Question écrite concernant la surveillance des cyber-risques par les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles
- de
- Emin Özkara
- à
- Bernard Clerfayt, Ministre du Gouvernement de la Région de Bruxelles-Capitale chargé de l'Emploi et de la Formation professionnelle, de la Transition numérique, des Pouvoirs locaux et du Bien-Être animal (question n°1031)
| Date de réception: 02/09/2022 | Date de publication: 08/11/2022 | ||
| Législature: 19/24 | Session: 21/22 | Date de réponse: 25/10/2022 | |
| Date | Intitulé de l'acte | de | Référence | page |
| 21/09/2022 | Recevable |
| Question | Les conseils d'administration (CA) ont l'obligation légale de surveiller correctement les risques. Les cyber-risques (menaces, vulnérabilités et impacts) font partie des risques à surveiller! D'après la Cyber Emergency Response Team fédérale (CERT.be), la plupart des CA sont mal équipés pour faire face aux cyber-risques et les responsables de la sécurité des informations (CISO) ont des difficultés à mesurer l'efficacité de leur programme de cybersécurité. Le CERT.be propose deux documents afin d'aider les CA et les CISO :
https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_ce.pdf
https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_be.pdf Afin de compléter mon information, je souhaiterais vous poser les questions suivantes : En ce qui concerne les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles :
|
| Réponse | Les administrations Bruxelles Pouvoirs Locaux, Bruxelles Economie Emploi, Bruxelles ConnectIT et Easy Brussels, font partie du Service Public Régional Bruxellois (SPRB). Le SPRB relevant de la compétence du Ministre de la fonction publique, Monsieur Gatz, je vous invite à lui adresser votre question. Le Département Bien-être animal faisant partie intégrante de Bruxelles Environnement pour tous les aspects de gestion transversale, il n’a aucune information spécifique à communiquer sur cette thématique. Actiris n’a pas de Conseil d’administration et n’est, dès lors, pas concerné par cette question. En ce qui concerne le Centre d’Informatique pour la Région Bruxelloise (CIRB), il n’a pas de conseil d’administration. Ces documents sont connus par le CISO du CIRB mais ils ne sont pas utilisés en état. Ce sont les normes internationales cités dans ce document qui sont utilisées par le CISO. Les principales mesures de sécurité suivantes sont déployées au sein du CIRB afin de minimiser l'impact d'une cyberattaque : - L’information des collaborateurs - La mise en œuvre de processus de réponses aux incidents et de récupérations - La segmentation du réseau pour protéger les actifs clés - La collecte et l'analyse des journaux de tous les actifs clés - L'identification des vulnérabilités importantes et la mise en œuvre des correctifs en temps utile - La limitation des autorisations d'accès des utilisateurs au strict nécessaire - L'utilisation de l'authentification multifactorielle partout où cela est nécessaire - La production de sauvegardes fiables, valides et sécurisées - Le maintien d'un inventaire à jour de tous les actifs et leurs dépendances - La sécurisation des postes de travail Pour ce qui est de l'efficacité des mesures, le CIRB utilise une méthodologie telle que le CMMI (Capability Maturity Model Integration) afin de mesurer l'efficacité des mesures de sécurité mises en place. Pour le CIRB, le CISO du CIRB rapporte à sa direction générale et les risques cyber surveillés sont revus tous les trimestres. L’analyse de risque est la méthode utilisée afin d’identifier les risques cyber sur un périmètre donné. Pour chaque risque identifié, un propriétaire du risque est désigné. Celui-ci est chargé de son suivi. |