Le plan anti-hackers de l'administration wallonne
- Session : 2014-2015
- Année : 2015
- N° : 215 (2014-2015) 1
2 élément(s) trouvé(s).
Question écrite du 07/08/2015
- de CRUCKE Jean-Luc
- à LACROIX Christophe, Ministre du Budget, de la Fonction publique et de la Simplification administrative
La presse révèle que la cybersécurité est une préoccupation majeure de Monsieur le Ministre qui a sollicité un audit général sur le niveau de sécurité des sites web de l'administration.
A quel opérateur fut confiée cette mission ? Quand a-t-elle démarré et quand s'est-elle achevée ? Quel en est le coût ?
D'autres opérateurs furent-ils consultés ou ont-ils soumissionnés ? Lesquels ? Quelle fut la motivation qui justifia le choix de l'opérateur retenu ?
Quelles sont les principales recommandations et conclusions de l'audit ?
Quel est le responsable de la sécurité des systèmes d'information désigné par le SPW ? Quels sont les critères qui ont prévalu dans le choix de l'intéressé ? Quel sont les responsables de sécurité délégués désignés au sein de chacune des directions générales ? Quelle est la méthodologie de fonctionnement et de coordination desdites personnes ?
Quand doit être finalisé le programme de sensibilisation à la sécurité demandé par Monsieur le Ministre auprès de l'administration?
Réponse du 03/09/2015 | Annexe [PDF]
- de LACROIX Christophe
Tout d’abord il est nécessaire de préciser qu’il n’a pas été sollicité « d’audit général sur le niveau de sécurité des sites web de l'administration ».
Il me semble ici qu’il y ait une confusion. Comme je l’ai précisé dernièrement dans ma réponse à la question parlementaire de Madame la Députée DE BUE (QE 203), l’administration a réalisé « un état des lieux du niveau de sécurité du système d’information du SPW ».
Il ne s’agit donc pas des sites web, mais bien de tout le système d’informations.
Cet état des lieux réalisé avec les moyens internes a conduit à évaluer chaque domaine du point de vue maturité, risque et priorité.
Le rapport confidentiel qui en découle indique que le niveau de sécurité du système d'information du SPW peut être considéré comme étant dans la moyenne des bonnes pratiques appliquées par des institutions de taille et de visibilité comparables.
Il aborde également les mesures techniques à mettre en œuvre pour améliorer la sécurité globale du système d’informations. Enfin, en termes de recommandations, ce rapport suggère entre autres des améliorations pour « Inclure la sécurité au cœur des métiers du SPW ».
Suite à l’attaque de sites web de la Région wallonne en avril dernier, j’ai convoqué l’administration (le DTIC) pour réfléchir aux actions prioritaires à mener dans ce cadre.
Outre certaines mesures techniques rapidement mises en œuvre, les interlocuteurs ont mis en avant, conformément aux recommandations issues de ce rapport, l’importance de sensibiliser à la sécurité les acteurs et utilisateurs de l’informatique de la Région wallonne.
En effet, la sécurité informatique repose d’une part sur la protection d’un ensemble de composants techniques et d’autre part sur le respect des bonnes pratiques de sécurité par le personnel qui utilise les ressources du système d’information ou par les experts IT en charge de sa gestion.
Tous les agents du SPW manipulent chacun à leur niveau des données parfois sensibles et sont donc concernés par la cybersécurité au sens large.
J’ai ainsi demandé à mon administration de définir un programme de sensibilisation à la sécurité, pour renforcer la conscientisation des agents et du management à l’importance des règles et des bonnes pratiques de sécurité.
Le DTIC m’a remis récemment une proposition de plan d’actions « sensibilisation », dont la cible est définie comme suit :
Ce programme vise à promouvoir la prise en compte de la sécurité de l’information en tant qu’attitude positive et à l’intégrer dans les mentalités, les valeurs et la culture d’entreprise afin de progressivement générer les bons réflexes sécuritaires et déboucher sur des comportements exempts de risques majeurs ou inacceptables.
Il s’attachera à adresser des messages à chaque fois contextualisés et collants au plus près des activités et responsabilités professionnelles exercées par les acteurs. Il doit être émaillé d’exemples concrets illustrant les bonnes et les mauvaises pratiques. Il communiquera sur les exigences légales.
Les médias utilisés, ainsi que les canaux de communication se devront d’être modernes, attractifs, dynamiques, imagés voir ludiques.
Le résultat attendu est qu’à l’issue du programme chaque acteur ait intégré « le déclic sécurité » et intègre progressivement « la dimension sécurité » dans chacune de ses activités. Qu’il sache distinguer, dans son travail quotidien, ce qui est adéquat de ce qui est à risque, qu’il sache ce qu’il doit faire lors du constat d’un incident ou lors d’un événement anormal.
Au-delà de ce programme de sensibilisation, la cybersécurité est une préoccupation permanente de nos administrations, qui se traduit dans une organisation pérenne articulée autour des acteurs que sont le Responsable sécurité des systèmes d’informations du SPW et les différents Responsables sécurité délégués, désignés dans chaque direction générale.
Les responsabilités, missions affectées et la coordination sont décrites dans la Politique de Sécurité des Systèmes d'Information (PSSI) du SPW, validée par le Gouvernement wallon en 2007.
La PSSI est reconnue par la Commission de Protection de la Vie Privée puisqu’elle fonde la sécurité dont chaque organisme doit faire preuve pour être autorisé à accéder à des données sensibles.
Chaque Direction générale est responsable final de la sécurité de son système d’information. Le Responsable de Sécurité délégué est le relais du Responsable Sécurité des Systèmes d'Information, assurant la coordination des actions sécurité au niveau de chaque direction générale (voir documents en annexe pour plus de détails).