Question écrite concernant la surveillance des cyber-risques par les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles
- de
- Emin Özkara
- à
- Sven Gatz, Ministre du Gouvernement de la Région de Bruxelles-Capitale, chargé des Finances, du Budget, de la Fonction publique, de la Promotion du Multilinguisme et de l'Image de Bruxelles (question n°500)
Date de réception: 02/09/2022 | Date de publication: 10/10/2022 | ||
Législature: 19/24 | Session: 21/22 | Date de réponse: 07/10/2022 |
Date | Intitulé de l'acte | de | Référence | page |
21/09/2022 | Recevable |
Question | Les conseils d'administration (CA) ont l'obligation légale de surveiller correctement les risques. Les cyber-risques (menaces, vulnérabilités et impacts) font partie des risques à surveiller! D'après la Cyber Emergency Response Team fédérale (CERT.be), la plupart des CA sont mal équipés pour faire face aux cyber-risques et les responsables de la sécurité des informations (CISO) ont des difficultés à mesurer l'efficacité de leur programme de cybersécurité. Le CERT.be propose deux documents afin d'aider les CA et les CISO :
https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_ce.pdf
https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_be.pdf Afin de compléter mon information, je souhaiterais vous poser les questions suivantes : En ce qui concerne les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles :
|
Réponse | J’ai l’honneur de vous adresser les éléments de réponse suivants : Réponse à la question 1 : Le SPRB possède, au sein de Bruxelles ConnectIT, une Cellule gestion de la sécurité de l'information, et les conseillers qui y travaillent prennent en compte les recommandations de la CCB et du CERT pour autant que possible. De plus, ils travaillent en étroite collaboration avec le DPO du SPRB pour ce qui concerne spécifiquement les données à caractère personnel. Réponse à la question 2 : Les mesures visant à atténuer les cyber-risques sont mises en œuvre à plusieurs niveaux. Pour le Conseil de Direction du SPRB (CD), qui réunit les Directeurs généraux des administrations : - La Cellule gestion de la sécurité de l'information établit un plan pluri-annuel des mesures à mettre en place. Ce plan est adopté par le CD. - La Cellule gestion de la sécurité de l'information effectue le suivi de ce plan pluri-annuel dans un rapport annuel. Le rapport annuel contient également des statistiques et une catégorisation sous forme de synthèse des incidents de sécurité survenus pendant l’année, les mesures de mitigation qui ont été prises ainsi que les mesures que le CD et le responsable IT doivent prendre de manière structurelle afin que de tels risques ne se réalisent plus. - Lorsque de nouvelles mesures doivent être prises alors qu’elles n’avaient pas été précédemment adoptées par le CD, et que lesdites mesures ont un impact sur l’ensemble du personnel, les mesures sont mises à l’ordre du jour du CD. Le détail des mesures techniques prises pour assurer la sécurité des données détenues par le SPRB doivent rester confidentielles. - Le CD a adopté un nouveau règlement de travail, incluant une annexe spécifique dédiée au TIC, qui fixe les règles que les agents et toute personne ayant accès au matériel du SPRB doivent respecter. Outre les mesures adoptées par le CD, la sécurité de l’information passe également et avant tout par une responsabilisation de chaque individu. C’est pourquoi : 1. Régulièrement, la Cellule gestion de la sécurité de l'information de BCIT organise des campagnes de sensibilisation pour les membres du personnel par des différents canaux comme l’intranet, le digital signage et le magazine du personnel du SPRB. 2. Le SPRB s’est doté de formations accessibles à l’ensemble de son personnel via la plateforme SPRB-GOB-Academy. Réponse à la question 3 : Le signalement se fait annuellement au CD par la Cellule gestion de la sécurité de l'information dans son rapport annuel, mais également de manière ponctuelle en fonction des problèmes survenus et de l’impact de la solution. Le SPRB distingue, comme le suggèrent les normes ISO 27001, d’une part le responsable de l’IT qui décide pour l’IT (le titre CISO n’est pas utilisé), et d’autre part des conseillers en sécurité de l’information. Cela accorde une indépendance aux conseillers pour ce qui concerne l’analyse et le conseil au SPRB en matière de sécurité de l’information. Enfin, des contrats existent avec les fournisseurs, incluant les aspects de sécurité de l’information. |