...

Bulletin n° : B102 - Question et réponse écrite n° : 1289 - Législature : 54


Auteur Peter Dedecker, N-VA
Département Ministre des Affaires sociales et de la Santé publique
Sous-département Affaires sociales et Santé publique
Titre La sécurité des sources numériques authentiques.
Date de dépôt02/12/2016
Langue N
Publication question     B102
Date publication 20/01/2017, 20162017
Statut questionRéponses reçues
Date de délai13/01/2017

 
Question

Une politique de gestion des données et de l'information (numérique) bien pensée se base sur le concept de sources (numériques) authentiques. Ces sources assurent la conservation, la centralisation, la mise à jour et la sécurisation de données qui peuvent ensuite être consultées (via une API) par différentes applications de divers services publics. Ces derniers travaillent alors toujours avec la version mise à jour, "live", de l'information. Afin de pouvoir travailler efficacement et de façon sécurisée avec ces données, toutes les applications doivent être compatibles avec le système, ce qui, pour des pratiques développées au fil du temps, n'est pas toujours évident, même si cette compatibilité fait l'objet d'une obligation légale et que la loi interdit la conservation d'une copie locale. 1. J'aurais aimé savoir, pour la Banque Carrefour de la Sécurité Sociale (BCSS), quelles institutions (publiques) utilisent cette source authentique autrement que par l'intermédiaire d'une API. 2. a) Quelles institutions utilisent la BCSS en demandant une copie complète accompagnée des mises à jour? b) Cette copie est-elle transmise en ligne ou par le biais d'un support électronique? 3. a) Quelles institutions disposent d'une copie complète de la BCSS? b) De quelle façon la sécurité des données (à caractère personnel) est-elle assurée? c) De quelle façon les mesures prises sont-elles imposées et contrôlées, par exemple au moyen d'audits? 4. Tous les utilisateurs des données de la BCSS comptent-ils en leur sein le conseiller en sécurité obligatoire qui doit apporter les garanties requises et en assurer le suivi? 5. a) De quelle façon cette garantie et ce suivi sont-ils assurés? b) Dispose-t-on de comptes rendus périodiques et de documents de suivi (publics) relatifs à ces tâches? 6. Qui surveille le conseiller en sécurité? 7. Dans quelle mesure estimez-vous indiqué, si cela n'est pas prévu actuellement, de prévoir un audit obligatoire auprès des utilisateurs de la BCSS?


 
Statut 1 réponse normale - normaal antwoord - Réponse publiée
Publication réponse     B105
Date publication 10/02/2017, 20162017
Réponse

La Banque Carrefour de la Sécurité Sociale (BCSS) prend depuis très longtemps les mesures nécessaires en vue de se protéger elle-même ainsi que le réseau de la sécurité sociale dont elle assure la gestion. Premièrement, je tiens à souligner que la BCSS n'est pas une banque de données centrale contenant des masses de données à caractère personnel concernant les assurés sociaux. En principe, elle enregistre uniquement des références aux données à caractère personnel sans conserver ces données en tant que telles. La BCSS gère donc un réseau pour l'échange électronique sécurisé de données à caractère personnel d'application à application entre quelque 3.000 acteurs dans le secteur social. De plus amples informations concernant le réseau de la sécurité sociale sont disponibles sur le site web de la BCSS (http://www.ksz-bcss.fgov.be/fr). L'infrastructure informatique sous-jacente (backbone) est l'extranet de la sécurité sociale. Ce réseau sécurisé qui relie les différents acteurs du secteur social offre plusieurs services communs, tels la connexion sécurisée de réseaux hétérogènes, la mise à la disposition de proxies, l'échange sécurisé de données à caractère personnel, le scannage d'échanges via web ou mail quant à la présence de logiciels malveillants, la gestion et la maintenance de noms de domaine et l'octroi d'accès à des réseaux internes au moyen d'une connexion sécurisée (VPN). Il offre également aux acteurs du secteur social un accès sécurisé à l'internet pour l'ensemble des transactions qui sont réalisées à partir du portail de la sécurité sociale. L'accès aux applications qui sont disponibles sur le portail de la sécurité sociale est protégé au moyen d'une gestion granulaire des utilisateurs et des accès. En outre, depuis quelques mois, l'extranet a étendu ses services aux services publics fédéraux, dans le cadre du programme de synergies ICT, et il a été rebaptisé Internet Access Protection. L'infrastructure informatique redondante (répartie sur plusieurs sites) qui est basée sur une protection en couches, est protégée par des pare-feux (firewalls) au niveau de la connexion entrante entre les clients et le backbone, d'une part, et entre le backbone et l'internet ou les réseaux privés, d'autre part. C'est ici qu'a lieu la gestion centrale des logiciels anti-malware. L'Internet Access Protection est équipé d'un système IDS/IPS (Intrusion Detection/Prevention System) et est complété par un système d'analyse permanente des événements afin de détecter et de corriger les incidents de sécurité. Récemment, il s'est également équipé d'un dispositif de protection contre des attaques de type DDOS. Des audits de l'infrastructure et de ses composants sont réalisés périodiquement. Tous les acteurs sont tenus de désigner un conseiller en sécurité. L'organisation de la politique en matière de sécurité de l'information au sein du réseau de la BCSS est basée sur l'application obligatoire des normes minimales de sécurité par ses partenaires. Ces normes minimales de sécurité doivent obligatoirement être respectées par les acteurs du secteur social s'ils souhaitent établir et conserver un accès au réseau de la BCSS. Le contrôle de la désignation d'un conseiller en sécurité et du respect des normes minimales de sécurité est effectué par le Comité sectoriel de la sécurité sociale et de la santé, institué au sein de la Commission de la protection de la vie privée. Le Comité sectoriel envoie chaque année une enquête sur le respect des normes minimales de sécurité notamment à toutes les institutions publiques de sécurité sociale, qui rendent compte du respect de ces normes au moyen d'une auto-évaluation. Le suivi est effectué par le Comité sectoriel. En cas de non-respect des normes minimales de sécurité, les acteurs du secteur social concernés, après mise en demeure, peuvent se voir interdire l'accès au réseau de la sécurité sociale. Les normes minimales de sécurité sont adaptées en fonction des évolutions constatées et sont mises à la disposition sur le site web précité: https://www.ksz-bcss.fgov.be/fr/securite-et-vie-privee/publications/politique-de-securite-de-linformation. L'approche commune du secteur de la sécurité sociale en matière de sécurité de l'information a été déterminée par le Comité général de coordination de la BCSS à travers un ensemble de directives générales. La méthodologie utilisée pour parvenir à une sécurité maximale de l'information est un Information Security Management System (ISMS), basé de façon générale sur la série de normes internationales ISO 2700X.

 
Desc. Eurovoc principalPOUVOIRS PUBLICS
Descripteurs EurovocPOUVOIRS PUBLICS | SECURITE SOCIALE | PROTECTION DES DONNEES | SECURITE ET GARDIENNAGE
Mots-clés libresBANQUE-CARREFOUR