Nos autorités se soucient-elles de la sécurité de leurs données?

Tribune
Par Laurens van Reijen · 08/03/2016

Le secteur bancaire belge a compris le message. La Banque nationale de Belgique (BNB) a envoyé, fin 2015, une circulaire à toutes les institutions financières belges. Celle-ci contenait des directives pour la continuité de leurs activités opérationnelles et la protection de leurs données. Après tout, lequel d’entre nous ne veut-il pas que l’argent gagné à la sueur de son front soit en sécurité?

Les banques jouent un rôle essentiel dans le système financier et revêtent une grande importance pour la société. Il est donc normal qu’elles prennent des précautions contre les dommages opérationnels, les pannes électriques ou les vols.

La circulaire stipule qu’un établissement financier doit toujours disposer de deux centres de données, de niveau Tier III minimum, éloignés de 15 km minimum et qui ne soient pas dans la même agglomération.

Une distance inférieure à 15 km est autorisée, mais l’institution bancaire est alors obligée de soumettre une analyse de risques suffisamment documentée à la BNB. Des précautions supplémentaires et/ou des solutions de repli et de restauration devront alors être aménagées dans un rayon minimal de 100 km. Cette distance peut être inférieure à 100 km mais, dans ce cas aussi, elle devra être justifiée par une analyse de risques dûment documentée.

Quid des pouvoirs publics?

Qu’en est-il des données de nos instances publiques? Les autorités fédérales utilisent généralement 4 centres de données au cœur de Bruxelles, non loin de la Petite Ceinture, de même qu’un centre de données à Anderlecht. La distance entre les bâtiments va de deux à un maximum de 5 ou 6 kilomètres, ce qui ne répond à l’évidnce pas aux normes susmentionnées de la Banque Nationale.

Larguez une bombe sur Bruxelles et toutes les instances publiques majeures seront rayées de la carte, de même que leurs données sensibles. La plupart des services publics sont implantés au cœur de notre capitale, avec leurs propres salles de serveurs et leurs centres de données externes. Il suffirait que la foudre frappe ou qu’une panne de longue durée bloque le réseau électrique pour paralyser une instance publique, et dès lors toutes ses données critiques. Même les autorités ayant un centre de données au nord de Bruxelles et un autre au sud – avec plus de vingt kilomètres entre les deux – ne peuvent surmonter une panne sur le même réseau électrique municipal. En cas de coupure du courant à l’échelle de la ville, les deux centres seront touchés. Bruxelles est en outre une zone à risque élevé : la probabilité d’une catastrophe naturelle ou d’une attaque terroriste y est bien plus importante qu’à Liège ou Anvers, par exemple.

Source: Smals

Nos instances publiques peuvent-elles se permettre d’encourir de tels risques? Elles sont en possession de données sensibles sur vous et moi, sur les recettes fiscales, sur notre système de sécurité sociale, sur la santé financière du pays, sur les discussions entre partis politiques, voire entre nations. Bref, des informations non consultables en cas de panne généralisée, alors qu’elles devraient l’être en toute circonstance.

Ces données ne devraient-elles pas faire l’objet d’une protection toute particulière? Par exemple, en aménageant une sauvegarde secondaire dans un centre de données de secours en dehors de notre capitale?

La BNB donne le bon exemple.

Comment se fait-il que nos autorités ne semblent pas se soucier des risques, internes ou externes, pour la sécurité? Ne pensez-vous pas que les directives/règles en vigueur pour les institutions de paiement, les compagnies d’assurance et les organismes de crédit devraient également s’appliquer aux instances publiques? Au sein du gouvernement, le tendance qui prévaut est de gérer les centres de données en interne. Ne serait-ce pas plus efficace de confier cette tâche à des opérateurs externes, avec de solides niveaux de service SLA?