant les frais d’audit de sécurité des réseaux de communications électroniques et des systèmes d’information ;
  • Décision N°00000122/MINPOSTEL du 27 juin 2013 fixant les modalités d’organisation et de fonctionnement de la Commission chargée d’émettre des avis sur les demandes d’agrément pour l’exercice de l’activité d’expert auditeur dans le domaine de la sécurité des réseaux de communications électroniques et des systèmes d’information.

3 - Pourquoi faut-il auditer ?

Les objectifs majeurs d’une mission d’audit sont :

  • Assurer la conformité des systèmes d’information aux standards de sécurité définis ;
  • Déterminer et évaluer les risques et les failles de sécurité ;
  • Déterminer les origines et les causes d’un incident.

4 - Qu’est-ce qu’il faut auditer ?

Les systèmes d’information et les réseaux de communication électronique des administrations publiques, des prestataires de services de communications électroniques tels que les fournisseurs d’accès Internet et les opérateurs de téléphonie, et plus généralement, les entreprises procédant au traitement automatisé des données personnelles de leurs clients dans le cadre de la fourniture des services via les réseaux de communications électroniques ouverts au public.

On distingue dans ce cadre, quatre (04) catégories de structures à auditer:

  • Les Administrations Publiques ;
  • Les Etablissements Publics Administratifs et Entreprises à capital public ;
  • Les Opérateurs de Télécommunications et les Fournisseurs d’Accès Internet ;
  • Les Etablissements de Crédits et de micro-finances.

Cependant, il est à noter que les applications spécifiques utilisées en matière de défense et de sécurité nationale sont exemptées d’audit de sécurité.

5 - Qui audite ?

Les principaux acteurs intervenant dans la réalisation des missions d’audit sont l’ANTIC et les auditeurs externes (personnes morales et/ou personnes physiques) ayant préalablement reçus un agrément délivré par l’ANTIC.

Leurs attributions sont les suivantes :

5.1 Rôle de l’ANTIC

D’après la loi N°2010/012 du 21 décembre 2010, les attributions de l’ANTIC relatives à l’audit de sécurité sont de :

  • Établir annuellement un planning des audits de sécurité qu’elle communique aux organismes concernés ;
  • Définir le Cahier de Charges des auditeurs ;
  • Élaborer un modèle de Termes de Référence d’une opération d’audit ;
  • Élaborer les référentiels d’audit ;
  • Accréditer les auditeurs externes ;
  • Procéder à l’audit des Administrations Publiques ;
  • S’assurer de la régularité des missions d’audit des Administrations et Organismes publics ;
  • Examiner la conformité des rapports des auditeurs externes suivant les procédures élaborées ;
  • Fixer le délai de réalisation d’une mission d’audit et définir les sanctions en cas de non-respect du délai fixé ;
  • Procéder à une vérification sur le terrain de l’effectivité d’une mission d’audit après étude du rapport fourni par un auditeur externe ;
  • Fixer les conditions de rejet des rapports de mission d’audit ;
  • Veiller à la mise en oeuvre par la structure auditée des recommandations et propositions mentionnées dans le rapport d’audit.

5.2 Rôle des auditeurs externes

Les attributions des auditeurs externes relatives à l’audit de sécurité sont :

  • Assurer l’audit des systèmes d’information des structures qui leurs sont confiées par l’ANTIC et formuler des recommandations destinées à remédier aux failles de sécurité relevées ;
  • Assurer un suivi post audit afin d’accompagner la structure auditée dans la mise en oeuvre des solutions proposées.

6 - Quelles sont les différentes phases d’une mission d’audit ?

Une mission d’audit de sécurité se déroule généralement en quatre (04) phases :

6.1 La phase de préparation de l’audit

Elle consiste à solliciter auprès des structures à auditer tout détail, information ou document nécessaire à la réalisation de la mission. Parmi ces documents on peut citer, entre autres, la politique de sécurité, l’architecture du système d’information, la charte d’utilisation du système d’information, l’organigramme, les rapports des audits précédents.

 

6.2 La phase d’audit

Elle est constituée de trois volets, à savoir:

  1. 2.i l’audit organisationnel et physique

Il consiste à :

  • Interviewer les « employés clés » relativement aux différentes procédures en vigueur dans la structure (organigramme, charte informatique, politique de sécurité, règlement intérieur, procédure d’acquisition et de maintenance du parc informatique, procédure de configuration d’équipements et logiciels, plan de réaction en cas d’incident et post-incident, référentiel de développement d’application) ;
  • Evaluer la conformité des différents documents aux procédures réellement exécutées ;
  • Etudier la localité et le bâtiment abritant la structure (architecture, qualité de la construction, type de porte, type de matériaux).

6.2. ii l’audit technique

Il s’agit de procéder à une analyse très fine sur le plan logique des infrastructures sécuritaires du système d’information de l’entreprise à auditer. On évaluera les éléments suivants au travers d’outils et référentiels d’audit (fiches techniques): ordinateurs, onduleurs, routeurs, IPS, HIDS, NIDS, switch, pare-feu, imprimantes, copieurs, etc.

6.2. iii l’analyse et l’évaluation des risques

Après avoir identifié les failles de sécurité organisationnelles, physiques et techniques, il s’agit de suivre une approche méthodologique pour évaluer les risques encourus e t leurs impacts sur la sécurité de la structure auditée.

6.3 La phase de synthèse des recommandations

Elle débute à la fin de la phase d’audit sur le terrain et consiste à réaliser une synthèse permettant d’établir la liste des failles (classées par ordre de niveaux de gravité d’impact), évaluer les risques et élaborer une synthèse des recommandations adéquates.

6.4 La phase d’accompagnement post-audit

Cet accompagnement est réalisé par l’auditeur (ANTIC ou Auditeur agréé) et consiste à offrir optionnellement à la structure auditée, les ressources pour l’accompagner durant les trois (03) mois suivant l’audit. L’étendue de l’accompagnement peut inclure l’examen de l’efficacité des premières mesures urgentes mises en œuvre et toute autre action jugée utile par l’auditeur.

7 - Comment est facturée une mission d’audit de sécurité ?

Conformément à l’article 4 alinéa 2 du décret N°2012/1643/PM du 14 juin 2012, qui dispose que les frais d’audit de sécurité sont supportés par les organismes audités, et fixés sur la base des montants du barème officiel, du nombre d’auditeur par équipe et de la durée de la mission.

1

1- Qu’est ce que la veille sécuritaire ?

La veille sécuritaire est un processus continu qui consiste d’une part à s’assurer qu’un système dispose des derniers correctifs de sécurité et, d’autre part, à surveiller ledit système afin de détecter en temps réel les tentatives d’attaques et d’intrusion et d’y apporter une réaction prompte et efficace.

2- Quel est le cadre juridique qui régit cette activité ?

La loi N°2010/012 du 21 décembre 2010, en son article 7, stipule que l’ANTIC doit assurer la veille technologique et émettre des alertes et recommandations en matière de sécurité des réseaux de communications électroniques et de certification.

3- Comment l’ANTIC assure-t-elle sa mission de veille sécuritaire ?

Afin d’assurer sa mission de veille sécuritaire, l’ANTIC a mis en place un Computer Incident Response Team (CIRT) qui a deux grands types de mission:

  • Préventif: Le CIRT est chargé de prendre les dispositions pour prévenir les attaques cybernétiques ;
  • Réactif: En cas d’attaque ou d’incident, le CIRT se doit de réagir promptement afin de parer l’attaque, d’une part, et d’identifier l’attaquant, d’autre part.

4- Quelles sont les principales missions du CIRT ?

Les principales missions du CIRT sont:

4.1. Surveillance des infrastructures sensibles du cyberespace national et réaction en temps réel aux incidents

Le CIRT identifie les infrastructures sensibles du cyberespace national, puis y installe les dispositifs techniques spéciaux lui permettant d’être notifié en temps réel en cas d’incident. Une fois notifié, le CIRT apporte une réponse efficace en temps réel consistant à bloquer l’attaque, corriger la vulnérabilité utilisée, identifier et localiser l’attaquant.

4.2. Émission des bulletins et des alertes de sécurité

Dans l’optique de prévenir les attaques cybernétiques, le CIRT émet régulièrement les alertes et bulletins de sécurité où sont consignées les dernières vulnérabilités inhérentes à certains systèmes et logiciels, ainsi que les recommandations destinées à les corriger. Ces bulletins de sécurité sont destinés aux responsables informatiques et au grand public qui doivent appliquer les recommandations qui y sont formulées, afin de protéger leurs systèmes.

4.3. Sensibilisation sur la cybersécurité

L’un des facteurs importants de l’expansion de la cybercriminalité est le fait que les usagers ne sont pas suffisamment sensibilisés sur le sujet. Aussi, le CIRT s’attèle à la sensibilisation des usagers et des responsables informatiques sur la c ybersécurité. Cette sensibilisation passe par la confection des guides de bonnes pratiques (parents, enfants, entreprises), brochures, revues et autres gadgets, l’animation des émissions radio et télé, l’organisation des séminaires et des forums.

4.4. Assistance des usagers et des compagnies dans le traitement des incidents de sécurité

Le CIRT centralise et traite les demandes d’assistance liées à la cybercriminalité. A ce titre, il dispose d’un numéro de téléphone (242 099 164) et d’un email (alerts@)antic.cm) à travers lesquels les particuliers et les entreprises peuvent nous saisir pour tout incident lié à la sécurité informatique.

4.5. Élaboration des référentiels de sécurité des systèmes d’information

Afin d’éviter une gestion désorganisée de la sécurité des systèmes d’information, il est impératif de définir des référentiels pour assurer la sécurité des systèmes d’information. Ils sont destinés aux entreprises, aux administrations et même aux usagers.

4.6. Investigations afférentes à la cybercriminalité

Les lois N°2010/012 et 2010/013 du 21 décembre 2010 ont comblé le vide juridique qui existait dans le domaine de la cybercriminalité. De ce fait, les cybercriminels peuvent désormais faire l’objet de poursuites et de sanctions pénales. Dans le cadre des investigations afférentes à la cybercriminalité, les forces de l’ordre et les autorités judiciaires peuvent solliciter l’expertise technique du CIRT, notamment dans l’acquisition et l’analyse des preuves numériques. La collaboration entre le CIRT et les forces de l’ordre est prescrite par l’article 52 de la loi N°2010/012.

4.7. Suivi des statistiques afférentes à la cybercriminalité

Afin de suivre l’évolution de la cybercriminalité au Cameroun, le CIRT a conçu un système de gestion de statistiques afférentes à la cybercriminalité. Ce système permet de catégoriser les cybercrimes par type, par localisation géographique, et de suivre leur évolution dans le temps, ce qui permet au CIRT du Cameroun d’élaborer des stratégies adéquates pour lutter contre la cybercriminalité.

4.8. Collaboration avec d’autres CIRT

La cybercriminalité étant un phénomène transfrontalier, le CIRT du Cameroun se doit de collaborer avec les CIRT d’autres pays, et même avec d’autres organismes internationaux traitant des questions de cybersécurité. C’est à ce titre que le CIRT collabore avec les organismes tels que IMPACT, INTERPOL et AFRICACERT.

1

1 - Qu’est-ce que la Certification électronique ?

La certification électronique est le processus de gestion du cycle de vie des certificats électroniques. Elle concerne notamment l’émission, la publication, le renouvellement, le changement d’informations, la suspension et la révocation des certificats électroniques.

2 - Qu’est-ce qu’un Certificat électronique ?

Un certificat électronique est un fichier numérique infalsifiable, contenant les informations sur le propriétaire, l’autorité de certification l’ayant émis, l’usage que l’on peut en faire, la période de validité...

3 - Quel est le cadre juridique qui régit l’exercice des activités électroniques ou de la certification au Cameroun?

Les activités de Certification électroniques sont régies par les textes ci-après:

  • Loi N°2010/012 relative à la cybersécurité et à la cybercriminalité au Cameroun qui fixe le cadre légal général définissant le régime des activités de la certification électronique en ses articles 10, 11, 12, 13 et 14 ;
  • Décret 2012/1318/PM du 22 mai 2012 fixant les conditions et les modalités d’octroi de l’autorisation d’exercice de l’activité de certification électronique ;
  • Décret 2013/0400/PM du 27 février 2013, fixant les modalités de déclaration et

d’autorisation préalables, ainsi que les conditions d’obtention du certificat d’homologation en

vue de la fourniture, l’exportation, l’importation ou l’utilisation des moyens ou des prestations de cryptographies ;

  • Arrêté conjoint n°000 00013/minpostel/minfi du 10 mai 2013 fixant les montants et les modalités de paiement des frais perçus par l’Agence Nationale des Technologies de l’Information et de la Communication.

4 - Qu’apporte le Certificat électronique dans la sécurisation des transactions ?

Le certificat électronique apporte trois (03) éléments importants dans les transactions :

  • L’authentification forte c’est-à-dire la possibilité d’identifier de façon univoque l’auteur de la transaction ;
  • La signature électronique c’est-à-dire la possibilité de certifier les documents et envois électroniques en apposant une empreinte numérique ayant la même valeur juridique qu’une signature manuscrite;
  • Le chiffrement c’est-à-dire qu’à l’aide du certificat électronique, il nous est possible de rendre illisible un texte par tout internaute autre que le véritable destinataire.

5 - Où peut-on utiliser le Certificat électronique ?

L’on peut l’utiliser dans un système numérique préalablement sécurisé à l’aide des services d’une autorité de certification. Ces systèmes numériques en ligne sont communément appelés les e-services. Il s’agit notamment de l’e-government, l’e-commerce, l’e-banking, l’e-learning...

6 - Qui peut obtenir les certificats électroniques ?

Tous les citoyens peuvent avoir recours à l’utilisation des certificats électroniques pour assurer la sécurité de leurs communications et autres transactions en ligne, les terminaux permettant lesdites transactions peuvent également utiliser les certificats.

Ainsi, les certificats électroniques peuvent être délivrés à des personnes physiques agissant pour leur propre compte ou pour le compte d’une organisation, mais aussi à des serveurs, dans l’optique de permettre des connexions sécurisées.

7 - Qui délivre les certificats électroniques ?

Seule une autorité de certification agréée a qualité de délivrer un certificat électronique qualifié.

Pour l’instant, le secteur public camerounais est desservi par l’ANTIC qui assure le rôle d’autorité de certification de l’Administration Publique.

A l’avenir, les autorités de certification qui seront accréditées par l’ANTIC pourront certifier, elles aussi, les personnes (physiques et morales) issues du secteur privé et de la société civile. Il convient de relever que, les autorités de certifications étrangères qui seront reconnues comme telles à travers une convention de reconnaissance mutuelle signée du Ministre chargé des Télécommunications pourront également émettre des certificats électroniques valables au Cameroun.

8- Qui peut-être Autorité de Certification accréditée au Cameroun ?

La loi n° 012/2010 du 21 décembre 2010 relative à la cybersécurité et à la cybercriminalité au Cameroun a ouvert le marché de la certification électronique qui est soumis à autorisation préalable du Ministre en charge des Télécommunications.

Ainsi, toute personne morale désirant exercer cette activité doit obtenir une autorisation et remplir un certain nombre de conditions notamment financières, techniques et humaines et constituer un dossier à déposer auprès de l’ANTIC.

Pour plus de renseignements bien vouloir se rapprocher du Centre PKI situé à côté de la Poste Centrale de Yaoundé.

Vous pouvez également joindre le Centre PKI par téléphone au

242 086 497 ou par email à l’adresse Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

1

Internet c'est bien, mais prendre conscience de la cybercriminalité c'est mieux. Voici pour vous parents, enfants et jeunes, des guides à télécharger pour une utilisation sécurisée de cet outil des temps modernes

Page 7 sur 7
Top
We use cookies to improve our website. By continuing to use this website, you are giving consent to cookies being used. More details…