Logo Parlement Buxellois

Question écrite concernant la surveillance des cyber-risques par les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles

de
Emin Özkara
à
Pascal Smet, Secrétaire d'État à la Région de Bruxelles-Capitale, chargé de l'Urbanisme et du Patrimoine, des Relations européennes et internationales, du Commerce extérieur et de la Lutte contre l'Incendie et l'Aide médicale urgente (question n°697)

 
Date de réception: 02/09/2022 Date de publication: 18/10/2022
Législature: 19/24 Session: 21/22 Date de réponse: 13/10/2022
 
Date Intitulé de l'acte de Référence page
21/09/2022 Recevable
 
Question   

Les conseils d'administration (CA) ont l'obligation légale de surveiller correctement les risques. Les cyber-risques (menaces, vulnérabilités et impacts) font partie des risques à surveiller! D'après la Cyber Emergency Response Team fédérale (CERT.be), la plupart des CA sont mal équipés pour faire face aux cyber-risques et les responsables de la sécurité des informations (CISO) ont des difficultés à mesurer l'efficacité de leur programme de cybersécurité.

Le CERT.be propose deux documents afin d'aider les CA et les CISO :

  • Le premier document est destiné aux CISO :

https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_ce.pdf

  • Le second document est destiné aux CA :

https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_be.pdf

Afin de compléter mon information, je souhaiterais vous poser les questions suivantes :

En ce qui concerne les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles :

  1. Les deux documents susmentionnés et proposés par le CERT.be sont-ils connus des CA et CISO ? Ces documents sont-ils utilisés pas les CA et les CISO ?

  2. Face aux nombreuses menaces et vulnérabilités ( https://threatmap.checkpoint.com/ ), quelles sont les mesures visant à atténuer les cyber-risques mises en place par les CA ? Quid de l'efficacité de ces mesures et des feedback y afférents ?

  3. A quelles fréquences les CISO signalent-ils et font-ils rapport des cyber-risques à surveiller aux CA ? Quelles sont les méthodologies privilégiées pour dégager les cyber-risques et les responsabilités ?

 

 

 

 
 
Réponse    Concernant le Commissioner for Europe and International Organisations :
Les deux documents susmentionnés et proposés par le CERT.be ne sont pas connus par le CA du CEOI mais seront distribués lors du prochain CA de l’association.


Pour ce qui concerne les mesures visant à atténuer les cyber-risques, le CEOI a confié cette mission au CIRB qui mène des actions mutualisées et propose des solutions notamment dans le cadre de la cybersécurité et des intrusions dans les systèmes d’information. Il est entre autre engagé dans un processus de renforcement continu de son service Email Régional et le déploiement de nouvelles mesures visant à renforcer la sécurité de ce service.

Le CEOI profite ainsi d’un grand nombre de services régionaux : E-mail, Backup online, ISP, DNS, Firewall, VPN, Antivirus, LAN, WLAN, mobilophonie et téléphonie VOIP.
Ainsi, ils estiment que leur données confidentielles bénéficient ainsi d'une protection optimale, assortie de leur disponibilité même en cas d'incident, grâce à une structure redondante.

Le CEOI étant une asbl avec que 10 collaborateurs, il ne dispose pas d’un CISO.



Concernant the Brussels Agency for Business Support:
Dans la mise en œuvre de la Politique de sécurité des systèmes d’information, hub.brussels est assisté par leur prestataire de services informatiques – NSI - qui maîtrise la norme ISO/IEC 27001 et par par un cabinet d’avocats spécialisé en NTIC. L’équipe IT prendra connaissance des documents du CERT.be et vérifiera s’ils contiennent d’autres recommandations que celles faites par le partenaire IT.
Fin 2019, le conseil d’administration a approuvé le plan d’actions RGPD de l’Agence qui prévoit entre-autres la mise en œuvre d’une Politique de Sécurité des Systèmes d’information (PSSI). Le risque de cyber-attaque a été intégré au système de contrôle interne de l’Agence et est monitoré dans ce cadre.

Le projet de mise en œuvre de la PSSI a déjà généré la mise en œuvre de plusieurs actions de maîtrise :
- Back-up journaliers sur plusieurs niveaux (interne - copie autre endroit en interne et externe - 3ème niveau sur cloud en cours de mise en place);
- Des audits annuels sont réalisés dans le cadre de l'audit du réviseur d'entreprise;
- Documentations des processus informatiques;
- Utilisation d’un VPN sécurisé pour toutes connexions externes;
- Monitoring hebdomadaire avec alertes de toutes tentatives d’intrusion aux réseaux de l’agence;
- Surveillance en temps réel de l’infrastructure informatique;
- Mise en place de chiffrement de tous les ordinateurs de l’agence ;
- Mise en place de la double authentification sur les comptes utilisateurs;
- Formation de l’équipe informatique aux aspects techniques de la sécurité informatique;
- Sensibilisation des collaborateurs via plusieurs canaux (intranet, messagerie électronique, etc.);
- Un exercice de cartographie des données est actuellement en cours dans un souci d’amélioration continue de la conformité.
Le projet PSSI devrait se terminer à l’horizon 2022 et sera clôturé par un audit. Un rapport sera fait au conseil d’administration suite à cet audit.
La méthodologie appliquée est l’analyse et la gestion des risques dans le cadre du système de contrôle interne de l’Agence.