/

La sécurité informatique des pouvoirs locaux

  • Session : 2015-2016
  • Année : 2015
  • N° : 4 (2015-2016) 1

2 élément(s) trouvé(s).

  • Question écrite du 30/09/2015
    • de KNAEPEN Philippe
    • à FURLAN Paul, Ministre des Pouvoirs locaux, de la Ville, du Logement et de l'Energie

    Pour garantir le bon fonctionnement de leur outil informatique, les communes doivent impérativement veiller à le sécuriser. Il s’agit d’éviter les attaques extérieures et la perte de données. Pour cela, un simple logiciel antivirus ne suffit plus aujourd’hui.

    Les risques qu’une commune encourt si elle néglige la sécurité de son informatique sont grands : pertes de données, systèmes défaillants, voire hors service, vols d’informations, usurpation d’identité... Avec, pour conséquence finale, un moins bon service au citoyen et une mauvaise image de l’administration communale.

    Les échanges d’informations tant internes qu’externes rendent les systèmes informatiques vulnérables vis-à-vis d’attaques potentielles. Ces échanges se font sous forme d’e-mails, mais aussi de connexion à des systèmes distants (registre national...).

    Il est important de prendre des mesures de protection avant que n’arrive un gros problème de sécurité pouvant occasionner de graves dégâts pour l’administration. Du point de vue financier, mettre en place des procédures et des outils de sécurité informatique coûtera beaucoup moins cher à la commune que de résoudre les conséquences d’une seule grave attaque informatique.

    La commune doit être consciente que, comme pour ses biens et bâtiments, elle doit se soucier de la protection de ses systèmes et données informatiques.

    Bien que ces points concernent toutes les communes, beaucoup d'entre elles ne disposent pas des ressources internes pour les mettre en œuvre elles-mêmes. Il peut être intéressant pour celles-là de confier à un prestataire extérieur la mise en place et la maintenance de la politique de sécurité.

    Monsieur le Ministre peut-il me dire si une politique de sensibilisation à ce type de problématique existe ?

    Un canevas minimum de sécurité informatique est-il conseillé aux communes ?

    A-t-il déjà eu connaissance d’un problème d’attaque informatique sur une infrastructure communale ?
  • Réponse du 20/10/2015
    • de FURLAN Paul

    La sécurité informatique est effectivement une question primordiale. Elle doit être abordée dans un contexte global et notamment prendre en compte les aspects suivants :
    - La sensibilisation des utilisateurs aux problèmes de sécurité.
    - La sécurité logique, c’est-à-dire la sécurité au niveau des données.
    - La sécurité des télécommunications : technologies réseau, serveurs de l’entreprise, réseaux d’accès, etc.
    - La sécurité physique soit la sécurité au niveau des infrastructures matérielles : salles sécurisées, lieux ouverts au public, espaces communs de l’entreprise, postes de travail des personnels, etc.

    Parmi les nombreuses initiatives prises en la matière, la démarche proposée par le réseau de la sécurité sociale propose une excellente base de travail pour accompagner les pouvoirs locaux dans ce domaine. Le document de base intitulé « Politique de sécurité de l’information » prévoit de développer, maintenir à jour, valider et appliquer des règles de sécurité dans les domaines conformes à la norme de la série ISO 27000 tels que :
    - l’organisation de la sécurité,
    - la classification et la gestion des ressources,
    - la sécurité liée aux collaborateurs,
    - la sécurité physique et la sécurité de l’environnement,
    - la gestion opérationnelle,
    - la sécurité d’accès logique,
    - le développement et la maintenance de systèmes,
    - la gestion de la continuité,
    - le respect des règles.

    Une multitude de canevas et méthodes sont proposés et disponibles comme base sur le portail de la Banque Carrefour de la Sécurité sociale.

    De plus, des initiatives publiques wallonnes existent en la matière : l’agence du Numérique, l’intercommunale IMIO, le réseau des Informaticiens Communaux et de CPAS (RIC) organisent régulièrement des activités pour sensibiliser les pouvoirs locaux aux bonnes pratiques en la matière.

    En guise d’exemple, le RIC a organisé le 24 avril 2015 une journée consacrée à « La cybercriminalité dans la perspective de l’intrus – Les dangers d’internet en live ». En effet, au-delà des attaques contre les infrastructures, il existe aussi des attaques « non techniques » qui s’appuient sur le comportement parfois imprudent de l’internaute. Ces sensibilisations sont toutefois encore trop peu prisées par les non-informaticiens, ce qui explique qu’elles soient encore largement méconnues.

    Afin d’accompagner les pouvoirs locaux dans ce domaine et proposer des guides de bonnes pratiques, le RIC envisage également l’animation d’un groupe de conseillers en sécurité.

    Cette problématique devrait être également envisagée dans la perspective d’une généralisation d’une démarche de mutualisation utilisant un « Cloud communautaire » plutôt que des serveurs locaux. Cela permettrait une diminution des coûts et un meilleur partage de l’expertise au bénéfice de tous les pouvoirs locaux.