Logo Parlement Buxellois

Question écrite concernant la surveillance des cyber-risques par les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles

de
Emin Özkara
à
Nawal Ben Hamou, Secrétaire d'État à la Région de Bruxelles-Capitale en charge du Logement et de l'Égalité des Chances (question n°979)

 
Date de réception: 02/09/2022 Date de publication: 16/11/2022
Législature: 19/24 Session: 21/22 Date de réponse: 09/11/2022
 
Date Intitulé de l'acte de Référence page
21/09/2022 Recevable
 
Question   

Les conseils d'administration (CA) ont l'obligation légale de surveiller correctement les risques. Les cyber-risques (menaces, vulnérabilités et impacts) font partie des risques à surveiller! D'après la Cyber Emergency Response Team fédérale (CERT.be), la plupart des CA sont mal équipés pour faire face aux cyber-risques et les responsables de la sécurité des informations (CISO) ont des difficultés à mesurer l'efficacité de leur programme de cybersécurité.

Le CERT.be propose deux documents afin d'aider les CA et les CISO :

  • Le premier document est destiné aux CISO :

https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_ce.pdf

  • Le second document est destiné aux CA :

https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_be.pdf

Afin de compléter mon information, je souhaiterais vous poser les questions suivantes :

En ce qui concerne les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles :

  1. Les deux documents susmentionnés et proposés par le CERT.be sont-ils connus des CA et CISO ? Ces documents sont-ils utilisés pas les CA et les CISO ?

  2. Face aux nombreuses menaces et vulnérabilités ( https://threatmap.checkpoint.com/ ), quelles sont les mesures visant à atténuer les cyber-risques mises en place par les CA ? Quid de l'efficacité de ces mesures et des feedback y afférents ?

  3. A quelles fréquences les CISO signalent-ils et font-ils rapport des cyber-risques à surveiller aux CA ? Quelles sont les méthodologies privilégiées pour dégager les cyber-risques et les responsabilités ?

 

 

 
 
 
Réponse    J’ai l’honneur de vous adresser les éléments de réponse suivants:

Concernant la SLRB:

Les deux documents mentionnés dans votre question sont des guides pour aider les administrations qui en auraient besoin.

La SLRB utilise quant à elle, les services Firewall UTM du CIRB.

Un firewall UTM (Unified threat management) constitue la pierre angulaire de la protection de votre système informatique et est la première ligne de défense contre les cyberattaques.

Cette solution tout-en-un, qui renforce la protection du réseau local en diminuant le risque d’infection virale via l’utilisation d’internet, fournit de nombreuses fonctions de sécurité :

· pare-feu réseau ;
· logiciel antivirus ;
· logiciel anti-espions ;
· protection antispam ;
· prévention et détection des intrusions ;
· filtrage des contenus web ;
· prévention des fuites.

Enfin, ce service Firewall UTM permet la sécurisation du réseau local de la SLRB et sa connexion sécurisée à d'autres réseaux, tels que l’accès à IRISnet pour l'accès à Internet, au réseau privé virtuel (VPN) régional pour l'accès à distance au réseau SLRB pour les collaborateurs SLRB ainsi qu’aux sources authentiques de données via FIDUS.

Concernant les mesures prises par les CA, visant à atténuer les cyber-riques, comme susmentionné, la SLRB a mis en place une infrastructure et des systèmes de protection afin de se prémunir de ce type d’attaque en utilisant les services Firewall et UTM du CIRB. Les membres du CA sont également sensibilisés à cela via leurs accès restreints et l’utilisation de comptes spécifiques et personnalisés pour accéder aux informations de la SLRB.

Enfin, les rapports des cyber-risques aux CA ont lieu en cas de nécessité d’information de ces derniers.

Concernant le Fonds du Logement:

Les documents mentionnés dans votre question ne sont pas utilisés par le Fonds du Logement.

Les mesures mises en place, principalement en 2022, sont les suivantes (liste non-exhaustive) :

1. Commande d’un AUDIT informatique. Suite à cet AUDIT, le Fonds a continué et complété ses mesures ;
2. Augmentation des prescriptions requises pour la complexité des mots de passe ;
3. Sensibilisation des utilisateurs ;
4. Mise en veille plus souvent des sessions Windows ;
5. Mise en place de la Double authentification ;
6. Configuration plus fine de son Firewall (plus d’accès depuis l’étranger) ;
7. Complétion de l’Antivirus par un EDR/XDR (XDR collecte et met automatiquement en corrélation des données sur plusieurs couches de sécurité : email, endpoint, serveur, charge de travail sur le Cloud et réseau) ;
8. Gestion des accès plus strictes ;
9. Upgrade plus réguliers de ses systèmes opérationnels (serveurs Windows, Linux) ;
10. Création d’un Wifi séparé pour les visiteurs ;
11. Mise en place d’un Antispam plus performant ;
12. Commande et exécution d’un TEST D’INTRUSION qui sera renouvelée tous les ans ;
1. Test depuis l’extérieur ;
2. Test en interne depuis une connexion physique ;
3. Via le Wifi (craquer le mot de passe).


Enfin, sachez que le Fonds a engagé un chef de Projet dans le domaine de la sécurité qui suit les conseils de l’Audit et gère ce qui a trait à la sécurité. La communication vers le CA se fait par la Direction Générale et consiste en un rapport sommaire des actions/mesures déjà réalisées. La communication vers le CA se fait également en cas de suspicion d’attaque.