Le Plan anti-hackers au sein du Service Public de Wallonie

Monsieur le Ministre,

On se souvient qu’en avril 2015, des cyberattaques avaient visé le portail wallon de l’économie.
Suite à cela, vous aviez rappelé que la cybersécurité passait à la fois par la protection des composants techniques ainsi que sur le respect des bonnes pratiques de sécurité par le personnel.
Vous aviez alors annoncé la mise en place de mesures visant à sensibiliser davantage tous les fonctionnaires wallons aux bonnes pratiques anti-hackers. Un programme détaillé de sensibilisation avait été demandé à l’administration.

Monsieur le Ministre, comme rappelé à plusieurs reprises, diverses mesures ont déjà été mises en place pour renforcer la cybersécurité au sein du SPW.

A ce sujet, rappelons l’état des lieux du niveau de sécurité du système d’information du SPW qui avait été réalisé. De quand date le dernier état des lieux réalisé ? Envisagez-vous une nouvelle évaluation ?

Par ailleurs, un responsable de la sécurité des systèmes d’information a été désigné ainsi que des responsables de sécurité délégués au sein de chaque Direction Générale. En outre, un gestionnaire d’incidents a été désigné au sein de la division technologie pour répondre directement aux incidents majeurs.

Pouvez-vous faire le bilan de la mise en place de ces responsables de sécurité ? Aussi, combien d’incidents majeurs le gestionnaire d’incidents a-t-il eu à traiter au cours de l’année 2016 ?

Enfin, qu’en est-il de la volonté d’ancrer progressivement la sécurité dans « la culture d’entreprise » du SPW ? Quid du programme de sensibilisation demandé à l’administration ? Quelles mesures ont été mises en place afin d’améliorer la sensibilisation des agents du SPW aux bonnes pratiques anti-hackers ? Une formation spécifique a-t-elle été mise en place ? Le cas échéant, combien d’agents y ont participé ? Quel bilan tirez-vous de ce plan d’actions « sensibilisation » ?

D’avance merci pour vos réponses.

Réponse du Ministre C. LACROIX le 24/01/2017

Avec le Service public de Wallonie, nous nous sommes engagés dans plusieurs démarches éducatives et techniques visant à réduire l’occurrence et l’impact d’actions de type cybercriminel. Parmi les actions prioritaires figure la sensibilisation du personnel, du management et des experts techniques aux bonnes pratiques en matière de sécurité de l’information.

* Sensibilisation

En phase avancée d’un programme général de sensibilisation, plusieurs actions concrètes ont été menées, dont les suivantes sont les plus représentatives :
- publication de courtes vidéos et d’un livret d’information « vie privée » ;
- mailings via la lettre d’information interne du SPW ;
- divers messages diffusés via l’écran de veille des PC des agents ;
- actions ciblées envers des utilisateurs dont les agissements font peser un risque spécifique sur le système d’information et les données traitées par le SPW ;
- organisation de forum et de conférences en partenariat avec le « Groupe de Travail sur la Sécurité de l’Information » (regroupant la Région wallonne, les Organismes d’Intérêt Public, la Communauté française et la Communauté germanophone) ;
- propositions de formation envers les « Responsables de Sécurité Délégués » [RSD] (en charge de la sécurité de l’information au sein de chaque Direction Générale et Secrétariat Général du SPW) ;
- information sur le nouveau « Règlement Général européen sur la Protection des Données » (en partenariat avec la Direction du Support Juridique du Secrétariat Général) ;
- sensibilisation des acteurs métier durant la phase d’analyse des exigences de sécurité ou avant la mise en production, pratiquée dans certains projets particulièrement sensibles ou traitant des données protégées par la loi « Vie Privée ».

On peut également citer l’initiative pilotée par l’« Ecole d’Administration Publique », qui, en partenariat avec mon Cabinet et le DTIC du SPW, vise le même objectif, en proposant une formation sur le sujet, mais à travers une approche plus ludique, de type « Serious Game ».
Tous ces efforts doivent être poursuivis et leur efficacité analysée.

* Gestion des Incidents

La gestion des incidents a été revue pour être plus efficace lors d’incidents majeurs (ayant un impact très important sur des services nécessaires au bon fonctionnement et à l’image du SPW et de la Région wallonne).

C’est ainsi que, sous la coordination du gestionnaire d’incidents, les équipes de l’informatique opérationnelle, le management du DTIC, le responsable sécurité et divers sous-traitants ont œuvré à rapidement traiter treize incidents majeurs affectant l’infrastructure IT en 2016, dont un seul incident lié à des attaques cybercriminelles.

* Organisation et évaluation de la sécurité

En règle générale, les Responsables Sécurité délégués de chaque Direction générale cumulent plusieurs fonctions, ce qui ne leur laisse qu’un temps réduit pour la sécurité de l’information. Dans une première phase, il a été convenu de se concentrer sur la problématique de protection de la vie privée.

L’état des lieux de la sécurité mené précédemment a produit un panel de recommandations et proposé des priorités d’actions. Elles sont, pour certaines, en cours de mise en œuvre, et d’autres font l’objet de projets encore à mener. Il est judicieux de penser qu’il est préférable d’attendre la finalisation des initiatives prioritaires avant de mener une nouvelle évaluation globale de la sécurité.

Il est à noter que le DTIC propose, dans son catalogue de services standards, la possibilité pour chaque responsable métier de demander au Responsable Sécurité des Systèmes d'Information du SPW de mener un audit spécifique sur le périmètre de ses propres applications.

* La sécurité dans la « culture d’entreprise » du SPW

Comme l’indiquent les projets planifiés du contrat d’administration l’ambition du DTIC est bien d’insérer la sécurité au cœur de ses processus de support, d’exploitation, de projet, et au travers de la gestion du cycle de vie des solutions, du matériel, des applicatifs et des utilisateurs.

Les efforts associés à ces initiatives seront partagés avec les métiers, en fonction des responsabilités de chacun.