La campagne "Ne vous exposez pas en cliquant"

• Session : 2014-2015
• Année : 2015
• N° : 203 (2014-2015) 1

2 élément(s) trouvé(s).

• Question écrite du 20/07/2015

  • de DE BUE Valérie
  • à LACROIX Christophe, Ministre du Budget, de la Fonction publique et de la Simplification administrative
  
  Le Gouvernement flamand a décidé de faire prendre conscience à ses fonctionnaires des dangers existant sur internet. Une campagne les met ainsi en garde contre l’hameçonnage (phishing) et les pièces jointes non fiables.
  
  La campagne a comme slogan « Ne vous exposez pas en cliquant » et comprend entre autres un site web où les principaux risques sont expliqués. C'est ainsi que le site indique que des criminels peuvent se faire passer pour des personnes connues ou des entreprises fiables et qu'ils peuvent facilement orienter des utilisateurs vers des endroits dangereux sur le net au moyen d'URL factices ressemblant à des originaux.
  
  Derrière cette initiative, il y a une sensibilisation au fait qu'en cliquant sur un lien erroné ou en ouvrant une pièce jointe mal intentionnée, ils peuvent non seulement rapatrier un virus capable de bloquer leur PC, mais aussi donner ainsi des informations confidentielles sur eux ou sur d'autres.
  
  Monsieur le Ministre ompte-t-ilt lancer une campagne sur le même thème avant la fin de l'année ?
  
  Peut-il se baser sur celle réalisée au nord du pays ?
  
  Peut-il me dresser une liste de ce qui a déjà été fait en Région wallonne ?

• Réponse du 27/07/2015

  • de LACROIX Christophe
  
  La sécurité informatique repose d’une part sur la protection d’un ensemble de composants techniques et d’autre part sur le respect des bonnes pratiques de sécurité par le personnel qui utilise les ressources du système d’information ou par les experts IT en charge de sa gestion.
  La cybersécurité est ainsi une préoccupation permanente de nos administrations, et n’est pas uniquement l’apanage des acteurs en charge de l’informatique. Tous les agents du SPW manipulent chacun à leur niveau des données parfois sensibles et sont donc particulièrement concernés.
  
  En réponse à ces enjeux, le SPW dispose d’une Politique de Sécurité des Systèmes d’Information (PSSI) basée sur la norme internationale ISO 27001-27002. Cette politique fixe les règles de sécurité à appliquer et concerne toutes les entités du SPW, et tant ses utilisateurs que ses prestataires.
  
  À côté des nombreuses mesures de précautions techniques qui sont appliquées au quotidien, des mesures organisationnelles ou des procédures pragmatiques ont été mises en œuvre au sein des administrations :
  * Le SPW a désigné un Responsable Sécurité des Systèmes d'Information, fixé sa mission et la politique à suivre.
  * Des Responsables de sécurité délégués ont été désignés par chaque direction générale, pour y promouvoir la sécurité.
  * Des ressources internes ou externes assurent, chacune à leur niveau et dans leur service au sein du DTIC, la prise en charge opérationnelle de mesures de sécurité (soit par des projets, soit par de la gestion d’équipements).
  * Un gestionnaire d’incident a été désigné au sein du DTIC pour prendre en charge la coordination opérationnelle de la réponse aux incidents majeurs et le suivi des autres incidents.
  * La sensibilisation aux bonnes pratiques et aux règlements relatifs à la sécurité se poursuit auprès des membres du DTIC, et auprès des coordinateurs informatiques des Directions générales ou des prestataires assistant le DTIC dans sa gestion opérationnelle. Ainsi, depuis 2009, une formation à la protection de la vie privée a été proposée et dispensée à certains agents traitant des données à caractère personnel. D’autre part, le Groupe de Travail sur la Sécurité de l’Information (GTSI), réunissant les conseillers en sécurité de l’information du SPW, du MFWB et des OIP, a édité un « Guide Vie Privée » disponible depuis 2011.
  
  Enfin, il faut souligner qu’un état des lieux du niveau de sécurité du système d’information du SPW a été réalisé fin 2013/début 2014. Chaque domaine a été évalué du point de vue maturité, risque et priorité.
  
  Le rapport qui en découle aborde les mesures à mettre en œuvre pour améliorer la sécurité. L'honorable membre comprend que le caractère confidentiel du document m’interdise cependant la communication de ces informations.
  
  Il ressort en synthèse de ce rapport confidentiel que le niveau de sécurité du système d'information du SPW peut être considéré comme étant dans la moyenne des bonnes pratiques appliquées par des institutions de taille et de visibilité comparables.
  
  En termes de recommandations, ce rapport suggère des améliorations pour « Inclure la sécurité au cœur des métiers du SPW ».
  
  Pour y donner suite, j’ai demandé récemment à mon administration de définir un programme de sensibilisation à la sécurité, pour renforcer la conscientisation des agents et du management à l’importance des règles et des bonnes pratiques de sécurité.
  
  Ce programme est en cours d’élaboration à l’heure actuelle avec le département TIC du SPW et sera finalisé sous peu.
  
  L’objectif qu’il poursuit est d’ancrer progressivement la sécurité dans « la culture d’entreprise » du SPW et dans les réflexes des utilisateurs, chefs de projets, responsables d’applications, ou autres fonctions en lien avec l’informatique et l’information.
  
  La campagne menée en Flandre constitue un bel exemple de sensibilisation dont nous nous inspirons également dans la rédaction du programme de sensibilisation.