All items copied to clipboard!
Visibilité : Publique   Privée
Ajouter une note
Partager l'article

logo
Legal acts Organisation Public services EN FR
Décret n° 2012/1643/PM du 14 juin 2012 fixant les conditions et les modalités d’audit de sécurité obligatoire des réseaux de communications électroniques et des systèmes d’information
LE PREMIER MINISTRE, CHEF DU GOUVERNEMENT,
Mindful  la Constitution ;

Mindful  la loi n° 98/013 du 14 juillet 1998 relative à la concurrence ;

Mindful  la loi n° 2010/012 du 21 décembre 2010 relative à la cybersécurité et à la cybercriminalité au Cameroun ;

Mindful  la loi n° 2010/013 du 21 décembre 2010 régissant les communications électroniques au Cameroun ;

Mindful  la loi n° 2010/021 du 21 décembre 2010 régissant le commerce électronique au Cameroun ;

Mindful  la loi-cadre n° 2011/012 du 06 mai 2011 portant protection du consommateur au Cameroun ;

Mindful  le décret n° 92/089 du 04 mai 1992 précisant les attributions du Premier Ministre, modifié et complété par le décret n° 95/145 bis du 04 août 1995 ;

Mindful  le décret n° 2005/124 du 15 avril 2005 portant organisation du Ministère des Postes et Télécommunications ;

Mindful  le décret n° 2011/408 du 09 décembre 2011 portant organisation du Gouvernement ;

Mindful  le décret n° 2011/409 du 09 décembre 2011 portant nomination d'un Premier Ministre, chef du Gouvernement ;

Mindful  le décret n° 2012/180 du 10 avril 2012 portant organisation et fonctionnement de l'Agence Nationale des Technologies de l'Information et de la Communication ;

Mindful  le décret n° 2012/203 du 20 avril 2012 portant organisation et fonctionnement de l'Agence de Régulation des Télécommunications,

DECRETE:

Chapter I
DISPOSITIONS GÉNÉRALES

Article 1er  

(1) Le présent décret fixe les conditions et les modalités d'audit de sécurité obligatoire des réseaux de communications électroniques et des systèmes d'information.
(2) Il est  pris en application des dispositions de l'article 13 alinéa 2 de la loi n° 2010/012 du 21 décembre 2010 relative à la cybersécurité et à la cybercriminalité au Cameroun.  

Article 2  

Sont soumis à l'audit de sécurité obligatoire et périodique, les réseaux et systèmes d'information notamment :
- des opérateurs de communications électroniques ouverts au public ;
- des autorités de certification électronique ;
- des entreprises interconnectées à travers les réseaux des opérateurs de communications électroniques ouverts au public ;
- des entreprises procédant au traitement automatisé des données personnelles de leurs clients dans le cadre de la fourniture des services à travers les réseaux de communications électroniques ouverts au public.

Article 3  

Les activités d'experts auditeurs de sécurité des réseaux et des systèmes d'information s'exercent librement, sous réserve de la délivrance d'un agrément d'expert auditeur.

Chapter II
DES CONDITIONS ET DES MODALITÉS D'AUDIT DE SÉCURITÉ

Section I
DES CONDITIONS D'AUDIT DE SÉCURITÉ

Article 4  

(1) Les opérations d'audit de sécurité sont effectuées par l'Agence Nationale des Technologies de l'Information et de la Communication, ci-après abrégée « l'ANTIC », ou par les experts auditeurs préalablement agréés par elle.
(2) Les frais d'audit de sécurité sont supportés par les organismes audités.  

Article 5  

(1) Les réseaux et systèmes d'information prévus à l'article 2 du présent décret font l'objet d'un audit de sécurité au moins une (01) fois tous les douze (12) mois.
(2) La périodicité visée à l'alinéa 1 ci-dessus peut être modifiée par décision du Ministre en charge des télécommunications, sur proposition de l'ANTIC.

Article 6  

(1) L'ANTIC établit annuellement un planning des audits de sécurité qu'elle communique aux organismes concernés.
(2) Tout organisme souhaitant le report de son audit de sécurité est tenu d'adresser une demande motivée à l'ANTIC trois (03) mois au moins avant l'échéance.
(3) L'ANTIC peut, lorsque les motifs invoqués lui paraissent fondés, proroger ce délai. Tout refus est motivé et notifié.

Article 7  

(1) Tout organisme public ou privé  exploitant un réseau ou  un système d'information est tenu d'informer l'ANTIC de toutes attaques, intrusions et autres perturbations susceptibles d'entraver le fonctionnement d'un autre réseau ou système d'information.
(2) L'organisme visé à l'alinéa 1 ci-dessus est tenu de se conformer aux mesures arrêtées par l'ANTIC pour mettre fin à ces perturbations.

Article 8  

Dans les cas prévus à l'article 7  ci-dessus, le Ministre en charge des télécommunications peut, sur proposition de l'ANTIC, prescrire l'isolement du réseau ou du système d'information concerné jusqu'à la cessation  des perturbations.

Section II
DE LA NATURE ET DU RAPPORT DE L'AUDIT DE SÉCURITÉ

Article 9  

L'audit de sécurité s'effectue au moyen d'une  enquête sur le terrain basée notamment sur les éléments suivants :
- les aspects organisationnels et structurels de la fonction sécurité ;
- le mode de gestion et d'utilisation des procédures de sécurité et la disponibilité des outils de sécurisation du réseau ou du système d'information ;
- l'analyse technique de la sécurité de toutes les composantes du réseau et du système d'information ;
- la réalisation du test de résistance à tous les types de risque, de pénétration, d'intrusion et d'attaque ;
- l'analyse et l'évaluation des risques qui pourraient résulter de l'exploitation des failles découvertes suite à l'opération d'audit ;
- la classification des risques selon les niveaux de gravité d'impact définis par la réglementation en vigueur.

Article 10  

(1) Lorsque l'opération d'audit est assurée par l'ANTIC, celle-ci transmet  au Ministre chargé des télécommunications le rapport d'audit. Une copie dudit rapport est transmise à l'Agence de Régulation des Télécommunications.
(2) Lorsque l'opération d'audit est réalisée par un expert auditeur, le  rapport d'audit, conforme au modèle défini par l'ANTIC, lui est transmis par le soin de cet expert. Une copie de ce rapport est transmise au Ministre en charge des télécommunications et à l'Agence de Régulation des Télécommunications par l'ANTIC.

Article 11  

(1) Le rapport visé à l'article 10 ci-dessus comprend notamment:
- la description et l'évaluation complète du dispositif de sécurité du réseau et du système d'information ;
- les mesures adoptées depuis le dernier audit réalisé et les insuffisances constatées dans l'application des recommandations ;
- l'analyse précise des insuffisances organisationnelles et techniques relatives aux procédures et outils de sécurité adoptés ;
- l'évaluation des risques qui pourraient résulter de l'exploitation des failles découvertes ;
- la proposition des procédures et des solutions organisationnelles et techniques de sécurité permettant de corriger les insuffisances constatées.

Article 12  

(1) L'ANTIC peut, après étude et analyse du rapport, demander à l'organisme audité de lui fournir des informations ou des documents complémentaires et procéder à des contrôles ou des vérifications supplémentaires.
(2) L'ANTIC avise, par tout moyen laissant trace écrite, l'organisme concerné des contrôles ou des vérifications supplémentaires visés à l'alinéa 1 ci-dessus.

Chapter III
DES CONDITIONS ET DES PROCÉDURES D'AGRÉMENT DES EXPERTS AUDITEURS

Section I
DES CONDITIONS DE DÉLIVRANCE DES AGRÉMENTS

Article 13  

Toute personne physique ou morale désirant exercer l'activité d'expert auditeur dans le domaine de sécurité des réseaux et des systèmes d'information doit disposer d'un agrément délivré par le Ministre en charge des télécommunications, dans les conditions prévues par les dispositions du présent décret.  

Article 14  

(1) La demande d'agrément d'auditeur de sécurité des réseaux et des systèmes d'information est adressée à l'ANTIC, par lettre recommandée ou tout document électronique fiable, contre accusé de réception ou par dépôt auprès de l'ANTIC, contre récépissé.
(2) La demande visée à l'alinéa 1 ci-dessus comprend les documents ci-après :
- Pour la personne physique :
-- une fiche de renseignements fournie par l'ANTIC, dûment remplie, signée par le demandeur et timbrée au tarif en vigueur ;
-- une copie certifiée conforme de la Carte Nationale d'Identité ou toute autre pièce en tenant lieu ;
-- un bulletin n°3 de casier judiciaire datant de moins de trois (03) mois ;
-- une attestation de l'inscription à l'Ordre National des Ingénieurs de Génie Electrique (ONIGE) ou dans un Ordre équivalent reconnu ;
-- une certification en sécurité des réseaux ou des systèmes d'information ;
-- un certificat d'imposition ou de non imposition.
- Pour la personne morale :
-- une fiche de renseignements fournie par l'ANTIC, dûment remplie, signée par le représentant légal du demandeur et timbrée au tarif en vigueur ;
-- une copie certifiée conforme de la Carte Nationale d'Identité du représentant légal de la personne morale ;
-- une copie des contrats de travail conclus avec les trois (03) experts auditeurs qui vont être employés et toutes les pièces requises à la personne physique ;
-- une copie de l'extrait du Registre de Commerce et du Crédit Mobilier ;
-- un dossier fiscal.
(3) En sus des pièces exigées à l'alinéa 2 ci-dessus, les personnes physiques et morales doivent justifier d'une quittance de paiement de frais de dossier dont le montant est fixé par un arrêté conjoint du Ministre en charge des finances et du Ministre en charge des télécommunications.

Article 15  

(1) Le dossier complet est déposé à l'ANTIC qui le transmet pour avis à la Commission prévue à l'article 16 ci-dessous.
(2) Lorsque l'avis de la Commission est favorable, l'ANTIC transmet le dossier assorti du projet d'agrément, ainsi que son avis motivé au Ministre en charge des télécommunications, pour signature.  
(3) En cas d'avis défavorable de la Commission, l'ANTIC notifie le refus motivé au demandeur.

Article 16  

(1) Il est créé au sein de l'ANTIC, une Commission chargée d'émettre des avis sur les demandes de délivrance d'agrément pour l'exercice de l'activité d'expert auditeur dans le domaine de la sécurité des réseaux et des systèmes d'information.
(2) Les modalités d'organisation et de fonctionnement de la Commission prévue à l'alinéa 1 ci-dessus sont fixés par un texte particulier du Ministre en charge des télécommunications.

Article 17  

(1) L'expert auditeur agréé doit suivre une formation continue organisée par l'ANTIC dans le domaine de la sécurité des réseaux et des systèmes d'information au moins une (01) fois tous les deux (02) ans.
(2) En cas de manquement à l'exigence de formation continue prévue à l'alinéa 1 ci-dessus, le Ministre en charge des télécommunications peut suspendre l'agrément, sur proposition de l'ANTIC, jusqu'à ce que l'expert régularise sa situation.
(3) Au cas où l'expert ne régularise par sa situation dans les trois (03) mois suivant la décision de suspension,  le Ministre en charge des télécommunications peut, sur proposition de l'ANTIC, prononcer le retrait de l'agrément.

Article 18  

En cas de manquement de l'expert auditeur à ses obligations professionnelles ou d'infraction aux dispositions de la législation en vigueur, le Directeur Général de l'ANTIC peut, après avis de la Commission, proposer au Ministre en charge des télécommunications, le retrait de l'agrément d'expert auditeur de sécurité concerné.

Section II
DE LA DURÉE ET DU RENOUVELLEMENT DES AGRÉMENTS

Article 19  

(1) L'agrément d'un expert auditeur de sécurité a une durée de cinq (05) ans renouvelable.
(2) Six (06) mois au moins avant l'expiration de la durée prévue à l'alinéa (1) ci-dessus, l'expert auditeur agréé adresse à l'ANTIC une demande de renouvellement de son agrément.  
(3) La demande de renouvellement obéit aux mêmes conditions de forme et de procédure prévues à l'article 14 du présent décret.

Chapter IV
DISPOSITIONS DIVERSES ET FINALES

Article 20  

Des textes particuliers du Ministre en charge des télécommunications précisent, en tant que de besoin, les modalités d'application du présent décret.

Article 21  

Le présent décret sera enregistré, publié suivant la procédure d'urgence, puis inséré au Journal Officiel en français et en anglais. /-

Powered by nga'nze content management platform Soso