Fiche d'une question ou interpellation

Emplois Contact

Question écrite concernant le soutien à la sécurité numérique des pouvoirs locaux

de: Bianca Debaets
à: Bernard Clerfayt, Ministre du Gouvernement de la Région de Bruxelles-Capitale chargé de l'Emploi et de la Formation professionnelle, de la Transition numérique, des Pouvoirs locaux et du Bien-Être animal (question n°273)

Date de réception: 18/05/2020		Date de publication: 22/06/2020
Législature: 19/24	Session: 19/20	Date de réponse: 18/06/2020

Date	Intitulé de l'acte	de	Référence	page
19/05/2020	Recevable	p.m.

Question	En ces temps de coronavirus, le mode de travail classique a été et est radicalement transformé : en effet, les travailleurs ne se rendent plus sur le lieu de travail physique, mais travaillent autant que possible depuis la maison. Cependant, ce changement radical implique également la création d’un contexte entièrement nouveau sur le plan de la sécurité numérique : le travail n’est plus centralisé en un lieu unique, mais chacun doit avoir accès aux données centralisées à partir de son propre lieu de travail. Ces systèmes numériques étant de plus en plus utilisés, ils sont également plus souvent la cible des cybercriminels – tant dans les entreprises privées que dans les services publics. Au niveau flamand, le ministre de l’administration intérieure Bart Somers a déjà décidé d’allouer plus de 2 millions d’euros pour aider les pouvoirs locaux à renforcer la sécurité de leurs systèmes informatiques1. Votre récente note d’orientation sur la transition numérique aborde également le sujet de la cybersécurité : « La cybersécurité régionale sera renforcée en exploitant les technologies innovantes et en sécurisant les infrastructures ICT en collaboration avec BPS et le CIRB. Le CIRB définira ensemble avec ses partenaires régionaux son positionnement en la matière. La priorité du CIRB est de sécuriser les infrastructures ICT qu’il gère au sein du datacenter pour le compte de ses clients. » Je voudrais dès lors vous poser les questions suivantes : - Disposez-vous de chiffres précis et actuels concernant l’impact (financier, logistique,…) de la cybercriminalité sur les pouvoirs locaux bruxellois ? Combien de communes ont-elles déjà été la cible d’une cyberattaque dans notre Région ? Quels services en ont-ils déjà été victimes au sein du SPRB ? Combien de temps ces attaques ont-elles duré ? Quelles ont été leurs conséquences ? Ont-elle livré accès à des données personnelles des habitants ? - Depuis le début de la nouvelle législature, quel soutien le CIRB et IT-CO offrent-ils afin d’aider, respectivement, les pouvoirs locaux et les commissions communautaires ainsi que l’administration régionale à déjouer les attaques ? Dans quelle mesure vos administrations compétentes et les autres administrations se concertent-elles de façon structurelle à cet égard ? - Dans le cadre de vos compétences, quels moyens ont-ils été prévus en 2020 à cette fin ? Combien de membres du personnel s’occupent-ils chaque jour de ce problème au sein de vos administrations ? Quelles mesures le CIRB met-il au point en collaboration avec Bruxelles Prévention et Sécurité afin de pouvoir protéger au mieux les administrations ? - Le RGPD prévoit la réalisation de « tests d’intrusion » à intervalles réguliers. Disposez-vous de chiffres attestant que cette obligation est suffisamment connue des pouvoirs publics bruxellois et/ou que ces tests sont effectivement réalisés ? - Quelles autres mesures et quelles mesures d’accompagnement le gouvernement bruxellois prévoit-il pour s’assurer que les communes et les administrations sont informées des risques et obligations en matière de cybercriminalité ? 1 https://www.bartsomers.be/home/cyberveiligheid-222/?lid=6249


Réponse	1/ Le CIRB ne dispose pas de ces informations car celles-ci sont propres à chaque institution. Vu la sensibilité des informations liées à des actes criminels, il y a toujours un devoir de réserve. Ce genre d’information ne peut être fourni que par l’organisation même ou ne pourrait être collectée que par une institution mandatée pour cela telle qu’ « un CERT – Computer Emergency Response Team - Régional». Au niveau du Data Center Régional géré par le CIRB, aucune attaque intrusive n’a été constatée ces dernières années. Concernant le SPRB, jusqu'à présent, il n'a été la victime d'un cybercrime ou d'une cyberattaque que de manière limitée. Le registre des incidents 2019-2020 mentionne un incident impliquant des mouvements suspects dans une application, étant associé au cybercrime ou cyberattaque. Un monitoring ciblé de la part des équipes techniques a permis une identification anticipée et des mesures ont été prises immédiatement afin d'y remédier. La plus grande menace en 2019 et 2020 auquel le SPRB a fait et fait face actuellement est le phishing et les boîtes e-mail piratées. 2/ Afin de professionnaliser la cybersécurité au sein de notre Région, le CIRB a mis en place un service de Data Protection Office (DPO) et Conseiller en sécurité de l’information (CSI). Actuellement, 34 institutions bruxelloises ont fait appel au CIRB pour ces services. Le rôle de ces conseillers en sécurité de l’information est de donner des avis dans le domaine de la sécurité de l’information, de sensibiliser la direction et les employés aux risques liés à la cybercriminalité, de mettre en œuvre un plan d’actions pluriannuel de sécurité découlant d’une analyse de risques. Son levier est la politique de sécurité de l’information au sein de l’organisation. A côté de cela, le CIRB a mis en place un centre de connaissances pour les délégués à la protection des données regroupant l’ensemble des DPO des institutions régionales afin d’assurer une concertation régionale en la matière et de, entre autres, partager des bonnes pratiques. De plus, depuis le confinement, l’équipe Gestion de la Sécurité de l’Information (Information Security Management) du CIRB met un point d’honneur pour sensibiliser à la cybersécurité les organismes publics de la région au travers de différents canaux de communication. En outre, depuis que le CIRB est considéré comme fournisseur de service numérique dans le cadre de la directive NIS (sécurité des réseaux et des systèmes d’information), le CIRB a un contact étroit avec le Centre Belge de Cybersécurité (CCB) afin de prévenir toute anomalie détectée au niveau de la Région. Un processus de notification bidirectionnelle est en train de se mettre en place entre les deux institutions. De son côté, le SPRB - Bruxelles ConnectIT prévoit toute une série de mesures afin de maintenir à niveau la politique de sécurité de l'information au sein du SPRB : - Une politique de sécurité (plan de sécurité de l'information, plan d'action, directives et procédures) conformément à la norme ISO 27000 - Une sensibilisation permanente des utilisateurs (via de la communication interne) - Une gestion des incidents et des risques - Une sécurité des accès physiques - Une protection technique / opérationnelle moyennant notamment : ○ des anti-malware ○ un filtrage du web / pare-feux / balayageet monitoring du réseau et de l'activité internet ○ des mises à jour périodiques (patches de sécurité) des systèmes d'exploitation et des logiciels ○ le cryptage/destruction assurée (de données confidentielles envoyées ou sauvegardées) ○ l'authentification par mot de passe/Authentification Multi-facteur ○ la protection des e-mails et des données ○ des Data Loss Prevention policies, la classification et le labeling ○ le back-up et le recovery 3/ · Concernant les ressources: Ces dernières années, le CIRB a consacré un budget de l'ordre de 500.000 € annuel dans l’acquisition et la maintenance des technologies IT liées à la sécurité informatique dans le but de renforcer celle-ci. C’est encore le cas en 2020. Les équipes opérationnelles ont été renforcées en 2019 par 3 personnes au niveau des équipes techniques (ingénieur réseau et project manager). A côté de cela, la cellule « Information Security Management » du CIRB comporte 4 personnes pour les services DPO-as-a service et CSI-as-a-service pour ses clients et ses besoins propres. En 2020, le CIRB continuera à investir dans du personnel qualifié afin de maintenir son niveau d'expertise en matière de cybersécurité. Au sein du SPRB, la cellule politique en matière de sécurité de l'information relève du Digital Transformation Office de Bruxelles ConnectIT. Deux personnes sont chargées à temps plein de développer et mener la politique en matière de sécurité de l'information. En outre, des moyens ont été libérés en 2019 pour la mise en œuvre d'une analyse des risques au niveau de la sécurité de l'information, ce qui a donné lieu à une consultation du marché afin de mettre à niveau la sécurité d'Office 365. 150 jours-hommes sont prévus à cet effet. · Concernant la collaboration avec BPS: En 2017 à l’initiative du CIRB, une réflexion a été entamée pour définir le positionnement régional en matière de cybersécurité. Ensuite, en 2018, sur proposition du CIRB, cette réflexion a été élargie à BPS avec la formation d’un groupe de travail dans le but de définir des axes possibles d’actions qui a abouti à l’édition d’un cahier « Vers un plan régional de cybersécurité ». Le cahier présente 4 axes de développement : - Transposition de la directive NIS et cyber-résilience - Développement des ressources industrielles, technologiques et humaines - Diffusion de la culture de la cybersécurité - Prévention des cyber-incidents et lutte contre la cybercriminalité Suite à ce cahier, le Gouvernement a chargé BPS de la mise en œuvre des propositions déposées devant le Gouvernement, en collaboration avec le CIRB. Depuis lors, la priorité a été mise sur le volet de lutte contre la cybercriminalité au sein de BPS avec, entre autres, la création du centre régional de cybersécurité. 4/ Il est important de clarifier que le Règlement Général sur la Protection des Données donne uniquement des orientations de sécurité, réitère le principe d’analyse de risques pour le choix des mesures techniques et organisationnelles et n’impose aucune mesure spécifique de ce type tel que spécifié dans la question. En effet, l’art 32 du GDPR relatif à la sécurité du traitement stipule uniquement que le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins. Le “test d’intrusion” est une des mesures de sécurité parmi d’autres qui se rapportent à un des points de l’art. 32 du règlement, il y en a d’autres. Dans ces conditions, il nous est difficile de répondre à cette question pour la Région bruxelloise. Cependant, il est à noter qu’en plus des scans de vulnérabilité hebdomadaires sur son périmètre interne, le CIRB en tant que fournisseur de service numérique s’est engagé à effectuer un test d’intrusion deux fois par an. 5/ Depuis plusieurs années, le Gouvernement bruxellois a conscience d’un déplacement de la criminalité vers toutes les formes de cybercriminalité et de la nécessité de développer une politique de lutte contre celles-ci. Dans ce contexte, une thématique du Plan Global de Sécurité et de Prévention (PGSP) 2017-2020 y a été consacrée. Une série de mesures traduites dans le PGSP apportent une réponse à votre question quant à l’information apportée aux institutions et communes bruxelloises en matière de cybercriminalité : - Un centre de cybersécurité régional a été mis en place. Ce centre permet une collaboration entre les services de la police fédérale au niveau de l’arrondissement, les 6 zones de police, le CIRB et BPS. Ce centre assure un appui dans le domaine de la sécurité notamment lors d’événements planifiés ou d’incidents. - La mise en place d’un groupe de travail composé de membres de BPS et du CIRB. Ce GT a été chargé d’élaborer un cahier stratégique dressant les contours du plan de stratégie régionale en matière de cybersécurité. - Un colloque sur la cybersécurité a été organisé par BPS et le CIRB. Des experts en matière de cyberharcèlement, protection des données, hacking, ransomware,… ont pu adresser leurs constats et recommandations aux représentants des administrations régionales, communales et de la police intégrée. Une série d’initiatives du CIRB sont à l’étude actuellement afin d’augmenter la capacité d’expertises, de partages et de réactions dans ce domaine pour les institutions de la région de Bruxelles Capitale, notamment la création d’un pôle de compétence de veille informatique et cyber attaque.