La cybersécurité au sein de l'administration wallonne
- Session : 2021-2022
- Année : 2022
- N° : 208 (2021-2022) 1
2 élément(s) trouvé(s).
Question écrite du 14/02/2022
- de DESQUESNES François
- à DE BUE Valérie, Ministre de la Fonction publique, de l'Informatique, de la Simplification administrative, en charge des allocations familiales, du Tourisme, du Patrimoine et de la Sécurité routière
Aussi, je souhaiterais interroger Madame la Ministre dans trois thématiques.
* L'audit du niveau de cybersécurité.
Quels sont les dispositifs mis en place pour détecter les éventuelles failles au sein des administrations wallonnes ?
Un inventaire du parc informatique des administrations wallonnes a-t-il déjà été réalisé de manière à déterminer les risques éventuels liés à l'obsolescence ou au retard technologique des systèmes d'information ?
Des moyens financiers sont-ils prévus dans le cadre du Plan de relance pour réaliser ce bilan technologique, évaluer le degré de vulnérabilité, voire le cas échéant, renouveler le parc informatique ?
Quel rôle l'Agence du Numérique (AdN) est-elle amenée à jouer pour ce type d'audit ?
* Une démarche concertée pour l'ensemble des administrations.
L'informatique est un des domaines où la collaboration se doit d'être encouragée et où les bonnes pratiques doivent être partagées. Ne conviendrait-il pas de mettre en place une démarche concertée au niveau de l'ensemble des administrations wallonnes en ce qui concerne les outils informatiques ?
Une telle démarche ne serait-elle pas profitable à la fois en termes d'optimisation des coûts, mais également pour augmenter la capacité de résilience face à la cybercriminalité ?
* Le contrat d'administration.
Au moment même où la digitalisation est préconisée à travers l'administration 4.0, ce thème majeur de la cybersécurité est fondamental.
Ne conviendrait-il pas d'intégrer la cybersécurité dans le contrat d'administration ?
En effet, dans le chapitre consacré à l'informatique et au TIC, aucune référence n'est faite quant à une stratégie globale à mettre en place en cybersécurité et en cas d'incidents.
Réponse du 10/03/2022
- de DE BUE Valérie
L’audit du niveau de cybersécurité :
La cybersécurité ne peut se définir par un seul facteur et est donc composée d’un ensemble de moyens de surveillance et d’actions permettant d’assurer la protection et l’intégrité des données et systèmes au sein d’une infrastructure numérique. Il est également important de savoir que la correction de failles de sécurité n’est que rarement instantanée et nécessite régulièrement des développements complémentaires.
Au sein du SPW, chaque solution et outil fait l’objet de maintenance corrective. Chaque responsable d’application doit s’assurer, en collaboration avec les services informatiques, de la maintenance de son application qui doit nécessairement comprendre des correctifs de sécurité. Les services informatiques s’assurent également du suivi des correctifs de sécurité de leurs propres outils selon les procédures en vigueur. Il est à noter qu’avant d’appliquer un correctif, celui-ci subit une batterie de tests à large spectre impliquant de nombreux intervenants afin de s’assurer qu’il ne créera pas de problème lors de son installation.
En parallèle à cette logique de maintenance, une solution de gestion de vulnérabilités, en cours de déploiement, va permettre d’en automatiser une bonne partie. Une fois cette solution opérationnelle et complètement intégrée, elle permettra, régulièrement et en totale autonomie, de détecter, proactivement, des vulnérabilités au sein du système d’information et de déclencher une démarche de déploiement automatique des correctifs s’ils sont déjà disponibles. Dans l’attente de cette intégration complète (au deuxième quadrimestre 2022), la solution permet déjà, à la demande, d’effectuer des analyses de vulnérabilités fournissant des informations précieuses sur les risques de sécurité potentiels au sein du système d’information du SPW. Cette solution a notamment permis, fin décembre 2021, de réagir efficacement à la faille « Log4j ». Pour rappel, cette faille critique qui a fait la une des journaux touchait un composant informatique largement utilisé au sein des systèmes informatiques dans le monde entier.
En matière de cybersécurité, le risque peut également avoir pour origine des vulnérabilités découlant de l’obsolescence technologique de composant. Il y a toutefois lieu de différencier anciennes technologies et technologies obsolètes, car contrairement aux idées préconçues, certains composants très anciens ne sont pas impactés par de nouvelles failles de sécurité découvertes qui ne touchent parfois uniquement que les versions les plus récentes. Afin de limiter ce risque, des outils et des politiques de gestion d’inventaires des actifs existent et fournissent une vue du parc informatique. Cependant ils ne sont pas suffisants pour offrir la vue la plus complète possible sur l’obsolescence technologique et les risques qui en découlent. C’est la raison pour laquelle un programme de gestion du cycle de vie des composants IT a été initié pour la compléter. La gestion de l’obsolescence est donc un processus continu et permanent.
Enfin, un dernier élément à prendre en compte pour évaluer le risque d’un actif est l'éventuelle absence de fourniture de support par son éditeur. Quand une faille est découverte dans un logiciel commercial, l’éditeur fait, pendant la période de vie du logiciel, le nécessaire pour corriger celle-ci via des patchs de sécurité. Le SPW privilégie donc les offres de support long terme offertes par certains éditeurs, garantissant ainsi les correctifs de sécurité.
Le Plan de relance wallon prévoit le financement au travers de la fiche 296 “Assurer les services, la maintenance et la sécurité associées aux plateformes transversales” d’un renforcement de la cybersécurité. Ce projet met l’accent sur la sécurisation et la haute disponibilité de nouvelles plateformes transversales permettant de couvrir les macro-processus du SPW (subsidier, sanctionner, autoriser, …) et potentiellement ceux des UAP intéressés. Ces plateformes contribuent, de par leurs transversalité et innovations, à la réduction de la dette technique de l’administration d’une part et à une meilleure maîtrise du parc applicatif d’autre part via la réduction du nombre d’applications et de technologies utilisées. La conception de ces applications a, dès le départ, intégré le principe du « security by design ».
Le rôle de l’AdN en matière d’audit relève quant à lui du Ministre en charge du numérique, Monsieur Willy Borsus.
Une démarche concertée :
Comme l’honorable membre l’indique, l'informatique est un des domaines où la collaboration se doit d'être encouragée et où les bonnes pratiques doivent être partagées. Dans cette optique, la création d’un collège des CIO a été annoncée dans la déclaration de politique régionale et réaffirmée dans le cadre de la stratégie de transformation digitale. Des contacts réguliers existent déjà entre les CIO des principales administrations wallonnes et un organe de concertation entre les administrations wallonnes et de la fédération Wallonie-Bruxelles est également en cours d’élaboration. L’Etnic, le CiRB et le SPW y travaillent depuis peu et les sujets qui seront couverts incluront notamment la thématique de la cybercriminalité.
Le contrat d’administration :
Le contrat d’administration, en tant que tel, ne contient effectivement pas d’objectif en termes de cybersécurité ou d’incidents de sécurité. Néanmoins, la stratégie digitale et la constitution du SPW Digital, intégrées dans le Contrat d’administration, prévoient l’engagement d’un Chief Security Officer, garant de l’intégration de tous les aspects relatifs à la sécurité du système d’information du SPW. La procédure de recrutement devrait pouvoir débuter sous peu permettant à l’administration de continuer à construire son arsenal de réponses à la problématique de cybersécurité.
L’administration met en place le maximum de choses, tant en moyens humains que technologiques, pour assurer un niveau de sécurité optimal de nos systèmes d’informations.