La cyber sécurité est une préoccupation permanente du Département des Technologies de l’Information et de la Communication (le DTIC) du Service public de Wallonie. Diverses contre-mesures ont d’ailleurs été intégrées pour réduire les risques liés à des actions de piratage informatique, composées de mesures techniques et organisationnelles, mais aussi d’actions de sensibilisation.
Je souhaite mettre en avant quelques bonnes pratiques au sein du SPW :
- Le SPW dispose d’une Politique de Sécurité des Systèmes d’Information, validée par le Gouvernement wallon et basée sur la norme internationale ISO27001-27002 ;
- Les processus d’exploitation des ressources informatiques sont essentiellement basées sur le référentiel ITIL et sur les modèles prônés par CobIT (pour une gouvernance de plus haut niveau) ;
- Les bonnes pratiques de l’OWASP servent de guide pour les applications et les sites web.
Le système d’information du SPW voit sa défense, passive ou active, assurée par des solutions informatiques. Nous pouvons citer les pare-feux, un antimalware, un antispam, des filtres internet, du monitoring de disponibilité et de performance, la formation continue sur ces technologies, etc.
Bien sûr, la sécurité est toujours un compromis basé sur une évaluation des risques. Aucune société, aussi prestigieuse soit-elle, ne peut atteindre une sécurité totale. Cela serait à la fois impayable et impraticable, tant pour les utilisateurs que pour le service informatique.
Quelques solutions techniques doivent encore être sélectionnées et mises en œuvre, mais le challenge actuel, au sein du SPW, est d’assurer la cohérence et l’interopérabilité des nombreux outils composant le paysage informatique, leur gestion opérationnelle ou encore le traitement des nombreuses alertes, qu’elles soient vraies ou fausses. D’un autre côté, la gouvernance, l’organisation des équipes ou du service à assurer, ainsi que la disponibilité des ressources humaines sont des points d’attention que nous devons encore améliorer.
Actuellement, les solutions informatiques de sécurité sont installées très majoritairement au sein de l’infrastructure du SPW, dans des datacenters pilotés par le DTIC. La plupart des agents qui gèrent ces données sont des agents internes au Service public de Wallonie, épaulés soit par des consultants externes, soit par des prestataires auxquels le DTIC a confié contractuellement la gestion d’un plan défini de son infrastructure, au terme de procédures de marchés publics.
Les serveurs d’application ou de sites web sont construits sur base d’une configuration standard, incluant des mesures de sécurité. Depuis plusieurs années, un scan de vulnérabilité et de test d’intrusion permet de détecter les failles sur les serveurs et sur les applications ou sites web qu’ils hébergent, bien avant la mise en production de ceux-ci. Ces failles importantes sont alors analysées et des corrections ou contre-mesures sont évaluées à l’aune des risques encourus, des contraintes budgétaires et des timings souhaités. Le DTIC peut également faire appel à des sociétés spécialisées pour organiser des tests d’intrusion plus détaillés et complets selon la nature des données manipulées, l’ « Ethical hacking ».