Cyber sécurité : Nos services publics ne sont pas suffisamment protégés

19 juin 2015

Alain Deladrière

Dans un récent article paru sur notre plate-forme, le professeur Ataya avait brièvement réagi à la suite de l’intrusion au sein des services publics américains. Nous passons en détail avec le professeur Ataya la situation qui prévaut au sein des services publics belges et des solutions à apporter sans tarder.

Risk&Compliance Platform Europe : En quoi consiste la loi FEDICT ?
Georges Ataya : « La loi FEDICT d’août 2012 prévoit deux principes importants. Le premier indique que les organismes publics définissent et gèrent de manière optimisée toutes leurs sources authentiques c’est-à-dire toutes les données qui sont utilisées par d’autres services. Beaucoup de services publics produisent des données qui sont considérées comme des sources authentiques dans la mesure où ces données sont utilisées par d’autres administrations ou par le public. De plus en plus, on s’oriente vers une acceptation qu’un service public qui produit des données à l’obligation de bien les gérer de façon à être utile pour le public. C’est en tout cas ce qui ressort du travail du Ministre De Croo (‘Digital Belgium’). Un de ces points est de rendre les données disponibles au public, des données auxquelles il a droit.

Cette loi FEDICT impose en fait de mieux gérer et de mieux contrôler les sources (à lire aussi le texte complet de la loi sur le site sourceauthentique.be). »

Le conseiller en sécurité

Georges Ataya : « Le deuxième point important souligne que les administrations publiques ont l’obligation de mettre en place un conseiller en sécurité qui doit rapporter directement au Directeur général/Président de l’administration. Il doit également le guider dans les questions d’évaluation du risque et les conseils des actions à mettre en place de manière à protéger son administration contre tout risque de l’information.

Le recours à un conseiller en sécurité se généralise dans la mesure où cela a pris deux ans avant de voir les administrations retardataires commencer à bouger. A ce jour, les principales administrations ont effectivement mis en place ce nouveau poste. »

Risk&Compliance Platform Europe : Ces administrations maîtrisent-elles bien le résultat de travail de ces conseillers?
Georges Ataya : « Certaines administrations sont dépassées dans la mesure où elles ne disposent pas de budgets suffisants pour mettre en place les protections utiles. Elles n’ont pas toujours la capacité de mesurer les risques de manière régulière. Les décisions relatives aux plans d’actions, aux scénarios à éviter et à l’adéquation du budget aux risque ne sont pas toujours discutées avec la direction générale.»
Risk&Compliance Platform Europe : Y a-t-il d’autres solutions que l’on peut introduire à ce niveau-là ?
Georges Ataya : « Il faudra partir de l’idée qu’un pourcentage certain calculé sur base du coût de fonctionnement de l’administration ou du coût de son informatique soit dédié aux activités de la sécurité de l’information. Ce pourcentage dépendra de la sensibilité de ladite administration à accepter des risques. Il dépendra aussi de l’importance de l’information qui doit être protégée au niveau de la continuité, de l’intégrité et de la confidentialité. Je connais peu d’administrations qui prennent au sérieux les dépenses en sécurité et qui effectuent les tâches nécessaires et dégagent des budgets considérés, par eux, comme adéquats. »
Risk&Compliance Platform Europe : Comment savoir quel doit être le budget adéquat ?
Georges Ataya : « C’est simplement en effectuant un exercice d’évaluation des risques. Il consiste à identifier ce qui peut aller mal, quels sont les éléments et scénarios contre lesquels on doit se protéger et quelles sont les actions à entreprendre pour mettre en place ces protections– en sachant que l’on ne se protègera jamais à 100 %. Dès lors, quels sont les compromis que l’on acceptera de faire ? Sur la base des compromis ou risques que le Directeur général/Président de l’administration acceptera d’engager en son nom. L’implication des autorités d’une administration publique est essentielle pour accepter ou refuser un risque, et par la suite mettre en place les protections nécessaires. »

Un ensemble de leviers incontournables

Risk&Compliance Platform Europe : Les tests d’intrusion sont dépassés avez-vous souligné ?
Georges Ataya : « Des actions habituelles que les administrations entreprennent sont des tests d’intrusion, un type d’action qui me semble en effet trop dépassé. Cela consiste à demander à une société technique spécialisée à procéder à un test pénétration du système informatique, réseau et site web de l’administration ou de l’entreprise publique. Il consiste à vérifier si le site est bien protégé des attaques externes. Assurer la sécurité ne consiste plus hélas à simplement assurer la protection des attaques provenant de l’extérieur du bastion informatique. Les systèmes d’informations sont interconnectés avec des multiples partenaires, fournisseurs ou clients. L’accès à partir des mobiles non répertoriés, d’applications à architectures hétérogènes augmentent la complexité et mettent le risque sur d’autres leviers que le mur extérieur du bastion. On ne peut donc plus ériger des murs pour empêcher tout risque.

Plusieurs recherches ont conclu à d’autres méthodes de protection. Les entreprises qui montrent le chemin dans cette matière adoptent ces méthodes avec plus de succès.

Il s’agit d’un ensemble de leviers essentiels.

-Le comportement du personnel et des personnes ayant accès à des données, outils ou composants informatiques sensibles.

-L’information disponible sur qui nous a attaqué, quand, où sommes-nous protégés, quelles sont les informations importantes, quels sont les programmes fragiles, etc.

-Les applications importantes à protéger, les réseaux et services mis en place, comment sont-ils protégés, sont-ils valables (les tests d’intrusion peuvent intervenir ici).

-Les procédures, les méthodes mises en place et les standards appliqués.

-Les processus informatiques concernés, méthodes de travail risquées, la façon dont nous gérons les processus métier et informatiques.

-La structure organisationnelle et les responsabilités.

-Les compétences de chacun dans son domaine en relation avec la sécurité.

Tous ces points sont donc essentiels et forment un tout ! »

Nous devons vraiment bouger

Risk&Compliance Platform Europe : La Belgique est-elle un bon élève ?
Georges Ataya : « En 2008, nous avons publié un rapport sur la sécurité belge en matière d’information. Un ensemble de professeurs d’université et de directeurs d’associations professionnelles spécialisées dans le domaine ont émis un constat d’échec soulignant qu’en 2007-2008, la Belgique était un des pays de l’Union européenne négligeant le plus la sécurité de l’information parmi les Etats membres. Nous avons alors proposé sept axes qui imposaient aux services publics de mettre en place diverses composantes : conscientisation, amélioration des protections des infrastructures publiques, amélioration des lois en la matière, création de centres de certification de systèmes et de produits, etc.

Rien ne se passait. Fin 2013 début 2014, il y a eu ce débat sous le gouvernement Di Rupo sur ces fameux 10 millions d’euros à libérer pour la sécurité de l’information en Belgique. Depuis lors peu de choses se sont passées. Aujourd’hui, le gouvernement Michel semble avoir bien pris la question au sérieux. Même si ces 10 millions avaient déjà été saupoudrés sur diverses administrations et ne sont plus un trésor de guerre essentiel pour la relance d’un centre fort dans la matière.

J’apprends que le Premier Ministre cherche actuellement à créer le centre belge de la cyber sécurité, agence qui existe déjà dans tous les pays qui nous entourent. On ne connait pas encore le budget qui sera alloué à ce centre, s’il y aura d’autres employés, ce que seront ses tâches prioritaires. Les liens avec d’autres administrations et la stratégie qui sera déployée sont encore à définir, me semble-t-il. Mais il y a assurément un premier pas louable dans la bonne direction. 

Ceci dit, il faut savoir que dans d’autres pays, on a pris une longueur d’avance. Dès 2006-2007, j’ai travaillé avec le département qui rapportait au Premier ministre de la sécurité en France et dirigé une équipe qui s’est attelée à définir les directives de la sécurité de l’information. Aux Pays-Bas, il existe un centre avec des centaines de personnes actives à différents niveaux de l’administration. La Grande-Bretagne est également très avancée dans ce domaine, etc. Nous devons donc vraiment bouger. »

Naissance d’une Coalition belge de la cyber sécurité

Fort heureusement, il y a eu en Belgique une levée de bouclier suite à l’annonce en octobre 2014 de la naissance de la Coalition belge de la cyber sécurité. Georges Ataya : « Une coalition qui par la force des choses met en phase des services publics, des entreprises du secteur privé et le secteur académique. Cette coalition devenue une ASBL en février 2015 est présidée par Christine Darville de la FEB. Elle organise des réunions régulières comme en février et en avril dernier. La prochaine est prévue le 25 juin 2015 au Parlement wallon. »

Le Professeur Georges Ataya est directeur académique à Solvay Brussels School of Economics and Management en charge des formations en management de cyber sécurité et la gestion du risque. Il est le vice-président de la coalition belge de la cyber sécurité.

  • Smithc150

    Thanksamundo for the post.Really thank you! Awesome. bgckdfcfcdeeeedk

Laissez une réponse

Votre adresse email ne sera pas publiée. Les champs obligatoires sont indiqués *