L’audit de la sécurité des systèmes d’information en Tunisie est régi par le Décret-loi 2023-17 du 11 mars 2023 et organisé par l’arrêté du ministre des technologies de la communication et de l'économie numérique et du ministre du développement, de l’investissement et de la coopération internationale du 01 Octobre 2019, fixant le cahier des charges relatif à l'exercice de l’activité d’audit dans le domaine de la sécurité informatique. Les critères techniques d'audit et les modalités de suivi de la mise en œuvre des recommandations contenues dans le rapport d'audit sont fixés par arrêté du ministre des technologies de la communication.
L'obligation de l’audit concerne :
- Les systèmes informatiques et les réseaux relevant des organismes publics,
- Les opérateurs de réseaux publics de télécommunications et les fournisseurs des services de télécommunications et d'internet,
- Les entreprises dont les réseaux informatiques sont interconnectées à travers des réseaux de télécommunications,
- Les fournisseurs des services d’hébergement et d’informatique en nuages,
- Les entreprises qui procèdent au traitement automatisé des données personnelles de leurs usagers dans le cadre de la fourniture de leurs services à travers les réseaux de télécommunications,
- Les infrastructures numériques d’importance vitale.
Les seules personnes habilitées à effectuer ces missions d'audit sont les auditeurs certifiés par l'Agence Nationale de la Cybersécurité et ce, conformément à l’arrêté du ministre des technologies de la communication et de l'économie numérique et du ministre du développement, de l’investissement et de la coopération internationale du 01 Octobre 2019, fixant le cahier des charges relatif à l'exercice de l’activité d’audit dans le domaine de la sécurité informatique.
La circulaire n°24 du 05 novembre 2020 relative au renforcement des mesures de sécurité des systèmes d'information dans les établissements publics stipule entre autre la création d'un Comité de pilotage et d'une Cellule opérationnelle de sécurité ainsi que la nomination d'un Responsable de la Sécurité des Systèmes d'Information RSSI. En plus il présente l'ensemble des mesures à respecter, par ces établissements, pour la sécurité des sites web et des services en ligne.