/

Le soutien aux villes et communes en matière de cybersécurité

  • Session : 2022-2023
  • Année : 2023
  • N° : 386 (2022-2023) 1

2 élément(s) trouvé(s).

  • Question écrite du 17/04/2023
    • de EVRARD Yves
    • à COLLIGNON Christophe, Ministre du Logement, des Pouvoirs locaux et de la Ville
    En 2022, Monsieur le Ministre a demandé à l'Agence wallonne du Numérique d'établir un baromètre de maturité numérique des pouvoirs locaux. Celui-ci a permis d'obtenir un état des lieux complet de l'état des développements et des usages numériques dans les villes et communes de Wallonie.

    Ce baromètre a notamment révélé que 20 % des communes ont déjà subi une cyberattaque. Bien que ce soient essentiellement les grandes entités qui sont visées, il ne faut pas oublier les plus petites communes.

    Le baromètre indique par ailleurs qu'il existe une relation entre la taille des entités et la capacité qu'elles ont à développer et maintenir les services numériques souhaitables pour leur population et qu'il convient de faciliter le recrutement de professionnels ayant acquis les compétences nécessaires en matière informatique.

    En séance plénière du 5 avril, il a annoncé avoir débloqué un montant de 2,75 millions d'euros à destination d'IMIO pour épauler les villes et communes dans ces matières. Une fois les accords « ToP » finalisés, des montants seront également consacrés pour permettre aux communes de s'équiper dans un objectif de réduire la fracture numérique, d'être moderne, mais également de pouvoir le faire en toute sécurité.

    Comment va se dérouler la collaboration avec IMIO ?

    Monsieur le Ministre leur a-t-il donné une ligne de conduite pour savoir quel axe privilégier ?


    Comment compte-t-il aider les plus petites communes qui n'ont pas les moyens d'engager un informaticien, tout comme celles qui ne font pas partie d'IMIO ?

    Enfin, en cybersécurité, on sait malheureusement que la première faille est le facteur humain.

    Prévoit-il une quelconque forme de prévention à destination des pouvoirs locaux que ce soit pour les employés d'une administration communale ou les mandataires ?
  • Réponse du 06/07/2023
    • de COLLIGNON Christophe
    Suite à la menace croissante en matière de cybercriminalité, le Gouvernement wallon a décidé, sur ma proposition, de soutenir la transition numérique dans les pouvoirs locaux. Afin d’inciter les Pouvoirs locaux à investir structurellement en matière de cybersécurité, dynamiser les initiatives existantes et créer un cadre de travail proposant des solutions complètes et robustes, le Gouvernement wallon a octroyé à l’intercommunale Imio un subside de 2,735 millions d’euros.
    • 750 000 euros pour réaliser des audits de sécurité à finaliser pour le 30 mars 2023 au plus tard ;
    • 1,75 million d'euros en vue de l’acquisition d’équipements et des services en matière de cybersécurité à finaliser pour le 30 juin 2024 au plus tard

    La phase d’audits s’est déroulée d’octobre 2022 à mars 2023 sur base d’un marché de services attribué à l’intercommunale Imio en juillet 2022. Un rapport final a été rendu en date du 15 juin 2023. Il en ressort notamment que 153 AC (93) ou CPAS (60) ont marqué un intérêt pour l’audit et que 100 AC (62) ou CPAS (38), répartis sur tout le territoire, ont commandé l’audit proposé par Imio.

    Quelques chiffres clés résultants de l’audit de 100 AC ou CPAS :
    • Trois cas de figure : Maturité inexistante - Maturité très faible avec peu de moyens - Maturité faible à moyenne dépendant principalement de la sensibilité humaine ;
    • 55 % Pouvoirs Locaux audités se situent avec un score entre 20% et 35% de conformité avec les standards de sécurité de l’information ;
    • En se basant uniquement sur les critères du CCB :
    • 55 % des audités ne dépassent pas 20 % de conformité avec les standards ;
    • 92 % ne dépassent pas 35 % de maturité de conformité avec les standards ;
    • Score médian de 33 % avec un écart type de 9 %.

    Parmi les principales constatations, on peut retenir les points suivants :

    1. Gouvernance insuffisante :
    a) absence d'une politique de sécurité adaptée et conforme aux besoins des PL ;
    b) utilisation inadéquate ou inexistante d'une charte informatique adaptée aux réalités locales ;
    c) rôles et responsabilités des acteurs non clairement définis ;
    d) absence d'une stratégie de communication cohérente en matière de cybersécurité ;
    2. Gestion des risques inexistante ou inadéquate dans la plupart des PL ;
    3. Contrôle d'accès, tant numérique que physique, largement insuffisant pour garantir la sécurité des systèmes et des données ;
    4. Sensibilisation à la cybersécurité et aux enjeux associés quasi inexistante parmi les employés ;
    5. Visibilité limitée ou inexistante sur la journalisation des événements ;
    6. Absence d'un inventaire d'actifs exhaustif et de processus d'incidents structurés ;
    7. Exigences de sécurité non formalisées, rendant difficile la mise en place de mesures de protection adéquates ;
    8. Manque de compétences informatique/cybersécurité en interne ;
    9. Gestion des mots de passe largement insatisfaisante, exposant les PL à des risques de compromission ;
    10. pénurie de personnel IT compétent, limitant la capacité des PL à mettre en oeuvre des mesures de cybersécurité efficaces.

    Sur base de ces principales constatations, l’intercommunale Imio a formulé les recommandations suivantes :
    1. Renforcer la gouvernance en matière de cybersécurité ;
    2. Instaurer une gestion des risques efficace pour identifier et traiter les risques en matière de cybersécurité ;
    3. Améliorer les contrôles d'accès, tant numériques que physiques, pour garantir la sécurité des systèmes et des données ;
    4. Sensibiliser les employés aux enjeux de la cybersécurité et aux bonnes pratiques à adopter ;
    5. Assurer une meilleure visibilité sur les événements de sécurité en conformité avec les obligations légales ;
    6. Établir un inventaire d'actifs exhaustif et mettre en place des processus d'incidents structurés ;
    7. Formaliser les exigences de sécurité pour faciliter la mise en place de mesures de protection adéquates ;
    8. Développer les compétences cybersécurité au sein des équipes internes ;
    9. Mettre en place une gestion des mots de passe robuste et conforme aux standards de sécurité ;
    10. Renforcer les effectifs en personnel IT/RSSI/DPD compétent pour soutenir les efforts de cybersécurité dans les PL ;
    11. Promouvoir la collaboration entre les PL, les autorités régionales et fédérales pour mutualiser les ressources et les compétences en matière de cybersécurité ;
    12. Forcer l’adoption d’un cadre de cybersécurité reconnu, tel que l'ISO 27001 pour guider et structurer les efforts en matière de cybersécurité pour certains fournisseurs critiques ;
    13. Assurer la conformité aux réglementations applicables, telles que le RGPD, en mettant en place des processus et des contrôles adaptés.

    S'agissant des profils en la matière difficiles à recruter pour les plus petites entités, je renvoie l’honorable membre aux dispositifs en cours d'adoption dans le cadre de la réforme de la fonction publique locale, qui intègrent, notamment, les résultats de l'opération #ambitioncommunes et abordent les possibilités dorénavant offertes aux pouvoirs locaux en la matière : mutualisation, mobilité, promotion, décloisonnement des carrières, souplesse au recrutement…

    Enfin, concernant la formation en matière de cybersécurité, j’ai mandaté le Conseil Régional de la formation de me revenir avec des propositions en la matière.

    Je suis dans l’attente de leurs recommandations afin d’élaborer un plan d’action à proposer à mes partenaires du Gouvernement.