Logo Parlement Buxellois

Question écrite concernant l'application bancaire en ligne utilisée par le Centre d'informatique pour la Région bruxelloise (CIRB) et le risque de fraude.

de
Emin Özkara
à
Bernard Clerfayt, Ministre du Gouvernement de la Région de Bruxelles-Capitale chargé de l'Emploi et de la Formation professionnelle, de la Transition numérique, des Pouvoirs locaux et du Bien-Être animal (question n°778)

 
Date de réception: 09/07/2021 Date de publication: 21/09/2021
Législature: 19/24 Session: 20/21 Date de réponse: 17/09/2021
 
Date Intitulé de l'acte de Référence page
09/08/2021 Recevable p.m.
 
Question    Dans le 25e cahier de la Cour des comptes adressé au Parlement de la Région de Bruxelles-Capitale et à l’Assemblée réunie de la Commission communautaire commune (A-271/1-2020-2021 / B-54/1-2020-2021)1, la Cour des comptes attire l’attention, entre autres, sur le point suivant :

« Telle qu’elle est configurée, l’application bancaire en ligne utilisée par le CIRB offre également la possibilité de créer et d’exécuter des virements manuels, sans limite de montant et sans que ce système informatique contrôle l’existence d’un ordre de paiement régulier émanant d’un ordonnateur compétent. Dès lors, le risque de fraude n’est pas totalement maîtrisé. » 2

Afin de compléter mon information, je souhaiterais vous poser les questions suivantes en rapport avec l'application bancaire en ligne utilisée par le Centre d’informatique pour la Région bruxelloise (CIRB) et le risque de fraude :

  • Depuis que la Cour des comptes a attiré l'attention de votre cabinet et la vôtre, quels ont été les moyens mis en œuvre et concrètement implémentés pour minimiser le risque de fraude ? Le cas échéant, une limite de montant est-elle maintenant imposée ?

  • L'actuelle configuration de l'application bancaire en ligne permet-elle d'empêcher totalement le risque de fraude ? Une nouvelle configuration plus fiable a-t-elle été implémentée ?

Je vous remercie pour vos réponses.

1 Cour des comptes, "25e cahier de la Cour des comptes adressé au Parlement de la Région de Bruxelles-Capitale et à l’Assemblée réunie de la Commission communautaire commune", https://www.ccrek.be/FR/Publications/Fiche.html?id=e07ba888-8e71-4663-9d06-511a251b7205 , consulté le 8 juillet 2021.

2 Idem, page 113.

 

 

 
 
Réponse    1/
Le CIRB utilise l’application bancaire développée par la banque Belfius et est donc soumis aux limitations de configuration imposées par cette application.
Cette application, comme d’autres (Isabel par exemple) ne permet pas de bloquer les virements manuels directement sur le plateforme ou de gérer des limites de montant.


Toutefois, pour limiter le risque de fraude, elle permet qu’un virement soit approuvé par une double signature. C’est ce qui a été implémenté pour le CIRB et rendu obligatoire pour tous les paiements qu’ils soient générés par l’application comptable du CIRB ou manuellement, avec obligatoirement dans les 2 signatures celle du Directeur Général (DG) ou du Directeur Général Adjoint (DGA).



Enfin, toutes les propositions de paiement (générées par l’application comptable du CIRB ou manuelles) ont fait au préalable l’objet d’un engagement et d’une liquidation comptables approuvés par l’ordonnateur dans le système comptable du CIRB.


Par ailleurs, le CIRB utilise la possibilité offerte par l’application bancaire de Belfius d’émettre des virements manuels mais exclusivement dans le cas de virements internationaux qui ne sont pas gérés automatiquement par l’application comptable du CIRB.


2/
Au niveau fonctionnel, le CIRB est limité par ce que permet l’application Belfius comme expliqué au point 1.

Même-si, jusqu’ici, aucune fraude ou usage en double n’a été constaté, le CIRB est en train de revoir les droits des différents utilisateurs de manière à ce qu’une même personne ne puisse pas créer manuellement un virement et le signer :
- Le droit exclusif en écriture : une ou deux personnes n’aura(on)t le droit que de uploader et/ou faire des virements manuels.
- Le droit exclusif en signature : plusieurs personnes n’auront le droit que de signer les propositions de paiement collectif ou manuel.
- Aucune personne n’aurait les droits à la fois en écriture et en signature.

Ceci permettra d’encore limiter le risque de fraude, en mettant un niveau de sécurité supplémentaire en surplus de la double signature obligatoire et requérant au minimum celle du DG ou du DG adjoint.