Cybersécurité : L’Autorité nationale de régulation de l’électricité renforce son système d’information

L’ANRE prévoit de lancer une prestation d’assistance technique visant à renforcer la sécurité de son système d’information.

Sécurité des données  : L’Autorité nationale de régulation de l’électricité ( ANRE) a lancé un appel d’offres pour la mise en œuvre d’un audit de sécurité de son système d’information. Cette prestation vise la mise en conformité de l’Autorité avec la directive nationale de la sécurité des systèmes d’information ainsi qu’avec la loi 05-20 relative à la cubersécurité.

Dans un contexte de plus en plus numérisé, la sécurité des données constitue un enjeu stratégique majeur. L’évolution rapide des technologies, combinée à un environnement réglementaire en constante évolution, rend la gestion des risques numériques particulièrement complexe. Dans ce contexte, l ’Autorité nationale de régulation de l’électricité (ANRE) a décidé d’intégrer pleinement la maîtrise des risques technologiques dans sa stratégie globale. Celle-ci prévoit de lancer une prestation d’assistance technique visant à renforcer la sécurité de son système d’information.

Cette initiative a pour objectif de mener un audit et d’assurer la mise en conformité avec la directive nationale de la sécurité des systèmes d’information (DNSSI) et la loi 05-20 sur la cybersécurité. Elle comprend également la mise en place d’un Système de management de la sécurité de l’information (SMSI) aligné aux orientations nationales. L’objectif final est d’établir un cadre robuste garantissant la protection des informations au sein de l’ANRE. A noter que l’ouverture des plis est prévue le jeudi 31 juillet au siège de l’ANRE. Ce marché est conclu pour une durée de 8 mois. Ainsi, le prestataire doit assister l’ANRE pour se conformer à la DNSSI et la loi 05.20 et contribuer à l’amélioration continue du niveau de sa conformité dans l’objectif de sécuriser le système d’information de l’ANRE ; de développer son image de marque vis-à-vis de ses partenaires ; garantir la conformité légale et réglementaire en termes de sécurité du système d’information ; définir une gouvernance adaptée en matière de sécurité du système d’information. Le prestataire devra également identifier, maîtriser et contrôler les risques relatifs à la sécurité du système d’information et assurer la conformité à la loi 05-20 et à la DNSSI.

Les missions du prestataire se dérouleront en quatre phases, à savoir : le cadrage du projet; le diagnostic et audit de l’existant par rapport aux exigences de la DNSSI et la loi 05-20 ; l’analyse des écarts, la classification des risques et établissement du plan d’action et pour terminer l’accompagnement et l’assistance à la mise en conformité par rapport à la loi n 05-20 et DNSSI. Ainsi dans le cadre de la première phase, le prestataire devra réaliser les éléments du cadrage nécessaires pour préparer le projet. La deuxième phase consistera à réaliser un état des lieux complet et objectif du niveau maturité actuel conformément aux dispositions de la loi 05-20 relative à la cybersécurité et aux dispositions de la DNSSI V2. Cette phase permettra d’évaluer les éléments techniques, organisationnels, environnementaux… nécessaires pour renforcer le niveau de sécurité du système d’information en conformité avec les référentiels précédemment cités. Dans le cadre de la troisième phase, à travers les audits qui ont été réalisés, le titulaire devra analyser et évaluer l’existant opérationnel et en cours de mise en place des différentes composantes du système d’information. Cette phase consiste aussi à identifier les processus conformes, ceux qui nécessitent une amélioration ainsi que ceux non existants et qu’il faudra définir et déployer. Le soumissionnaire proposera suite à ce diagnostic une synthèse détaillée de l’état de l’existant en matière de conformité et la gestion de la sécurité de l’information sous la forme d’un rapport d’analyse des écarts précisant les constats identifiés. Le soumissionnaire est tenu de préciser le taux de conformité de l’ANRE avec la DNSSI V2.

Suite à cette analyse, le prestataire formulera des recommandations ainsi qu’un plan des actions d’amélioration. Dans le cadre de la 4ème phase, le prestataire devra établir pour le compte de l’ANRE les cahiers des prescriptions spéciales et les règlements des consultations des projets identifiés dans le plan d’action arrêté dans la phase 3. Au cours de l’exécution de ce marché, des ateliers de restitution seront organisés de manière périodique en vue de présenter l’état d’avancement des travaux et de valider les résultats et recommandations.