Le secteur bancaire belge a compris le message. La BNB (Banque Nationale de Belgique) a envoyé fin 2015 une circulaire à toutes les institutions financières belges. Celle-ci contenait des directives pour la continuité de leurs activités opérationnelles et la protection de leurs données. Qui ne veut pas que l’argent gagné à la sueur de son front soit en sécurité ?
Les banques jouent un rôle critique dans le système financier et revêtent une grande importance pour la société. Il est donc normal qu’elles prennent des précautions contre les dommages opérationnels, les pannes électriques ou les vols. La circulaire stipule qu’un établissement financier doit toujours disposer de deux centres de données, de niveau Tier III minimum, éloignés de 15 km minimum et pas dans la même agglomération. Une distance inférieure à 15 km est autorisée, mais il faut alors soumettre une analyse des risques suffisamment fondée à la BNB. Des précautions supplémentaires et/ou des solutions de migration et de récupération seront prévues à une distance d’au moins 100 km. Une distance inférieure à 100 km est autorisée mais dans ce cas aussi, il faudra une analyse des risques dûment fondée.
Qu’en est-il des données de nos instances publiques ?
Les autorités fédérales utilisent généralement 4 centres de données au cœur de Bruxelles, non loin de la Petite Ceinture, et un centre de données à Anderlecht. La distance entre les bâtiments va de quelques kilomètres à maximum 5-6 km, ce qui ne répond certes pas aux normes susmentionnées de la Banque Nationale.
La plupart des autorités se trouvent au cœur de notre capitale, avec leurs propres salles de serveurs et leurs centres de données externes. Il suffit que la foudre frappe ou qu’une panne de longue durée bloque le réseau électrique pour paralyser une instance publique, et donc toutes ses données critiques. Même les autorités ayant un centre de données au nord de Bruxelles et un autre au sud -avec plus de 20 kilomètres entre les deux- ne peuvent surmonter une panne sur le même réseau électrique municipal. En cas de coupure du courant à l’échelle de la ville, les deux centres seront touchés. Bruxelles est en outre une zone à risque élevé : la probabilité d’une catastrophe naturelle ou d’une attaque terroriste y est bien plus importante qu’à Alost ou Anvers, par exemple.
Nos instances publiques peuvent-elles se permettre de tels risques ? Elles disposent de données sensibles sur vous et moi, sur la santé financière de notre pays, sur les discussions entre des partis politiques, des nations. Bref : des informations non consultables en cas de panne généralisée, alors qu’elles devraient l’être dans certaines situations. Ces données ne devraient-elles pas faire l’objet d’une protection particulière ? Via une redondance dans un centre de back-up en dehors de notre capitale, par exemple ?
La BNB donne le bon exemple
Comment se fait-il que nos autorités ne semblent pas se soucier des risques pour la sécurité internes ou externes ? Ne pensez-vous pas que les directives/règles en vigueur pour les institutions de paiement, les assureurs et les organismes de crédit devraient également s’appliquer aux instances publiques ? Au sein du gouvernement, le tendance qui prévaut est de gérer les centres de données en interne. Ne serait-ce pas plus efficace de confier cette tâche à des opérateurs externes, avec de bons SLA?
Laurens van Reijen
Managing Director, LCL
