Fiche d'une question ou interpellation

Emplois Contact

Question écrite concernant le recours à des hackers (fouineurs) éthiques afin de garantir la cybersécurité des services

de: Bianca Debaets
à: Bernard Clerfayt, Ministre du Gouvernement de la Région de Bruxelles-Capitale chargé de l'Emploi et de la Formation professionnelle, de la Transition numérique, des Pouvoirs locaux et du Bien-Être animal (question n°873)

Date de réception: 07/12/2021		Date de publication: 14/02/2022
Législature: 19/24	Session: 21/22	Date de réponse: 08/02/2022

Date	Intitulé de l'acte	de	Référence	page
20/01/2022	Recevable	Bureau élargi du Parlement

Question	Le dimanche 24 octobre dernier, le secrétaire d'État fédéral à la digitalisation a confirmé à RTL-TVi que le gouvernement fédéral est en contact avec des hackers éthiques afin de garantir la cybersécurité de ses services. Depuis 2016, le Centre pour la cybersécurité Belgique a également déjà publié une déclaration standard qui autorise les entreprises à faire appel à des hackers éthiques pour tenter d'infiltrer leur réseau informatique et mettre ainsi en évidence d'éventuelles failles. En outre, je voudrais également souligner que le nouveau plan de sécurité régional a également fait de la cybersécurité une priorité régionale, de sorte que son importance ne doit pas être sous-estimée. C'est pourquoi je voudrais vous poser les questions suivantes : Pouvez-vous confirmer que le CIRB et/ou BPS font également appel à de tels hackers éthiques afin de vérifier la cybersécurité des services bruxellois (régionaux et/ou locaux) ? Dans l’affirmative, pouvez-vous en dire plus ? De combien de hackers parle-t-on, et comment procèdent-ils concrètement ? Quelles actions et quels moyens concrets sont-ils prévus à cette fin ? Quels résultats a-t-on déjà obtenus ? Dans la négative, le gouvernement bruxellois étudie-t-il la possibilité de faire appel à de genre de hackers ? Avez-vous déjà contacté les autorités fédérales à ce sujet afin d'évaluer les services fournis par ce type de hackers ? Un soutien est-il également offert aux entreprises qui souhaitent faire tester leur cybersécurité par des hackers éthiques ? Dans l’affirmative, quelle forme prend ce soutien ? Combien d'entreprises en ont-elles déjà bénéficié ?


Réponse	1/ Le CIRB s’impose de réaliser au moins deux fois par année des tests d’intrusion. Ces tests peuvent se décliner sous différentes formes, telles que : ● le pentest (penetration testing) dont l’objectif est d’identifier les vulnérabilités de l’application exploitables par un attaquant extérieur n’ayant aucune connaissance des technologies sur lesquelles l’application est construite ou de l’environnement qui l’entoure; ● l’ARA « Architectural Risks Assessment » dont l’objectif est d’identifier les défauts potentiels d’une architecture d’un service applicatif et de déterminer les risques des actifs d’information qui résultent de ces défauts; ● le « code review » dont l’objectif de trouver des bugs potentiels, de corriger des erreurs de conception afin d’améliorer la qualité et la sécurité du logiciel; ● l’audit technique de sécurité dont l’objectif est de vérifier la configuration de sécurité de l’application; ● le test de « Social engineering » dont l’objectif est d’utiliser les failles de l’humain pour arriver à ses fins (par ex. extorsion). Dans ce cadre, chaque exercice ciblé livre un rapport sur les failles ou vulnérabilités identifiées dans le périmètre défini des systèmes d’information avec les préconisations adaptées et priorisées selon le contexte métier. De ceci en découle un plan de remédiation afin de fixer les problèmes détectés. Les exercices « Pentest » sont réalisés via un accord-cadre du CIRB (dans le cadre d’une mission orientée résultats) par une équipe de personnes avec des spécificités distinctes en « Ethical Hacking ». En effet, les exercices de « pentest » ont sans conteste une plus-value car ils permettent de réduire les risques d’une intrusion mais également de fuite de données personnelles. On peut considérer que le pentesting se présente comme un des moyens les plus adéquats pour s’assurer de respecter les normes en matière de protection des données personnelles. 2/ A ma connaissance, dans ce domaine, la Région n’offre pas ce type de soutien aux entreprises.