Logo Parlement Buxellois

Question écrite concernant la surveillance des cyber-risques par les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles

de
Emin Özkara
à
Elke Van den Brandt et Alain Maron, membres du Collège réuni en charge de l'action sociale et de la santé (question n°617)

 
Date de réception: 02/09/2022 Date de publication: 08/11/2022
Législature: 19/24 Session: 21/22 Date de réponse: 14/10/2022
 
Date Intitulé de l'acte de Référence page
22/09/2022 Recevable
 
Question   

Les conseils d'administration (CA) ont l'obligation légale de surveiller correctement les risques. Les cyber-risques (menaces, vulnérabilités et impacts) font partie des risques à surveiller! D'après la Cyber Emergency Response Team fédérale (CERT.be), la plupart des CA sont mal équipés pour faire face aux cyber-risques et les responsables de la sécurité des informations (CISO) ont des difficultés à mesurer l'efficacité de leur programme de cybersécurité.

Le CERT.be propose deux documents afin d'aider les CA et les CISO :

  • Le premier document est destiné aux CISO :

https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_ce.pdf

  • Le second document est destiné aux CA :

https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_be.pdf

Afin de compléter mon information, je souhaiterais vous poser les questions suivantes :

En ce qui concerne les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles :

  1. Les deux documents susmentionnés et proposés par le CERT.be sont-ils connus des CA et CISO ? Ces documents sont-ils utilisés pas les CA et les CISO ?

  2. Face aux nombreuses menaces et vulnérabilités ( https://threatmap.checkpoint.com/ ), quelles sont les mesures visant à atténuer les cyber-risques mises en place par les CA ? Quid de l'efficacité de ces mesures et des feedback y afférents ?

  3. A quelles fréquences les CISO signalent-ils et font-ils rapport des cyber-risques à surveiller aux CA ? Quelles sont les méthodologies privilégiées pour dégager les cyber-risques et les responsabilités ?

 

 
 
Réponse    Merci pour vos questions.

Q1
Nos administrations ne disposent pas de conseil d'administration pour l'exercice de leurs missions. Les documents du CERT susmentionnés ne sont pas connus par les personnes qui suivent la matière relative à la sécurité de l'information au sein des Services du Collège réuni.

Q2
Iriscare, étant membre du réseau de la sécurité sociale, applique une politique de sécurité basée sur les normes de sécurité minimales de la Banque Carrefour de la Sécurité Sociale, lesquelles font l'objet d'une évaluation chaque année. Iriscare exerce la compétences IT pour IRISCARE et pour les SCR.
Face aux nombreuses menaces et vulnérabilités, Iriscare a mis en œuvre un ensemble de mesures techniques et organisationnelles afin d'assurer la sécurité des données, des systèmes et réseaux informatiques.
- La gestion du réseau et sa sécurité sont assurées par Smals et le CIRB. Tous les serveurs sont opérationnels sur ces réseaux et sont entièrement séparés.
Sont mises en place les mesures de sécurité telles que : contrôle d'accès basé sur des rôles, ségrégation des tâches, ségrégation des réseaux, hébergement sécurisé du système dans le centre de données de la Smals et du CIRB, intégration avec le système central de gestion des accès (Active Directory), sauvegarde des systèmes et données de manière centralisée et stockée dans l'environnement sécurisé G-Cloud, application des correctifs et mises à jour régulières des systèmes, politique de la gestion des incidents, etc.

Quant aux postes de travail :
· Les utilisateurs n'ont pas de droits d'administrateur sur leurs ordinateurs portables ;
· Un logiciel antivirus Symantec est installé sur chaque poste de travail, géré de manière centralisée et mis à jour plusieurs fois par jour pour les postes connectés au réseau ;
· Les directives de base de la sécurité de MS sont appliquées ;
· Les accès aux applications se font via MFA/2FA (l'authentification multi facteur/l'authentification à double facteur) ;
· Les accès à distance sont sécurisés et cryptés, la connexion VPN s'effectue via eID ou Itsme ;
· La politique de mot de passe est appliquée;
· Les postes de travail sont automatiquement sécurisés par un verrouillage d'écran après quelques minutes ;
· Les utilisateurs sont régulièrement sensibilisés aux risques cyber afin de reconnaitre à temps les différentes formes d'arnaques en ligne et la réaction à adopter ;
· Un code de conduite pour l’utilisation des ressources informatiques est développé et diffusé sur l'intranet d'Iriscare.

La gestion physique et technique des systèmes et réseaux hébergés dans les centres de données de la Smals et du CIRB est basée sur des SLA (Services Level Agreement) qui contiennent aussi la gestion d'incidents et des mesures de continuité. En étroite collaboration avec ces centres de données, les procédures d'incidents physiques et techniques mises en place, sont suivies. Iriscare est informé par la Smals et le CIRB s'il y a une menace ou si des interruptions ont lieu.

Q3
En étroite collaboration avec les centres de données de la Smals et du CIRB, les procédures d'incidents physiques et techniques mises en place, sont suivies et Iriscare est informé en temps opportun par la Smals et le CIRB s'il y a une menace ou si des interruptions ont lieu.
La position d'un CISO devrait être renforcée en interne aux SCR d'ici 2023.