Fiche d'une question ou interpellation

Emplois Contact

Question écrite concernant le nombre de cas de (tentative de) phishing et de piratage au Service public régional de Bruxelles (SPRB).

de: Bianca Debaets
à: Bernard Clerfayt, Ministre du Gouvernement de la Région de Bruxelles-Capitale chargé de l'Emploi et de la Formation professionnelle, de la Transition numérique, des Pouvoirs locaux et du Bien-Être animal (question n°457)

Date de réception: 21/09/2020		Date de publication: 03/11/2020
Législature: 19/24	Session: 20/21	Date de réponse: 30/10/2020

Date	Intitulé de l'acte	de	Référence	page
06/10/2020	Recevable	p.m.

Question	Il y a quelque temps, j’ai eu l’occasion de vous interroger sur le soutien à la sécurité numérique des pouvoirs locaux (cf. QE n° 273). Dans votre réponse, vous déclariez entre autres ce qui suit : « Concernant le SPRB, jusqu’à présent, il n’a été la victime d’un cybercrime ou d’une cyberattaque que de manière limitée. (…) La plus grande menace en 2019 et 2020 auquel le SPRB a fait et fait face actuellement est le phishing et les boîtes e-mail piratées. » Plus tôt dans l’année, pendant la période de confinement, Europol mettait déjà en garde contre une augmentation significative de la cybercriminalité en Europe. Dès lors que le télétravail reste recommandé, et avec le déménagement imminent des fonctionnaires de Bruxelles vers la Silver Tower, il reste capital de continuer à monitorer cette problématique et d’intégrer des mécanismes de sécurité suffisants. Je voudrais dès lors vous poser les questions suivantes : - Combien de cas de phishing (hameçonnage), piratage de boîtes mail et autres menaces pour la sécurité numérique ont-ils été enregistrés au SPRB en 2019 et au cours du premier semestre 2020 ? Pouvez-vous ventiler ces chiffres par direction ou par institution ? Des fuites de données ou de sources d’information en ont-elles (éventuellement) effectivement découlé ? Dans l’affirmative, comment a-t-on mis un terme à ces fuites ? Qui tient à jour un relevé de tous les cas (de tentative) de hameçonnage et de piratage ? - Comment les fonctionnaires du SPRB sont-ils sensibilisés à l’utilisation sûre de l’Internet et à la prévention du hameçonnage et du piratage des boîtes mail ? Un service spécifique est-il chargé du suivi de cette problématique ? Dans l’affirmative, pouvez-vous nous expliquer le fonctionnement de ce service ? - Quel rôle le CIRB joue-t-il dans la gestion de cette problématique ? Quelles actions prévoit-il à cet égard ? - Comment les pouvoirs locaux sont-ils associés à la gestion de cette problématique ? Quelles actions sont-elles prévues afin de les protéger à cet égard ?


Réponse	1/ En 2019, nous avons enregistré 82 incidents de sécurité avec violation de la confidentialité, de l'intégrité et/ou de la disponibilité d'informations. Parmi ceux-ci, 44 incidents étaient plus spécifiquement liés au phishing et au spam. En ce qui concerne le premier semestre 2020, nous avons noté 47 incidents de sécurité dans le registre de sécurité du SPRB, dont 19 incidents de phishing et 1 impossible travel activity. Ce dernier est suivi par l'outil Cloud App Security qui analyse les boîtes email du SPRB. En ce qui concerne la ventilation des incidents de sécurité par administration du SPRB, nous pouvons uniquement la fournir pour le premier semestre 2020, comme suit : - Bruxelles ConnectIT : 6 - Bruxelles Economie et Emploi : 10 - Bruxelles Pouvoirs locaux : 2 - Bruxelles Finances et Budget : 1 - Bruxelles Mobilité : 11 - Bruxelles Synergie : 6 - Bruxelles Logement : 1 - Brussels International : 3 - L'ensemble du SPRB : 7 L'Autorité de protection des données a été informée d'une fuite de données après le piratage de 6 boîtes email à l'automne 2019. Suite à cette fuite, il a été décidé de déployer la Multi Factor Authentication (MFA) (authentification multifacteur) auprès des collaborateurs du SPRB. La cellule Gestion de la sécurité de l'information de la direction Digital Transformation Office (Bruxelles ConnectIT du SPRB) suit le monitoring via le Cloud App Security et tient à jour le registre des incidents pour le SPRB. Dans ce registre, se retrouvent toutes les tentatives de phishing et de hacking au sein du SPRB. 2/ La direction Digital Transformation Office (DTO) de Bruxelles ConnectIT du SPRB organise différentes actions de sensibilisation pour les membres du personnel du SPRB par le biais de formations et de canaux de communication variés. En ce qui concerne le phishing, le DTO publie régulièrement des messages ciblés sur l'intranet, par exemple : "Phishing : appel à la vigilance" ; "ne vous laissez pas piéger par le phishing ! Devenez expert en repérage de faux e-mails. Faites le test phishing". Depuis le 13 mars et le confinement suite au COVID-19, le DTO a par ailleurs mené des actions de sensibilisation très ciblées concernant le télétravail en toute sécurité, par exemple : "Travailler en toute sécurité à la maison comme au bureau". Pour résumer, au SPRB, nous publions régulièrement des textes d'actualité et de sensibilisation sur l'intranet et nous organisons chaque année durant le mois d'octobre une action sur la cybersécurité. 3/ Pour rappel, le CIRB fournit l’email à beaucoup de structures régionales et la plupart des tentatives d’hameçonnage (phishing) se font au travers de ce moyen de communication. Afin de protéger la Région de cette problématique, l’infrastructure email est dotée de deux bastions différents de sécurité permettant le filtrage des emails entrants et sortants. L’utilisation de deux mécanismes de détection différents au niveau du réseau permet d’avoir une couverture optimum contre le phishing. Il est cependant évident que cela n’est pas suffisant à faire face à cette problématique. En effet, le CIRB a aussi constaté depuis le début du mois de février de cette année, une réelle recrudescence de tentatives d’hameçonnage au travers de l’email sous couvert d’actions « COVID ». Afin de minimiser le risque de ce type d’attaque, nos employés et nos clients ont été avertis au travers de communications spécifiques. Suite aux conditions actuelles, le télétravail a augmenté et les risques associés liés à un environnement autres que les espaces de travail dédiés ont augmenté. Le déploiement d’une authentification forte pour l’accès à distance devient une nécessité et sera un des points majeurs d’amélioration au niveau de la protection dans les quelques mois à venir. 4/ Cela fait déjà quelques années que le CIRB implique les autorités locales dans la protection des données. Un programme de formation sur la sécurité de l’information est en cours de développement et les membres des autorités locales pourront améliorer leurs connaissances dans ce domaine. Un autre exemple, le CIRB délivre des missions de conseiller en sécurité et de délégué à la protection des données pour une trentaine d’institutions publiques depuis déjà plus de deux ans. Au travers de ces missions, des sensibilisations à la sécurité de l’information et à la protection des données sont exécutées régulièrement.