La nouvelle intrusion contre les services publics américains soulève la question majeure : Nos services publics sont-ils bien protégés ?

La sécurité des services publics a dans le passé été orpheline en ce qui concerne les dépenses publiques. Les besoins grandissants ces dernières années pour des services publics plus performants ont mis la priorité sur l’amélioration des services et l’ajout de fonctionnalités nouvelles. La loi du 15 août 2012 (aussi appelée loi FEDICT) a imposé une meilleure gestion des données publiques considérées comme sources authentiques.
 
Elle a aussi imposé sur les services publics la mise en place d’une fonction importante, le conseiller en sécurité. Cette fonction devra rapporter directement à la direction générale des administrations et sera responsable pour l’évaluation, la mise en place et le contrôle des mesures de sécurisation des services, biens et données publics. Plusieurs administrations ont tardé à appliquer la loi et tardent encore à mettre en place la fonction de conseiller en sécurité, ou ne donnent pas assez de compétences à la fonction l’empêchant de réaliser sa mission. Et pourtant, tant la loi FEDICT que plusieurs modèles et standards internationaux décrivent la responsabilité, les activités de cette fonction ainsi que les modèles de mesure de risque et de mise en place de mesures pour réduire les risques. Plusieurs organisations publiques ou privées lancent régulièrement des tests appelés tests d’intrusion tentant à pénétrer le réseau pour prouver l’étanchéité des systèmes. Cette méthode me semble dépassée et quelquefois franchement obsolète car elle se base sur quelques domaines de risques en négligeant plusieurs autres. La sécurité est une responsabilité collective de tous les utilisateurs à tous les niveaux, y compris mais pas seulement les responsables de l’informatique.
Les pouvoirs publics belges lancent des campagnes pour l’amélioration de la place de la Belgique dans l’espace des échanges électroniques. Ces campagnes, telles Digital Belgium initiée par le Ministre De Croo, les printemps du numérique par le Ministre Marcourt, ou la campagne bruxelloise Smart cities du Ministre Debaets en sont des illustrations. Par contre, j’observe que les services informatiques publics manquent franchement de budgets appropriés, de personnel spécialisé suffisant et de compétences nécessaires pour faire face à des attaques basiques telles qu’on en avait observées récemment dans le secteur des médias belges.
Le Professeur Georges Ataya est directeur académique à Solvay Brussels School of Economics and Management en charge des formations en management de cyber sécurité et la gestion du risque. Il agit aussi en tant que vice-président de la coalition belge de cyber sécurité.