Émission de réglementations d'audit technique pour les signatures électroniques et les services de confiance : garantir la sécurité et renforcer la confiance dans l'espace numérique

La circulaire constitue une base juridique importante pour la normalisation des processus d'audit technique, garantissant que les systèmes et les organisations fournissant et utilisant des signatures électroniques sont conformes aux normes techniques et à la sécurité de l'information, contribuant ainsi à renforcer la confiance des personnes, des entreprises et des agences de gestion dans l'environnement des transactions numériques.

Conformément à la réglementation, la présente circulaire s'applique aux organisations et aux personnes participant ou liées aux activités d'audit technique des systèmes d'information, des processus de fourniture de services de signature électronique sécurisés, des certificats de signature électronique sécurisés, des signatures numériques, des certificats de signature numérique et d'autres services de confiance.

En particulier, les agences et organisations qui créent et utilisent des signatures électroniques sécurisées sont encouragées à réaliser proactivement des audits techniques afin d'autoévaluer la conformité et la sécurité de leurs systèmes et de leurs processus de prestation de services. Il s'agit d'une étape importante, qui témoigne de l'importance de prévenir proactivement les risques de cybersécurité plutôt que de se contenter de gérer les incidents en cas de violation.

Les prestataires de services de confiance sont tenus de réaliser des audits techniques tous les deux ans afin de garantir que les systèmes et processus de prestation de services sont maintenus dans un état sûr et stable et répondent aux exigences techniques conformément aux normes nationales.

Conformément à la circulaire, la base de l'évaluation de l'audit technique est constituée par les exigences spécifiques relatives aux systèmes d'information et aux processus de prestation de services spécifiées dans les réglementations techniques, les normes techniques et les exigences techniques applicables aux signatures électroniques, aux certificats électroniques et aux services de confiance.

Les activités d'audit technique se déroulent en deux étapes principales : l'évaluation des informations et des documents lors de la planification et l'évaluation réelle au sein de l'organisation auditée. Tous les contenus doivent être objectifs, transparents et conformes au plan et au périmètre préalablement convenus.

La durée maximale d'un audit est de 6 mois et, si nécessaire, elle peut être prolongée jusqu'à 45 jours pour la mise en œuvre des mesures correctives. À l'issue de l'audit, sur la base des résultats de l'évaluation et des mesures correctives (le cas échéant), l'organisme auditeur envisagera de délivrer un certificat accompagné d'un rapport d'audit technique à l'organisme audité. En cas de non-respect des exigences, l'organisme auditeur devra en informer l'organisme par écrit, en précisant les motifs et en joignant le rapport d'audit technique.

La circulaire détaille également le contenu obligatoire du rapport d'audit technique, notamment : les informations générales sur l'audit, le délai de mise en œuvre, la méthode d'évaluation, les résultats de l'analyse des risques de sécurité de l'information, les résultats des tests du système, les recommandations techniques et la base des décisions de certification.

Les prestataires de services de confiance doivent envoyer des rapports d'audit technique au ministère de la Science et de la Technologie , par l'intermédiaire du Centre national d'authentification électronique (NEAC), point focal de synthèse, de suivi et de service des travaux de gestion de l'État.

Des rapports réguliers permettent non seulement d’évaluer l’état opérationnel des prestataires de services de confiance, mais créent également une base de données unifiée pour l’élaboration des politiques, la gestion des risques et aident les agences d’État à améliorer la qualité et la sécurité de l’infrastructure nationale des transactions numériques.

La circulaire stipule que les organismes d'audit technique sont responsables de l'exercice de leurs droits et obligations conformément aux dispositions de la loi sur les normes et réglementations techniques ; de garantir l'indépendance, l'objectivité et le plein respect des procédures d'audit technique conformément à la réglementation sur la qualité des produits et des marchandises et la sécurité des informations du réseau.

Le Comité national des normes, de la métrologie et de la qualité relevant du ministère des Sciences et de la Technologie est le point focal pour recevoir et évaluer les dossiers d'enregistrement pour la désignation des organismes d'audit technique et les soumettre au ministre des Sciences et de la Technologie pour décision de désigner des organismes qualifiés conformément à la loi sur les normes et la qualité.

Parallèlement, le Centre national d'authentification électronique est chargé de recevoir et de synthétiser les rapports d'audit technique des organisations auditées, et de rendre compte périodiquement au ministre des Sciences et de la Technologie pour servir la gestion de l'État dans la fourniture de services fiables.

La publication de la circulaire sur l’audit technique des signatures électroniques et des services de confiance est considérée comme une étape importante dans l’achèvement du corridor juridique national sur la sécurité de l’information, l’authentification électronique et la transformation numérique.

La circulaire contribue à normaliser le système d’évaluation indépendant, à renforcer le contrôle des risques, à améliorer l’autonomie technologique et à créer une confiance numérique pour les utilisateurs dans le processus de transaction, de signature et d’échange de données électroniques.

La circulaire entre en vigueur le 1er janvier 2026, marquant une nouvelle étape dans la gestion technique et garantissant la sécurité et la fiabilité de l'infrastructure nationale de signature électronique, vers l'objectif de construire un gouvernement numérique, une économie numérique et une société numérique sûrs, transparents et développés de manière durable.