Fiche d'une question ou interpellation

Emplois Contact

Question écrite concernant la surveillance des cyber-risques par les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles

de: Emin Özkara
à: Elke Van den Brandt, Ministre du Gouvernement de la Région de Bruxelles-Capitale, chargée de la Mobilité, des Travaux publics et de la Sécurité routière (question n°1341)

Date de réception: 02/09/2022		Date de publication: 08/11/2022
Législature: 19/24	Session: 21/22	Date de réponse: 25/10/2022

Date	Intitulé de l'acte	de	Référence	page
21/09/2022	Recevable

Question	Les conseils d'administration (CA) ont l'obligation légale de surveiller correctement les risques. Les cyber-risques (menaces, vulnérabilités et impacts) font partie des risques à surveiller! D'après la Cyber Emergency Response Team fédérale (CERT.be), la plupart des CA sont mal équipés pour faire face aux cyber-risques et les responsables de la sécurité des informations (CISO) ont des difficultés à mesurer l'efficacité de leur programme de cybersécurité. Le CERT.be propose deux documents afin d'aider les CA et les CISO : Le premier document est destiné aux CISO : https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_ce.pdf Le second document est destiné aux CA : https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_be.pdf Afin de compléter mon information, je souhaiterais vous poser les questions suivantes : En ce qui concerne les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles : Les deux documents susmentionnés et proposés par le CERT.be sont-ils connus des CA et CISO ? Ces documents sont-ils utilisés pas les CA et les CISO ? Face aux nombreuses menaces et vulnérabilités ( https://threatmap.checkpoint.com/ ), quelles sont les mesures visant à atténuer les cyber-risques mises en place par les CA ? Quid de l'efficacité de ces mesures et des feedback y afférents ? A quelles fréquences les CISO signalent-ils et font-ils rapport des cyber-risques à surveiller aux CA ? Quelles sont les méthodologies privilégiées pour dégager les cyber-risques et les responsabilités ?


Réponse	De par ses statuts, la gestion journalière de l’entreprise a été confiée à la Direction Générale, membre du CA. Spécifiquement pour les questions de sécurité, la Direction Générale a organisé la gouvernance de l’entreprise en mettant en œuvre un département CSO (Corporate Security Office). Les documents publiés par le CERT.be sont bien connus par le CSO et les experts en sécurité de l’information de l’entreprise chargés de leur mise en œuvre. Ces experts sont par ailleurs en contact régulier avec le CERT dans l’exercice de leur fonction. Par rapport aux menaces et vulnérabilités en croissance continue, la STIB a mis en place · un cadre normatif avec : - des normes et des cadres référentiels tels que ceux suggérés dans les documents du CERT pour guider les activités en matière de Cybersécurité (inspirés de la norme ISO27001 et du Framework NIST CSF) ; - des normes de contrôles de sécurité pour veiller à ce que les risques cyber restent sous un seuil acceptable (Contrôles CIS) et des normes pour apprécier l’évolution de notre sécurité ; - une appréciation systématique des risques cyber dans tous ses projets avec une équipe d‘experts suivant la guidance ISO31000 - inclus les risques tiers - et leur suivi dans un registre dédié ; · un cadre de surveillance des risques en matière de cybersécurité et de détection d’incidents avec : - une cellule structurelle de détection et de réaction aux incidents de cybersécurité (standard MITRE) ainsi qu’un comité dédié au suivi des améliorations au niveau de la sécurité de l’information (ISMC) ; - un outil de scan de vulnérabilités des systèmes ; - des solutions de scans quotidiens de son site web ; - des solutions de surveillance du darknet/deepweb ; - des mesures techniques, comme la révision des mécanismes de protection pour les connexions à distance tels que le MFA ; - des campagnes de sensibilisation régulières - elle organise entre autres chaque année une semaine de la cybersécurité au mois d’octobre - et des campagnes plus ciblées en fonction des risques identifiés. La STIB inscrit ces activités normatives et de surveillance continue dans un cadre de benchmark qu’elle alimente au travers de sa participation aux forums d’échange et de partage de bonnes pratiques avec ses contreparties expertes en la matière. Notamment au sein de la Cybersecurity Coalition dont elle est un membre actif. La fonction CSO étant hiérarchiquement directement rattachée à la Direction Générale, elle fait l’objet de réunions de suivi mensuelles avec la Direction Générale au même titre que les autres fonctions Corporate. PB: 1. En ce qui concerne parking.brussels, le Conseil d’administration se repose sur le Centre d’informatique pour la Région bruxelloise qui assure pour l’Agence du stationnement le rôle de CISO. Les documents mentionnés ne sont donc pas connus de son Conseil d’administration, ni de son service IT interne. 2. Le service IT de l’Agence du stationnement a pris des mesures pour disposer d’un système de défense basique contre les attaques possibles. Dans les contrats de parking.brussels avec ses fournisseurs, il leur est demandé de prévoir un dispositif de défense et de limitation de l’impact d’une attaque éventuelle. Parking.brussels dispose ainsi de réseaux privés virtuels (VPN) dédiés vers certains fournisseurs, ainsi que des « firewalls » qui limitent le nombre d’adresses IP autorisés à se connecter à un service. Le CIRB effectue en outre régulièrement pour parking.brussels des back-ups externes à la localisation des serveurs. Quant à la mesure de l’efficacité de ces dispositifs, elle est également du ressort du CIRB. Parking.brussels est informée des attaques dont elle pourrait faire l’objet, ainsi que de certains indicateurs clés de performances (KPI). Les tentatives d’attaques sont donc suivies avec attention.