Logo Parlement Buxellois

Question écrite concernant les services de cybersécurité pour les services publics régionaux et communaux.

de
Emin Özkara
à
Bernard Clerfayt, Ministre du Gouvernement de la Région de Bruxelles-Capitale chargé de l'Emploi et de la Formation professionnelle, de la Transition numérique, des Pouvoirs locaux et du Bien-Être animal (question n°598)

 
Date de réception: 21/01/2021 Date de publication: 12/03/2021
Législature: 19/24 Session: 20/21 Date de réponse: 12/03/2021
 
Date Intitulé de l'acte de Référence page
08/02/2021 Recevable p.m.
 
Question    "Le Centre pour la Cybersécurité Belgique (CCB) offre une gamme de services de cybersécurité [CYBERSECURITY TESTS PEN] que les services publics fédéraux peuvent utiliser gratuitement. Chaque année, une évaluation est faite pour savoir quels services gouvernementaux peuvent utiliser ces tests de cybersécurité.

Les candidatures pour 2021 ont déjà été clôturées." (1)

Je souhaiterais vous poser les questions suivantes :

1. À l'instar du CYBERSECURITY TESTS PEN proposé par la CCB aux services publics fédéraux, un test de cybersécurité est-il réalisé gratuitement et annuellement pour les services publics régionaux et communaux ? Si oui, qui réalise ces tests ? De quand datent les derniers tests réalisés ? Des vulnérabilités ont-elles été découvertes ? Si oui, ces vulnérabilités ont-elles été traitées depuis lors ?

2. Des services publics relevant de vos compétences ont-ils fait appel à l'expertise du CCB pour réaliser un CYBERSECURITY TESTS PEN ? Si oui, quels sont les services publics concernés ?

3. En matière de sécurité informatique, de quand datent les dernières évaluations et audits au niveau de l'Informatique régionale et communale. Les politiques de sécurité des services publics régionaux et communaux sont-elles à jour ?

4. Enfin, quels sont les budgets réservés à la sécurité informatique de l'Informatique régionale et communale. Ces budgets sont-ils suffisants eu égard aux enjeux colossaux en rapport avec l'intégrité, la confidentialité et la disponibilité des données numériques dans nos sociétés du tout numérique ?

CCB, "
CYBERSECURITY TESTS PEN POUR LES SERVICES PUBLICS FÉDÉRAUX", https://ccb.belgium.be/fr/cybersecurity-tests-pen-pour-les-services-publics-f%C3%A9d%C3%A9raux , consulté le 20 janvier 2021.
 
 
Réponse    1/
Pour les institutions pour lesquelles il est "fournisseur de Services Numériques" (FSN), le CIRB veille à ce que son infrastructure réseau soit suffisamment résiliente face à une cyberattaque.
Cet objectif se traduit par la réalisation de deux 'Pen Tests' par année et par un scan régulier de son périmètre externe.
Le dernier Pen Test date du mois décembre 2020 et couvrait des applications critiques du CIRB.
Toute anomalie détectée, dont des vulnérabilités non critiques, lors de ces exercices est reprise dans un plan interne de correction et/ou de mitigation.


2/
Aucun service public régional relevant de ma compétence n’a fait appel au service du CCB pour réaliser un PEN TEST.


Cependant, le CIRB traite les rapports du CERT.BE concernant d’éventuels vulnérabilités ou menaces potentielles détectées au niveau de la Région bruxelloise.
En outre, dans le cadre de la directive NIS, le CIRB a certaines obligations vis-à-vis du CCB à respecter, notamment la notification d’incidents. De plus, le CIRB est en contact régulier avec le CCB au niveau de la veille relative à la cybersécurité.


3/

Le CIRB a réalisé mi-2020 une évaluation de la maturité de sa résilience en matière de cybersécurité. Les conclusions ont été intégrées dans son programme d’amélioration continue de la sécurité.

Une analyse des risques en matière de cybersécurité est faite périodiquement afin de mettre à jour le programme de sécurité du CIRB. La prochaine analyse est planifiée mi-2021.


Fin 2019, le SPRB a fait réaliser une évaluation de la cybersécurité par un partenaire externe sur la base du Cyber ​​Security Assessment Tool (CSAT) et a, dans la foulée, élaboré un plan d'action pour atténuer les vulnérabilités identifiées. Les consultants en sécurité de l'information de la direction DTO de Bruxelles ConnectIT ont coordonné le suivi de ce plan avec les équipes techniques internes de Bruxelles ConnectIT et le DPO interne du SPRB.


Compte tenu du déménagement dans un nouveau bâtiment et des changements qui en découlent, le SPRB compte réaliser une nouvelle analyse en 2021 afin de continuer à suivre correctement les priorités et les actions.

Pour les administrations communales, je vous invite à leur poser la question puisqu’elles gèrent elles-mêmes la globalité de leurs infrastructures et donc de la politique de cybersécurité.


4/
Le CIRB réserve environ 1.8 millions d'euros par an à la sécurité informatique.