Question écrite concernant la surveillance des cyber-risques par les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles
- de
- Emin Özkara
- à
- Barbara Trachte, Secrétaire d'État à la Région de Bruxelles-Capitale, en charge de la Transition économique et de la Recherche scientifique (question n°608)
Date de réception: 02/09/2022 | Date de publication: 08/11/2022 | ||
Législature: 19/24 | Session: 21/22 | Date de réponse: 03/11/2022 |
Date | Intitulé de l'acte | de | Référence | page |
21/09/2022 | Recevable |
Question | Les conseils d'administration (CA) ont l'obligation légale de surveiller correctement les risques. Les cyber-risques (menaces, vulnérabilités et impacts) font partie des risques à surveiller! D'après la Cyber Emergency Response Team fédérale (CERT.be), la plupart des CA sont mal équipés pour faire face aux cyber-risques et les responsables de la sécurité des informations (CISO) ont des difficultés à mesurer l'efficacité de leur programme de cybersécurité. Le CERT.be propose deux documents afin d'aider les CA et les CISO :
https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_ce.pdf
https://cert.be/sites/default/files/signaler_les_cyber-risques_aux_conseils_dadministration_be.pdf Afin de compléter mon information, je souhaiterais vous poser les questions suivantes : En ce qui concerne les conseils d'administration relevant de vos compétences ou de votre tutelle ministérielles :
|
Réponse | En ce qui concerne citydev.brussels : Les documents du CERT.be sont connus du CISO de citydev.brussels. La structure IT de citydev.brussels est agencée de telle façon que la sécurité soit assurée au maximum de leurs moyens. Sachant que le risque zéro n’existe pas et que le niveau du cyberthreat a considérablement augmenté ces dernières années, des sauvegardes constantes de toutes les données sont réalisées et isolées du reste du réseau pour éviter une contamination en chaîne comme nous avons pu l’observer dans certaines attaques qui ont touché des institutions dans toute l’Union européenne. De cette façon, mais en cas de défaillance et de destruction des données, un rétablissement des données peut être réalisé rapidement et avec un niveau de perte de données réduit (correspondant aux données générées entre 2 backups). Ceci est bien entendu un travail constant et évolutif. citydev.brussels ne manquera pas d’intégrer dès que possible les recommandations du CERT.be. Dès qu’une attaque d’envergure est détectée, l’Administrateur général est prévenu et un rapport circonstancié est opéré. Si cela s’avère pertinent, le conseil d’administration fait également l’objet d’une information. En ce qui concerne hub.brussels : Fin 2019, le conseil d’administration de hub.brussels a approuvé le plan d’actions RGPD de l’Agence, qui prévoit entre-autres la mise en œuvre d’une Politique de Sécurité des Systèmes d’information (PSSI). Le risque de cyber-attaque a été intégré au système de contrôle interne de l’Agence et est monitoré dans ce cadre. Dans la mise en œuvre de cette PSSI, hub.brussels est assisté par le prestataire de services informatiques NSI, qui maîtrise la norme ISO/IEC 27001, ainsi que par un cabinet d’avocats spécialisé en NTIC. L’équipe IT prendra connaissance des documents du CERT.be et vérifiera s’ils contiennent d’autres recommandations que celles faites par leur partenaire IT. Le projet de mise en œuvre de la PSSI a déjà généré la mise en œuvre de plusieurs actions de maîtrise : - Back-up journaliers sur plusieurs niveaux (interne - copie autre endroit en interne et externe - 3ème niveau sur cloud en cours de mise en place) ; - Des audits annuels sont réalisés dans le cadre de l'audit du réviseur d'entreprise ; - Documentations des processus informatiques ; - Utilisation d’un VPN sécurisé pour toutes connexions externes ; - Monitoring hebdomadaire avec alertes de toutes tentatives d’intrusion aux réseaux de l’agence ; - Surveillance en temps réel de l’infrastructure informatique ; - Mise en place de chiffrement de tous les ordinateurs de l’agence ; - Mise en place de la double authentification sur les comptes utilisateurs ; - Formation de l’équipe informatique aux aspects techniques de la sécurité informatique ; - Sensibilisation des collaborateurs via plusieurs canaux (intranet, messagerie électronique, etc.) ; - Un exercice de cartographie des données est actuellement en cours dans un souci d’amélioration continue de la conformité. Le projet PSSI devrait se terminer à l’horizon 2022 et sera clôturé par un audit. Un rapport sera fait au conseil d’administration suite à cet audit. La méthodologie appliquée est l’analyse et la gestion des risques dans le cadre du système de contrôle interne de l’Agence. |