• Hébergement des données vitales et sensibles : quelles sont les garanties ?

    Nous avons appris par voie de presse qu’un important data center situé à Strasbourg a été ravagé par les flammes1. Des quantités importantes de données ont été pour certaines définitivement perdues.

    Nous apprenions, par la même occasion, que plusieurs sites belges étaient hébergés par ce provider et avaient été impactés.

    Parmi eux, figurent les sites d’institutions publiques, ceux des sites internet de Bruxelles Environnement, de la Politique scientifique fédérale (Belspo), du Centre de prévention du suicide, le simulateur tarifaire BruSim, ainsi que l’outil Greencheck du régulateur bruxellois pour l’énergie (Brugel) ou encore de l’association avocat.be.

    De très nombreux sites de PME sont également hébergés et ont été impactés.

    Se pose dès lors la question de l’indépendance numérique de la gestion et conservation des données, de l’aspect économique, mais également la dimension sécuritaire, notamment en cas de pareil accident aux conséquences irréversibles.

    J’ai demandé au Ministre un état des lieux des données bruxelloises, à savoir :

    • Est-ce que des sites d’administrations régionales et d’organismes régionaux ont été touchés lors de cet incendie ? Le cas échéant, lesquels ?
    • Des données ont-elles été définitivement perdues suite à cet incendie ?
      Des incidents émanant des Administrations ou de personnes privées ont-ils été déclarés ?
    • Est-ce qu’à ce stade on a une idée du coût économique, pour notre Région, de cet incendie ?

    Dans les quelques cas cités par la presse, on retrouve l’outil Greencheck de Brugel, et le Centre de prévention du suicide, deux structures, soit dépendant de la Région, soit subsidiée par elle, ou par la COCOF plus précisément – un service ô combien vital dans le contexte que nous connaissons.

    Le Ministre a interrogé le Centre d’informatique pour la Région bruxelloise (CIRB), qui a répondu n’avoir pas connaissance d’administrations régionales touchées par l’incendie des centres de données de l’entreprise OVHcloud, et ne disposer d’aucune information sur l’éventuelle perte définitive de données dans des administrations bruxelloises. Nous ignorons dès lors le coût économique de cet incident pour la Région, et nous ne pouvons pas nous prononcer sur le temps nécessaire pour restaurer la situation après un incendie de cette ampleur.

    Cet évènement pose la question des sites des institutions bruxelloises actuellement hébergés a minima dans la Région de Bruxelles-Capitales ou en Belgique.

    Les sites régionaux (ou les données) hébergés à l’étranger font-ils l’objet d’un service de sauvegarde et/ou de protection sur un datacenter situé sur une autre géographie, voire chez un autre provider ?

    Un programme d’hébergement régional voire national qui serait exclusif et obligatoire, pour les sites des institutions régionales d’utilité publique est-il possible ou éventuellement à l’étude ?

    Dans le cadre de cet incendie et de ses conséquences, il est tout à fait pertinent de s’interroger sur notre sécurité informatique, celle des centres s’inscrivant dans ce débat.

    Le Ministre a rappelé qu’actuellement, chaque administration publique (organisme d’intérêt public, asbl directement organisée et éventuellement subventionnée par la Région) est responsable des choix stratégiques d’hébergement de son infrastructure informatique. Le CIRB n’a pas de mandat exclusif en la matière. Si une administration régionale ou un organisme décide d’opter pour une solution d’informatique en nuage ou un centre de données particulier, il lui appartient donc de veiller à souscrire également les services adéquats de recouvrement de données et de serveurs en cas de sinistre.

    Le Ministre a fourni deux annexes à sa réponse.

    Dans la première annexe se trouve la liste des sites web qui sont hébergés au CIRB et sous la gestion de celui-ci.

    Dans la seconde, se trouve un inventaire de sites qui sont hébergés dans nos centres de données mais dont le CIRB n’a ni la gestion ni la responsabilité.

    Le CIRB se contente en effet parfois de les héberger, sans décider de la stratégie en matière de sécurité notamment. Il n’a pas connaissance des sites qui sont hébergés à l’étranger par des administrations de la Région. Il s’agit là d’un des aspects de notre sécurité informatique.

    Pour les sites qui lui sont confiés, le CIRB procède à la sauvegarde des machines hébergées au sein du centre de données régional (DCR), où les données sont répliquées sur un site principal et un site secondaire. L’un est situé au siège du CIRB, avenue des Arts, et l’autre se trouve sur un site de Sibelga près de la gare du Midi.

    Le CIRB fait donc deux copies des données de sauvegarde dès que le client ou le partenaire choisit de souscrire à son service Backup online. Certains clients procèdent même à des tests de ce service avec la restauration complète de serveurs pour en valider le bon fonctionnement.

    Il s’agit pour ainsi dire de bons exemples, de bonnes stratégies. Tous les centres de données du CIRB sont équipés de mesures de sécurité physiques afin d’éviter les dommages causés par des incendies, des inondations ou des pannes d’électricité. Ces mesures sont régulièrement testées et suivies.

    Pour ces centres de données, tous les équipements sont couverts par des contrats de maintenance et des tests mensuels sont réalisés. Chaque centre de données du CIRB est également muni d’un système de contrôle d’accès physique afin de limiter exclusivement l’accès aux personnes concernées, et d’un système de détection d’incendie et d’alimentation spécifique redondante (chauffage, alimentation, etc.).

    Plusieurs audits ont été réalisés ces dernières années, parfois à la demande de clients qui vérifient si le CIRB est en phase avec leurs besoins sécuritaires et opérationnels. Enfin, tout cela est régi par un plan de secours informatique conçu pour faire face à un scénario catastrophe. Ce dispositif permet, dans l’éventualité d’une crise majeure, de garantir que les services considérés comme critiques redémarrent, fût-ce en mode dégradé.

    Enfin, à la demande du gouvernement et dans le prolongement des chantiers d’optimisation informatique de la Région bruxelloise, le CIRB travaille au développement d’un cloud bruxellois qui devrait couvrir ces aspects de recouvrement de données et de serveurs, ainsi que les mesures de sécurité minimales attendues. C’est dans ce cadre que le CIRB élabore une stratégie régionale du cloud bruxellois, qui intégrera les problématiques d’hébergement (sites web, serveurs, données, applications) pour tous les organismes régionaux directement gérés par ce même CIRB. Cette stratégie du cloud bruxellois sera proposée au gouvernement et aux instances reprises dans la nouvelle gouvernance des technologies de l’information et de la communication (TIC) régionale, et elle sera alignée sur la stratégie régionale de gestion des données.

    Il appartiendra à la nouvelle gouvernance TIC régionale et à ses instances de se pencher sur la problématique du responsable de l’hébergement des sites web d’administrations régionales, et de lui apporter au minimum un cadre régional de référence avec toutes les garanties nécessaires.

    La situation n’est pas optimale aujourd’hui. Pour cette raison, nous devons définir une réelle stratégie régionale qui hausse les normes de sécurité, de fonctionnement et d’archivage des données. Après avoir identifié une trop grande hétérogénéité, l’élaboration d’une stratégie intégrée à l’échelle régionale et plus qualitative quant aux résultats obtenus a été entamée.

     


    1 Important incendie sur le site de l’entreprise OVH: des sites web, belges entre autres, toujours inaccessibles, AFP, 10/03/2021

Comments are closed.