Logo Parlement Buxellois

Question écrite concernant les services de cybersécurité pour votre cabinet.

de
Emin Özkara
à
Bernard Clerfayt, ministre du gouvernement de la Région de Bruxelles-Capitale chargé de l'emploi et de la formation professionnelle, de la transition numérique, des pouvoirs locaux et du bien-être animal (question n°654)

 
Date de réception: 15/03/2021 Date de publication: 06/05/2021
Législature: 19/24 Session: 20/21 Date de réponse: 06/05/2021
 
Date Intitulé de l'acte de Référence page
02/04/2021 Recevable p.m.
 
Question    "Le Centre pour la Cybersécurité Belgique (CCB) offre une gamme de services de cybersécurité [CYBERSECURITY TESTS PEN] que les services publics fédéraux peuvent utiliser gratuitement. Chaque année, une évaluation est faite pour savoir quels services gouvernementaux peuvent utiliser ces tests de cybersécurité.

Les candidatures pour 2021 ont déjà été clôturées." (1)

Je souhaiterais vous poser les questions suivantes :

1. À l'instar du CYBERSECURITY TESTS PEN proposé par la CCB aux services publics fédéraux, un test de cybersécurité est-il réalisé gratuitement et annuellement pour votre cabinet ? Si oui, qui réalise ces tests ? De quand datent le dernier test réalisé ? Des vulnérabilités ont-elles été découvertes ? Si oui, ces vulnérabilités ont-elles été traitées depuis lors ?
2. Votre cabinet a-t-il fait appel à l'expertise du CCB pour réaliser un CYBERSECURITY TESTS PEN ?
3. En matière de sécurité informatique, de quand datent la dernière évaluation et audit au niveau de votre cabinet ? La politique de sécurité de votre cabinet est-elle à jour ?
4. Enfin, quel est le budget réservé à la sécurité informatique de votre cabinet. Ce budget est-il suffisant eu égard aux enjeux colossaux en rapport avec l'intégrité, la confidentialité et la disponibilité des données numériques dans nos sociétés du tout numérique ?

CCB, "
CYBERSECURITY TESTS PEN POUR LES SERVICES PUBLICS FÉDÉRAUX", https://ccb.belgium.be/fr/cybersecurity-tests-pen-pour-les-services-publics-f%C3%A9d%C3%A9raux , consulté le 20 janvier 2021.

 
 
Réponse    Question 1 
Notre cabinet fait appel aux services du CIRB en tant que "fournisseur de Services Numériques" (FSN).
Le CIRB veille à ce que son infrastructure réseau soit suffisamment résiliente face à une cyberattaque. Cet objectif se traduit par la réalisation de deux 'Pen Tests' par année et par un scan régulier de son périmètre externe.
Le dernier Pen Test date du mois décembre 2020 et couvrait des applications critiques du CIRB.
Toute anomalie détectée, dont des vulnérabilités non critiques, lors de ces exercices est reprise dans un plan interne de correction et/ou de mitigation.


Question 2 :

Le cabinet n’a pas fait appel au service du CCB pour réaliser un PEN TEST.





Question 3 :

Le CIRB a réalisé mi-2020 une évaluation de la maturité de sa résilience en matière de cybersécurité. Les conclusions ont été intégrées dans son programme d’amélioration continue de la sécurité.
Une analyse des risques en matière de cybersécurité est faite périodiquement afin de mettre à jour le programme de sécurité du CIRB. La prochaine analyse est planifiée mi-2021.

Question 4 :

Le CIRB réserve environ 1.8 millions d'euros par an à la sécurité informatique.