Audit sécurité & accompagnement BCSS au CPAS de Nassogne
Caroline Chabot, Directrice générale du CPAS de Nassogne.
En juillet 2016, le CPAS de Nassogne a demandé un audit en sécurité informatique à la société Bisoft. Un sujet compliqué étant donné le manque de budgets et de connaissances en informatique. Interview avec Mme Chabot, Directrice générale du CPAS, afin de découvrir quelles étaient ses attentes, ce qui a été réalisé, et ce que cet audit a changé pour le CPAS.
Qu’est-ce qui était mis en place en terme de sécurité au sein du CPAS avant de travailler avec Bisoft?
Au niveau de la sécurité, nous avions un conseiller en sécurité, mais qui ne connait pas spécialement l’informatique. On faisait le minimum exigé par la banque carrefour, c’est-à-dire les points les plus importants, comme l’accès au bâtiment. Certaines choses ont changé en 2014 lorsque l’on a changé le serveur. Au niveau backup par exemple, nous avons fait quelque chose de plus performant par rapport à ce que l’on avait avant. C’est vraiment au jour le jour car c’est un petit CPAS ; nous avons peu de budget et peu de personnel. Nous n’avons pas d’informaticien en interne.
Comment est-ce que vous nous avez rencontré, comment êtes-vous entrés en contact ?
Le premier contact c’était au salon des mandataires il y a 2 ans ; j’avais juste pris les renseignements, sans plus. Puis, via l’association des Directeurs Généraux de CPAS, certains CPAS ont signalé qu’ils travaillaient avec vous. J’ai encore rencontré vos collègues au congrès des DG cette année. Et comme il fallait justement que l’on avance sur l’audit sécurité et le plan d’action, c’était l ’occasion de reprendre contact.
Qu’est-ce qui a fait que vous vous êtes décidés à agir ?
Il était temps que l’on se mette en ordre. Avec l’association des DG de la province, on a demandé au service technique provincial s’ils pouvaient mettre en place un service externalisé pour fournir un appui technique aux petits CPAS, comme ils l’avaient fait pour la médecine du travail. Cependant, la mise en place de ce système demande du temps et des moyens financiers. C’est pourquoi j’ai déjà commencé les démarches de mon côté, le temps que la Province organise ce service.
Est-ce que cela posait des problèmes au niveau de la sécurité au sein du CPAS ?
Non, je ne pense pas. Il y avait juste un problème au départ au niveau des back up. J’ai des connaissances limitées en informatique, je sais faire le minimum. Après, je dépends des prestataires informatiques : s’ils me disent que je ne dois pas me tracasser au niveau des back up, à part leur faire confiance, je ne peux pas faire grand-chose. C’est pourquoi j’ai voulu faire un audit sécurité, car c’était un bon moyen de vérifier que tout était bien en ordre.
Quels sont les aspects les plus importants selon vous?
La confidentialité des données, et pouvoir les récupérer également en cas de panne par exemple.
Qu’est-ce que Bisoft a mis en place avec vous ?
Ils sont venus pour faire l’audit externe de sécurité informatique. Il y a des recommandations dedans et j’ai reçu une proposition de plan pour répondre à toutes les exigences de la banque carrefour. Par rapport à l’audit sécurité, il y avait par exemple le fait que tous les câbles de notre serveur à l’étage arrivent de tous les côtés, et qu’il n’était pas isolé dans une armoire à clé. J’ai présenté le rapport d’audit au conseil, qui doit faire un choix parmi l’ensemble des recommandations à suivre pour une question budgétaire. Par exemple pour l’isolation du serveur, nous ne le ferons pas maintenant mais nous exigerons dans le prochain cahier des charges relatif au renouvellement du serveur d’avoir une armoire à clé. Dans le cadre de l’audit, Monsieur Persoons a également consulté le questionnaire sécurité que nous avions remis et a attiré notre attention sur certains points que nous devrions changer ou améliorer l’année prochaine. Nous avons donc également des recommandations concernant le questionnaire sécurité.
En termes de résultats, concrètement, qu’allez-vous mettre en place, avez-vous défini les priorités parmi les recommandations ?
Les priorités ont déjà été décidées, puis directement après, j’ai revu mon contact auprès de notre fournisseur informatique pour qu’il me remette des prix par rapport à certaines recommandations. J’ai une estimation de certains postes dans l’audit. En fonction de cela, soit on le fait l’année prochaine, soit dans 2 ans. D’autres choses sont également déjà planifiées.
Quels sont les risques si vous ne répondez pas aux exigences ?
Si les grands principes ne sont pas respectés, comme par exemple assurer la confidentialité de toutes les données sociales, il y a un risque de ne plus avoir accès à la Banque Carrefour et donc de ne plus pouvoir travailler.
Pour vous, quels étaient les avantages de travailler avec Bisoft ?
Un premier avantage est qu’ils sont indépendants par rapport à mes deux autres prestataires de services informatiques, qui ne pouvaient donc pas faire leur propre audit. J’ai eu également des réponses rapides. Une fois que j’ai eu le rapport écrit, j’ai eu des échanges de mails avec Monsieur Persoons car j’avais des questions par rapport à certains points du rapport, et il est revenu sur place pour voir cela avec moi. Au niveau de la réactivité, c’était donc parfait.
Avez-vous été satisfaite du travail réalisé par notre technicien, François-Xavier ?
Oui très bien, rien à redire. Il était très discret, très calme, il a fait tout ce qu’il fallait faire.
Aviez-vous des craintes par rapport à la collaboration avec Bisoft ?
C’est toujours une crainte de passer par quelqu’un d’autre d’externe, que l’on ne connait pas forcément très bien. Par exemple, au moment du renouvellement du serveur, nous n’avions pas envoyé le cahier des charges à BDE car nous ne connaissions pas plus cette société. On se demande toujours s’ils connaissent toutes les règles dont on a besoin, toutes les exigences que l’on a par rapport à Belfius web, Ecompte, … Est-ce qu’ils sont en mesure de fournir le service et que tout fonctionne ? La mise en place du serveur a été assez compliquée à opérer, car au fur et mesure qu’on installait les logiciels, on se rendait compte que certaines choses ne fonctionnaient plus. C’est pour cela que l’on a peur de passer par un fournisseur informatique que l’on ne connait pas, car on ne sait pas s’il est bien au fait de toutes ces difficultés et contraintes propres au secteur public.
En travaillant avec nous, avez-vous été rassurés justement de notre connaissance du milieu ?
Oui, par rapport à l’audit, j’ai bien vu que Bisoft savait ce que le fédéral attendait de nous au niveau de la sécurité des données. J’ai bien vu que Monsieur Persoons connaissait tous les logiciels applicatifs de Civadis, tout ce qui existait, qu’il maîtrisait et qu’il avait une vision de tout ce qu’il y avait en fonction.