Fiche d'une question ou interpellation

Emplois Contact

Question écrite concernant la surveillance des cyber-risques par les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles

de: Emin Özkara
à: Barbara Trachte, Secrétaire d'État à la Région de Bruxelles-Capitale, en charge de la Transition économique et de la Recherche scientifique (question n°608)

Date de réception: 02/09/2022		Date de publication: 08/11/2022
Législature: 19/24	Session: 21/22	Date de réponse: 03/11/2022

Date	Intitulé de l'acte	de	Référence	page
21/09/2022	Recevable

Question	Les conseils d'administration (CA) ont l'obligation légale de surveiller correctement les risques. Les cyber-risques (menaces, vulnérabilités et impacts) font partie des risques à surveiller! D'après la Cyber Emergency Response Team fédérale (CERT.be), la plupart des CA sont mal équipés pour faire face aux cyber-risques et les responsables de la sécurité des informations (CISO) ont des difficultés à mesurer l'efficacité de leur programme de cybersécurité. Le CERT.be propose deux documents afin d'aider les CA et les CISO : Le premier document est destiné aux CISO : https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_ce.pdf Le second document est destiné aux CA : https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_be.pdf Afin de compléter mon information, je souhaiterais vous poser les questions suivantes : En ce qui concerne les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles : Les deux documents susmentionnés et proposés par le CERT.be sont-ils connus des CA et CISO ? Ces documents sont-ils utilisés pas les CA et les CISO ? Face aux nombreuses menaces et vulnérabilités ( https://threatmap.checkpoint.com/ ), quelles sont les mesures visant à atténuer les cyber-risques mises en place par les CA ? Quid de l'efficacité de ces mesures et des feedback y afférents ? A quelles fréquences les CISO signalent-ils et font-ils rapport des cyber-risques à surveiller aux CA ? Quelles sont les méthodologies privilégiées pour dégager les cyber-risques et les responsabilités ?


Réponse	En ce qui concerne citydev.brussels : Les documents du CERT.be sont connus du CISO de citydev.brussels. La structure IT de citydev.brussels est agencée de telle façon que la sécurité soit assurée au maximum de leurs moyens. Sachant que le risque zéro n’existe pas et que le niveau du cyberthreat a considérablement augmenté ces dernières années, des sauvegardes constantes de toutes les données sont réalisées et isolées du reste du réseau pour éviter une contamination en chaîne comme nous avons pu l’observer dans certaines attaques qui ont touché des institutions dans toute l’Union européenne. De cette façon, mais en cas de défaillance et de destruction des données, un rétablissement des données peut être réalisé rapidement et avec un niveau de perte de données réduit (correspondant aux données générées entre 2 backups). Ceci est bien entendu un travail constant et évolutif. citydev.brussels ne manquera pas d’intégrer dès que possible les recommandations du CERT.be. Dès qu’une attaque d’envergure est détectée, l’Administrateur général est prévenu et un rapport circonstancié est opéré. Si cela s’avère pertinent, le conseil d’administration fait également l’objet d’une information. En ce qui concerne hub.brussels : Fin 2019, le conseil d’administration de hub.brussels a approuvé le plan d’actions RGPD de l’Agence, qui prévoit entre-autres la mise en œuvre d’une Politique de Sécurité des Systèmes d’information (PSSI). Le risque de cyber-attaque a été intégré au système de contrôle interne de l’Agence et est monitoré dans ce cadre. Dans la mise en œuvre de cette PSSI, hub.brussels est assisté par le prestataire de services informatiques NSI, qui maîtrise la norme ISO/IEC 27001, ainsi que par un cabinet d’avocats spécialisé en NTIC. L’équipe IT prendra connaissance des documents du CERT.be et vérifiera s’ils contiennent d’autres recommandations que celles faites par leur partenaire IT. Le projet de mise en œuvre de la PSSI a déjà généré la mise en œuvre de plusieurs actions de maîtrise : - Back-up journaliers sur plusieurs niveaux (interne - copie autre endroit en interne et externe - 3ème niveau sur cloud en cours de mise en place) ; - Des audits annuels sont réalisés dans le cadre de l'audit du réviseur d'entreprise ; - Documentations des processus informatiques ; - Utilisation d’un VPN sécurisé pour toutes connexions externes ; - Monitoring hebdomadaire avec alertes de toutes tentatives d’intrusion aux réseaux de l’agence ; - Surveillance en temps réel de l’infrastructure informatique ; - Mise en place de chiffrement de tous les ordinateurs de l’agence ; - Mise en place de la double authentification sur les comptes utilisateurs ; - Formation de l’équipe informatique aux aspects techniques de la sécurité informatique ; - Sensibilisation des collaborateurs via plusieurs canaux (intranet, messagerie électronique, etc.) ; - Un exercice de cartographie des données est actuellement en cours dans un souci d’amélioration continue de la conformité. Le projet PSSI devrait se terminer à l’horizon 2022 et sera clôturé par un audit. Un rapport sera fait au conseil d’administration suite à cet audit. La méthodologie appliquée est l’analyse et la gestion des risques dans le cadre du système de contrôle interne de l’Agence.