Question écrite concernant les 25 failles logicielles les plus dangereuses de 2022 et l'impact de ces failles sur l'informatique communale et régionale
- de
- Emin Özkara
- à
- Bernard Clerfayt, Ministre du Gouvernement de la Région de Bruxelles-Capitale chargé de l'Emploi et de la Formation professionnelle, de la Transition numérique, des Pouvoirs locaux et du Bien-Être animal (question n°1004)
| Date de réception: 04/07/2022 | Date de publication: 20/09/2022 | ||
| Législature: 19/24 | Session: 21/22 | Date de réponse: 19/09/2022 | |
| Date | Intitulé de l'acte | de | Référence | page |
| 13/07/2022 | Recevable |
| Question | Ce 4 juillet 2022, je souhaite vous questionner sur les 25 failles logicielles mises en évidence par le Homeland Security Systems Engineering and Development Institute (2022 Common Weakness Enumeration Top 25). Sans rentrer dans des considérations techniques qui sont consultables à cette adresse https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html , ces failles permettraient, entre autres, la prise de contrôle d'un système ou le vol de données par des cybercriminels, voire empêcheraient des applications de correctement fonctionner. Suite à l'annonce de ces 25 failles logicielles, je souhaite vous poser les questions suivantes en rapport avec l'Informatique communale et régionale :
|
| Réponse | 1/ Les logiciels développés par le CIRB sont soumis à des contrôles lors de leur développement et les types de failles mentionnées dans cette liste sont détectées dans le cadre de ces contrôles. Si une telle faille est détectée, elle serait corrigée avant d’être mise en production. A ce jour les logiciels développés par le CIRB n’ont pas été affectés par l’une des failles listées. 2/ Le processus interne au CIRB concernant la sécurité des logiciels (qui sont mis à disposition des communes) oblige une révision des codes sur base d’une liste de faiblesses telle que le CWE 25 pour chaque nouvelle mise à jour afin de vérifier qu’ils ne sont pas impactés. La commune peut néanmoins faire appel à des logiciels qui ne sont pas dans le giron du CIRB pour lesquels elle s’assure elle-même du niveau de sécurité. 3/ Au sein du CIRB, tout déploiement de correctifs en production pour les serveurs doit passer par une série de validations. En effet, les correctifs proposés sont tout d’abord testés suivant les instructions des constructeurs dans deux environnements différents : un environnement de développement et un environnement d’acceptation avant de planifier un déploiement en production. De plus, un système de monitoring est en place sur l’infrastructure du CIRB de sorte que toute anomalie puisse être directement détectée. Les déploiements de correctifs n’ont lieu en production qu’à la suite de toutes ces validations. 4/ Afin de sécuriser le Centre régional de données et assurer la protection des données régionales, le CIRB a mis en place de nombreuses mesures de sécurité techniques (comme les pares-feux, isolation des environnements, antivirus, sauvegardes régulières, scan de vulnérabilité, etc.) et organisationnelles. Actuellement ces mesures suffisent et sont conformes aux prérequis dans le domaine. 5/ Le CIRB communique régulièrement et sensibilise aux sujets relatifs à la sécurité de l’information à ses utilisateurs et aux responsables IT régionaux. Le message régulièrement diffusé auprès des partenaires est de : « Garder toujours vos systèmes à jour avec les dernières mises à jour de sécurité ». De plus, le CIRB encourage ses développeurs à suivre régulièrement des formations sur la sécurité applicative afin de leur donner les bonnes pratiques en matière de développement sécurisé. |