1 - C’est quoi l’Audit de Sécurité d’un système d’information ?

La loi n°2010/012 du 21 décembre 2010 relative à la Cybersécurité et à la Cybercriminalité au Cameroun définit l’audit de sécurité comme un examen méthodique des composantes et des acteurs de la sécurité, de la politique, des mesures, des solutions, des procédures et des moyens mis en oeuvre par une organisation, pour sécuriser son environnement et effectuer des contrôles de conformité de son système d’information.

2 - Quel est le Cadre Juridique qui régit cette activité ?

L’activité d’audit de sécurité est régie par les textes ci-après :

• Loi N°2010/012 relative à la cybersécurité et à la cybercriminalité au Cameroun qui fixe le cadre légal de l’activité d’audit de sécurité en ses articles 7, 13, 14, 32 et 61 ;
• Décret N°2012/1643/PM du 14 juin 2012 fixant les conditions et les modalités d’audit obligatoire des réseaux de communications électroniques et des systèmes d’information;
• Décret N^o2019/150 du 22 mars 2019 portant organisation et fonctionnement de l’Agence Nationale des Technologies de l’Information et de la Communication ;
• Arrêté conjoint N°00000013/MINPOSTEL/MINFI du 10 mai 2013 fixant les montants et les modalités de paiement des frais perçus par l’ANTIC ;
• Décision N°00000094/MINPOSTEL du 30 mai 2013 fixant les frais d’audit de sécurité des réseaux de communications électroniques et des systèmes d’information ;
• Décision N°00000122/MINPOSTEL du 27 juin 2013 fixant les modalités d’organisation et de fonctionnement de la Commission chargée d’émettre des avis sur les demandes d’agrément pour l’exercice de l’activité d’expert auditeur dans le domaine de la sécurité des réseaux de communications électroniques et des systèmes d’information.

3 - Pourquoi faut-il auditer ?

Les objectifs majeurs d’une mission d’audit sont :

• Assurer la conformité des systèmes d’information aux standards de sécurité définis ;
• Déterminer et évaluer les risques et les failles de sécurité ;
• Déterminer les origines et les causes d’un incident ;
• Prodiguer des recommandations pour remédier aux failles de sécurité décelées.

4 - Qu’est-ce qu’il faut auditer ?

Les systèmes d’information (SI) et les réseaux de communication électronique des administrations publiques, des prestataires de services de communications électroniques tels que les fournisseurs d’accès Internet et les opérateurs de téléphonie, et plus généralement, les SI traitant ou stockant des données à caractère personnel ou relatives aux personnes autres que les employés des entités responsables de ces systèmes d’information. 

On distingue dans ce cadre, cinq (05) catégories de Structures à auditer:

• Les Administrations Publiques ;
• Les Etablissements Publics Administratifs et Entreprises à capital public ;
• Les Opérateurs de Télécommunications et les Fournisseurs d’Accès Internet ;
• Les Etablissements de Crédits et de microfinance ;
• Les compagnies d’Assurance.

Cependant, il est à noter que les applications spécifiques utilisées en matière de défense et de sécurité nationale sont exemptées d’audit de sécurité.

5 - Qui audite ?

Les principaux acteurs intervenant dans la réalisation des missions d’audit sont l’ANTIC et les auditeurs externes (personnes morales et/ou personnes physiques) ayant préalablement reçus un agrément délivré par le Ministère en charge des Télécommunications sur avis de l’ANTIC.

Leurs attributions sont les suivantes :

5.1 Rôle de l’ANTIC

D’après la loi N°2010/012 du 21 décembre 2010, les attributions de l’ANTIC relatives à l’audit de sécurité sont de :

• Établir annuellement un planning des audits de sécurité qu’elle communique aux organismes concernés ;
• Définir le Cahier de Charges des auditeurs ;
• Élaborer un modèle de Termes de Référence d’une opération d’audit ;
• Élaborer les référentiels d’audit ;
• Accréditer les auditeurs externes ;
• Procéder à l’audit des Administrations Publiques ;
• S’assurer de la régularité des missions d’audit des Administrations et Organismes publics ;
• Examiner la conformité des rapports des auditeurs externes suivant les procédures élaborées ;
• Fixer le délai de réalisation d’une mission d’audit et définir les sanctions en cas de non-respect du délai fixé ;
• Procéder à une vérification sur le terrain de l’effectivité d’une mission d’audit après étude du rapport fourni par un auditeur externe ;
• Fixer les conditions de rejet des rapports de mission d’audit ;
• Veiller à la mise en oeuvre par la Structure auditée des recommandations et propositions mentionnées dans le rapport d’audit.

5.2 Rôle des auditeurs externes

Les attributions des auditeurs externes relatives à l’audit de sécurité sont :

• Assurer l’audit des systèmes d’information des Structures qui leurs sont confiées par l’ANTIC et formuler des recommandations destinées à remédier aux failles de sécurité relevées ;
• Assurer un suivi post audit afin d’accompagner la Structure auditée dans la mise en oeuvre des solutions proposées.

6 - Quelles sont les différentes phases d’une mission d’audit ?

Une mission d’audit de sécurité se déroule généralement en quatre (04) phases :

6.1 La phase de préparation de l’audit

Elle consiste à solliciter auprès des structures à auditer tout détail, information ou document nécessaire à la réalisation de la mission. Parmi ces documents on peut citer, entre autres, la politique de sécurité, l’architecture du système d’information, la charte d’utilisation du système d’information, l’organigramme, les rapports des audits précédents. 

6.2 La phase d’audit

Elle est constituée de trois volets, à savoir:

6. 2.i l’audit organisationnel et physique

Il consiste à :

• Interviewer les « employés clés » relativement aux différentes procédures en vigueur dans la structure (organigramme, charte informatique, politique de sécurité, règlement intérieur, procédure d’acquisition et de maintenance du parc informatique, procédure de configuration d’équipements et logiciels, plan de réaction en cas d’incident et post-incident, référentiel de développement d’application) ;
• Evaluer la conformité des différents documents aux procédures réellement exécutées ;
• Etudier la localité et le bâtiment abritant la structure (architecture, qualité de la construction, type de porte, type de matériaux).

6.2. ii l’audit technique

Il s’agit de procéder à une analyse très fine sur le plan logique des infrastructures sécuritaires du système d’information de l’entreprise à auditer. On évaluera les éléments suivants au travers d’outils et référentiels d’audit (fiches techniques): ordinateurs, onduleurs, routeurs, IPS, HIDS, NIDS, switch, pare-feu, imprimantes, copieurs, etc.

6.2. iii l’analyse et l’évaluation des risques

Après avoir identifié les failles de sécurité organisationnelles, physiques et techniques, il s’agit de suivre une approche méthodologique pour évaluer les risques encourus et leurs impacts sur la sécurité de la structure auditée.

6.3 La phase de synthèse des recommandations

Elle débute à la fin de la phase d’audit sur le terrain et consiste à réaliser une synthèse permettant d’établir la liste des failles (classées par ordre de niveaux de gravité d’impact), évaluer les risques et élaborer une synthèse des recommandations adéquates.

6.4 La phase d’accompagnement post-audit

Cet accompagnement est réalisé par l’auditeur (ANTIC ou Auditeur agréé) et consiste à offrir optionnellement à la structure auditée, les ressources pour l’accompagner durant les trois (03) mois suivant l’audit. L’étendue de l’accompagnement peut inclure l’examen de l’efficacité des premières mesures urgentes mises en œuvre et toute autre action jugée utile par l’auditeur.

7 - Comment est facturée une mission d’audit de sécurité ?

Conformément à l’article 4 alinéa 2 du décret N°2012/1643/PM du 14 juin 2012, qui dispose que les frais d’audit de sécurité sont supportés par les organismes audités, et fixés sur la base des montants du barème officiel, du nombre d’auditeur par équipe et de la durée de la mission.