Logo Parlement Buxellois

Question écrite concernant la surveillance des cyber-risques par les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles

de
Emin Özkara
à
Sven Gatz, Ministre du Gouvernement de la Région de Bruxelles-Capitale, chargé des Finances, du Budget, de la Fonction publique, de la Promotion du Multilinguisme et de l'Image de Bruxelles (question n°500)

 
Date de réception: 02/09/2022 Date de publication: 10/10/2022
Législature: 19/24 Session: 21/22 Date de réponse: 07/10/2022
 
Date Intitulé de l'acte de Référence page
21/09/2022 Recevable
 
Question   

Les conseils d'administration (CA) ont l'obligation légale de surveiller correctement les risques. Les cyber-risques (menaces, vulnérabilités et impacts) font partie des risques à surveiller! D'après la Cyber Emergency Response Team fédérale (CERT.be), la plupart des CA sont mal équipés pour faire face aux cyber-risques et les responsables de la sécurité des informations (CISO) ont des difficultés à mesurer l'efficacité de leur programme de cybersécurité.

Le CERT.be propose deux documents afin d'aider les CA et les CISO :

  • Le premier document est destiné aux CISO :

https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_ce.pdf

  • Le second document est destiné aux CA :

https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_be.pdf

Afin de compléter mon information, je souhaiterais vous poser les questions suivantes :

En ce qui concerne les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles :

  1. Les deux documents susmentionnés et proposés par le CERT.be sont-ils connus des CA et CISO ? Ces documents sont-ils utilisés pas les CA et les CISO ?

  2. Face aux nombreuses menaces et vulnérabilités ( https://threatmap.checkpoint.com/ ), quelles sont les mesures visant à atténuer les cyber-risques mises en place par les CA ? Quid de l'efficacité de ces mesures et des feedback y afférents ?

  3. A quelles fréquences les CISO signalent-ils et font-ils rapport des cyber-risques à surveiller aux CA ? Quelles sont les méthodologies privilégiées pour dégager les cyber-risques et les responsabilités ?

 

 

 
 
 
Réponse    J’ai l’honneur de vous adresser les éléments de réponse suivants :

Réponse à la question 1 :

Le SPRB possède, au sein de Bruxelles ConnectIT, une Cellule gestion de la sécurité de l'information, et les conseillers qui y travaillent prennent en compte les recommandations de la CCB et du CERT pour autant que possible. De plus, ils travaillent en étroite collaboration avec le DPO du SPRB pour ce qui concerne spécifiquement les données à caractère personnel.

Réponse à la question 2 :

Les mesures visant à atténuer les cyber-risques sont mises en œuvre à plusieurs niveaux.

Pour le Conseil de Direction du SPRB (CD), qui réunit les Directeurs généraux des administrations :
- La Cellule gestion de la sécurité de l'information établit un plan pluri-annuel des mesures à mettre en place. Ce plan est adopté par le CD.
- La Cellule gestion de la sécurité de l'information effectue le suivi de ce plan pluri-annuel dans un rapport annuel. Le rapport annuel contient également des statistiques et une catégorisation sous forme de synthèse des incidents de sécurité survenus pendant l’année, les mesures de mitigation qui ont été prises ainsi que les mesures que le CD et le responsable IT doivent prendre de manière structurelle afin que de tels risques ne se réalisent plus.
- Lorsque de nouvelles mesures doivent être prises alors qu’elles n’avaient pas été précédemment adoptées par le CD, et que lesdites mesures ont un impact sur l’ensemble du personnel, les mesures sont mises à l’ordre du jour du CD. Le détail des mesures techniques prises pour assurer la sécurité des données détenues par le SPRB doivent rester confidentielles.
- Le CD a adopté un nouveau règlement de travail, incluant une annexe spécifique dédiée au TIC, qui fixe les règles que les agents et toute personne ayant accès au matériel du SPRB doivent respecter.


Outre les mesures adoptées par le CD, la sécurité de l’information passe également et avant tout par une responsabilisation de chaque individu.

C’est pourquoi :
1. Régulièrement, la Cellule gestion de la sécurité de l'information de BCIT organise des campagnes de sensibilisation pour les membres du personnel par des différents canaux comme l’intranet, le digital signage et le magazine du personnel du SPRB.
2. Le SPRB s’est doté de formations accessibles à l’ensemble de son personnel via la plateforme SPRB-GOB-Academy.

Réponse à la question 3 :

Le signalement se fait annuellement au CD par la Cellule gestion de la sécurité de l'information dans son rapport annuel, mais également de manière ponctuelle en fonction des problèmes survenus et de l’impact de la solution.

Le SPRB distingue, comme le suggèrent les normes ISO 27001, d’une part le responsable de l’IT qui décide pour l’IT (le titre CISO n’est pas utilisé), et d’autre part des conseillers en sécurité de l’information. Cela accorde une indépendance aux conseillers pour ce qui concerne l’analyse et le conseil au SPRB en matière de sécurité de l’information.

Enfin, des contrats existent avec les fournisseurs, incluant les aspects de sécurité de l’information.