" La sécurité de l'information a toujours été une question prioritaire au sein de notre organisation. Une organisation qui se soucie de la sécurité de l'information renforce la confiance mutuelle existant entre le citoyen, le monde professionnel et les autorités ", explique Johan Smekens, Chief Information Security Officer et président du groupe de travail "sécurité de l'information" de l'administration flamande. Avec l'entrée en vigueur du RGPD, l'utilisation toujours plus fréquente des services cloud et le développement continu de services TIC communs, la sécurité de l'information est aujourd'hui plus cruciale que jamais. À l'heure actuelle, cette problématique est de plus en plus étudiée dans le cadre d'une stratégie commune à l'ensemble des instances flamandes.

Une organisation qui se soucie de la sécurité de l'information renforce la confiance que lui portent les citoyens et les éventuels partenaires.

L'utilisation de services cloud au sein des institutions flamandes comporte son lot de défis. Gérer l'accès, par divers groupes d'utilisateurs, à de grandes quantités de données aux niveaux de confidentialité variés n'est en effet pas si simple. C'est pourquoi le traitement de ces données est de plus en plus souvent confié à des prestataires externes - généralement de grandes entreprises internationales qui utilisent elles-mêmes des solutions TIC au sein de leurs propres centres de données. " Pour l'instant, le plus grand défi en matière de TIC est la sensibilisation aux risques dont s'accompagne le traitement d'informations ", explique Johan Smekens. " Une société de l'information telle que la nôtre repose par définition sur l'échange d'informations. Cela dit, la notion de " sécurité " peut parfois être interprétée différemment par l'un ou l'autre partenaire chargé du traitement des informations, ce qui peut entraîner des différences de points de vue ou des divergences d'opinions. Et l'administration flamande ne fait pas exception. "

Johan Smekens | Chief Information Security Officer | HFB

" Comment contrôler la personne qui utilise les informations ? Comment contrôler le gestionnaire de système ? Notre but est de traiter ces questions - et bien d'autres - à l'aide d'une approche intégrée reposant sur des objectifs communs. Nous sommes tous conscients de la nécessité de mettre en place une politique de sécurité de l'information globale et de contrôler efficacement les processus de gestion des informations. En tant qu'autorité flamande, nous définissons clairement les procédures que doivent respecter le fournisseur d'une information et la personne qui utilise cette dernière. Grâce à ces procédures, une organisation peut gérer ses informations en bon père de famille, et prouver ainsi qu'elle se soucie de ses partenaires et des citoyens. "

Classification de l'information

Afin de relever ces différents défis, l'administration flamande a créé un système de classification de l'information qui tient compte des divers risques encourus lors du traitement de données. Ce cadre offre une structure qui permet de classifier les informations, de définir des mesures de sécurité adéquates pour chaque classe d'informations, et de fixer les rôles et responsabilités de chacun dans le cadre du traitement de données. " Les informations qui relèvent des classes 1 et 2 sont des informations qui peuvent être consultées par n'importe quel citoyen - à la condition minimale que celui-ci s'identifie auprès des autorités flamandes ", explique Johan Smekens. Les informations fonctionnelles telles que les données à caractère personnel que nous traitons relèvent quant à elles des classes d'informations 3 et 4. Les informations de ces classes sont protégées par des processus d'identification et des technologies de pointe afin d'éviter qu'elles tombent entre les mains de personnes non autorisées. S'il s'agit d'informations extrêmement sensibles ayant par exemple trait à la délinquance juvénile, le système de classification prévoit des mesures plus strictes, et la personne qui souhaite consulter ces informations doit s'identifier ou s'authentifier formellement, par exemple à l'aide d'une carte d'identité, d'un digipass ou d'un compte Itsme. L'ensemble du traitement administratif des accès à l'information est géré sur la base de processus pouvant être contrôlés par audit. Nous appliquons également cette méthode de travail reposant sur le modèle de classification aux informations que nous traitons à l'aide de Microsoft Office 365. Ainsi, chaque information est sécurisée en fonction de sa classification. "

Modules de sécurité

L'entreprise DXC Technology, basée à Malines, contribue à la résolution de cette problématique complexe en fournissant à l'administration flamande des modules de sécurité pour la gestion des accès, l'authentification et le cryptage d'informations. Après une analyse d'architecture informatique, DXC propose des solutions, des services et des outils à toute une série d'instances et d'agences flamandes. Johan Smekens : " Grâce aux modules PAMaaS - Privileged Access Management as a Service, - nous pouvons parfaitement surveiller ce que font nos gestionnaires de système sur diverses plateformes. Un autre module de sécurité implémente un système de gestion des clés de cryptage dans le cadre de l'hébergement d'applications sur le cloud AWS. Grâce à ce système, le gestionnaire de clé est un membre de l'administration flamande, et non Amazon Web Services. Via cette collaboration avec DXC, l'Agence de Gestion des Infrastructures prend en charge environ 300 agences et instances flamandes. Les avantages sont non négligeables : tout d'abord, les agences ne doivent plus développer par elles-mêmes les processus dont elles ont besoin, et peuvent à présent utiliser les technologies mises à leur disposition de manière optimale ; ensuite, chacune de nos agences peut compter sur un groupe centralisé d'experts, ce qui est également très pratique. "