Fiche d'une question ou interpellation

Emplois Contact

Question écrite concernant la surveillance des cyber-risques par les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles

de: Emin Özkara
à: Alain Maron, Ministre du Gouvernement de la Région de Bruxelles-Capitale chargé de la Transition climatique, de l'Environnement, de l'Énergie et de la Démocratie participative (question n°1201)

Date de réception: 02/09/2022		Date de publication: 08/11/2022
Législature: 19/24	Session: 21/22	Date de réponse: 25/10/2022

Date	Intitulé de l'acte	de	Référence	page
21/09/2022	Recevable

Question	Les conseils d'administration (CA) ont l'obligation légale de surveiller correctement les risques. Les cyber-risques (menaces, vulnérabilités et impacts) font partie des risques à surveiller! D'après la Cyber Emergency Response Team fédérale (CERT.be), la plupart des CA sont mal équipés pour faire face aux cyber-risques et les responsables de la sécurité des informations (CISO) ont des difficultés à mesurer l'efficacité de leur programme de cybersécurité. Le CERT.be propose deux documents afin d'aider les CA et les CISO : Le premier document est destiné aux CISO : https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_ce.pdf Le second document est destiné aux CA : https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_be.pdf Afin de compléter mon information, je souhaiterais vous poser les questions suivantes : En ce qui concerne les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles : Les deux documents susmentionnés et proposés par le CERT.be sont-ils connus des CA et CISO ? Ces documents sont-ils utilisés pas les CA et les CISO ? Face aux nombreuses menaces et vulnérabilités ( https://threatmap.checkpoint.com/ ), quelles sont les mesures visant à atténuer les cyber-risques mises en place par les CA ? Quid de l'efficacité de ces mesures et des feedback y afférents ? A quelles fréquences les CISO signalent-ils et font-ils rapport des cyber-risques à surveiller aux CA ? Quelles sont les méthodologies privilégiées pour dégager les cyber-risques et les responsabilités ?


Réponse	1) Port de Bruxelles Ces deux documents ne sont pas connus des CA et CISO. Le Port a lancé un marché public de services d’analyse et de conseil pour la gestion des risques et des assurances souscrites par le Port de Bruxelles qui sera attribué prochainement. Une des missions visées par le marché consiste à ce que le prestataire de services prenne connaissance du projet de cahier spécial des charges de courtage d’assurance cyber-risque en cours d’élaboration et émette une série de recommandations pour la rédaction de celui-ci. Brugel Chez BRUGEL, le Responsable de la Sécurité des Systèmes d’Information est parfaitement informé sur son rôle et ses responsabilités par rapport aux menaces d’une cyberattaque, notamment : • La sensibilisation des utilisateurs aux problèmes de sécurité ; • La sécurité des réseaux ; • La sécurité des systèmes ; • La sécurité des télécommunications ; • La sécurité des applications ; • La stratégie de sauvegarde des données; • La mise en place d'un plan de continuité d'activité ; • … Il dispose de l’appui du Centre Informatique de la Région Bruxelloise, ainsi que de ses intégrateurs de logiciels, pour assurer ce rôle sur base d’une stratégie globale de sécurité (Virtual Data Center, Firewall, VPN, Antivirus, Backups…). 2) Port de Bruxelles Il n’y a pas de mesures mises en place par le CA mais le Port de Bruxelles utilise les services de sécurité proposés par le Centre d’informatique pour la Région bruxelloise. Brugel BRUGEL dispose d’une « charte de sécurité et de protection des systèmes d’information » rédigée en coordination avec le CIRB (Centre Informatique Régional Bruxellois), visant à assurer le déploiement d'une cybersécurité adéquate et atténuer au maximum les risques d’une attaque cybercriminelle. La politique de sécurité de BRUGEL s’applique aux collaborateurs internes et externes de BRUGEL (travailleurs, contractants indépendants, volontaires, stagiaires, etc.) ainsi que les membres du Conseil d’Administration. Cette politique de sécurité comprend toute une série de points d’attention, y compris l’engagement et la sensibilisation du Conseil d’Administration à la sécurité de l’information. 3) Port de Bruxelles Le CISO ne signale pas ni fait rapport au CA des cyber-risques à surveiller Méthodologie : ISO/CEI 27001 Brugel Une identification des risques pouvant impacter de manière négative les activités de BRUGEL (c'est-à-dire avoir un impact sur la disponibilité / intégrité des systèmes opérationnels ou sur la confidentialité des informations) est effectuée périodiquement. Un monitoring proactif des bases de données et des applications est effectué afin de détecter toute tentative de connexion frauduleuse. En parallèle, une vérification de l'efficacité des mesures de sécurité est effectuée via des audits réguliers de sécurité. Le dernier audit a été effectué en mars 2020. Ce dernier n’a révélé aucune faille de sécurité critique ou majeure concernant la sécurité de la solution de gestion documentaire utilisée (Alfresco). Seuls trois points d’attentions mineurs ont été remontés et corrigés.