Conseillers en sécurité

L'arrêté royal du 12 août 1993 relatif à l'organisation de la sécurité de l'information dans les institutions de sécurité sociale détermine la structure organisationnelle qui a permis à toutes les institutions de sécurité sociale de développer une véritable "culture" de la sécurité dans laquelle les conseillers en sécurité jouent véritablement un rôle clé. Cet arrêté ne définit cependant pas le contenu même des règles de sécurité mais uniquement le cadre dans lequel chacune des institutions de sécurité sociale doit spécifiquement fixer les règles.

Service interne de sécurité de l'information

Toute institution de sécurité sociale doit instituer en son sein un service interne chargé de la sécurité de l'information. Ce service de sécurité de l'information est placé sous la direction d'un conseiller en sécurité qui est éventuellement assisté d'un ou de plusieurs adjoints.

Les conseillers en sécurité des institutions du réseau primaire et leurs adjoints éventuels sont désignés après avis du Comité sectoriel de la sécurité sociale et de la santé; cet avis n'est pas requis pour les conseillers en sécurité des institutions des réseaux secondaires (cependant, elles communiquent quand même l'identité de leur conseiller en sécurité - et des adjoints éventuels -, après leur désignation, au Comité sectoriel de la sécurité sociale et de la santé). Avant d'émettre son avis, le Comité sectoriel de la sécurité sociale et de la santé doit vérifier si les candidats sont suffisamment qualifiés et disposent du temps nécessaire à l'exercice de leurs missions et s'ils n'exercent pas d'activités qui soient incompatibles avec leur fonction.

Consulter le Questionnaire d'évaluation pour le candidat conseiller en sécurité sur base duquel le Comité sectoriel de la sécurité sociale et de la santé peut émettre un avis concernant les candidats conseillers en sécurité.

Dans des cas exceptionnels, le Comité sectoriel de la sécurité sociale et de la santé peut autoriser une institution de sécurité sociale à ne pas instituer un service de sécurité de l'information interne propre mais à confier les tâches de ce service à un service de sécurité spécialisé agréé. Le Comité sectoriel de la sécurité sociale et de la santé a, par sa résolution du 11 janvier 1994, sur avis du service de sécurité de l'information de la BCSS, fixé les critères suivants auxquels doit satisfaire, de manière cumulative, une institution de sécurité sociale pour obtenir cette autorisation :

  • il doit s'agir d'une institution de petite taille ne disposant pas des moyens pour instituer un service de sécurité de l'information interne propre
  • l'institution ne peut gérer un large réseau électronique
  • les risques en matière de sécurité de l'information générés par l'institution doivent être relativement limités (ne pas traiter de données sensibles telles des données de santé, ne pas mettre des données importantes pour d'autres institutions à la disposition du réseau, ...)

Le service de sécurité a une mission d'avis, de stimulation, de documentation et de contrôle en matière de sécurité de l'information. Il n'a donc pas de compétence décisionnelle car ce sont les instances dirigeantes des institutions qui assument l'entière responsabilité du fonctionnement de l'institution et notamment de la sécurité. Le service chargé de la sécurité est en relation directe avec le responsable de la gestion journalière. Il le conseille, à sa demande ou de sa propre initiative, sur tous les aspects liés à la sécurité de l'information.

Sauf si les risques ne sont pas suffisamment importants, les avis s'expriment par écrit et sont motivés. Si le responsable de la gestion journalière déroge à un avis exprimé par écrit, il doit en informer le service chargé de la sécurité de l'information de façon écrite et motivée. Ceci permet au service chargé de la sécurité de l'information de s'assurer du suivi nécessaire concernant les mesures prises en matière de sécurité.

Le service de sécurité de l'information présente auprès du responsable de la gestion journalière un projet de plan de sécurité pour une période de trois ans , avec indication des moyens nécessaires à son exécution.

Service de sécurité spécialisé agréé

Il est prévu que chaque institution de sécurité sociale puisse s'affilier à un service de sécurité spécialisé agréé par le ministre des Affaires sociales. Ainsi, le service chargé de la sécurité de l'information qui assume le rôle d'omnipraticien, peut se faire assister de spécialistes dans plusieurs domaines de la sécurité de l'information, chaque fois qu'il a besoin d'un conseil spécifique.

Pour pouvoir être agréé, un service de sécurité spécialisé doit satisfaire aux conditions suivantes:

  • être créé au sein ou sous forme d'une association sans but lucratif
  • se charger exclusivement de missions relatives à la sécurité de l'information dans le cadre de la sécurité sociale
  • respecter les règles de tarification éventuelles fixées par le ministre des Affaires sociales

Par arrêté ministériel du 22 octobre 1993, l'asbl Smals a été agréée en tant que service spécialisé de sécurité de l'information.

Outre la mission d'assistance vis-à-vis des services chargés de la sécurité de l'information institués au sein des institutions de sécurité sociale, les services de sécurité spécialisés agréés exercent notamment les missions suivantes:

  • organiser les formations en matière de sécurité de l'information à l'attention des institutions
  • encourager et suivre les campagnes de promotion en matière de sécurité de l'information
  • effectuer des contrôles externes et des enquêtes détaillées concernant la situation en matière de sécurité auprès des institutions de sécurité sociale à la demande de l'institution intéressée ou du Comité sectoriel de la sécurité sociale et de la santé

Groupe de travail Sécurité de l'information

Le groupe de travail Sécurité de l'information a été institué au sein du Comité général de coordination afin de garantir la coordination requise entre les conseillers en sécurité des différentes institutions de sécurité sociale. Ce groupe de travail est présidé par le conseiller en sécurité de la BCSS. Il est composé des conseillers en sécurité de toutes les institutions de sécurité sociale du réseau primaire ainsi qu'à titre complémentaire d'un conseiller en sécurité par réseau secondaire. De plus, il est créé au sein de chaque réseau secondaire un sous-groupe de travail qui est présidé par le conseiller en sécurité de l'institution gérant ce réseau secondaire. Chaque sous-groupe de travail est composé des conseillers en sécurité des institutions appartenant à ce réseau secondaire.

Programme de formation pour les conseillers en sécurité

Former et maintenir à niveau les compétences des conseillers en sécurité du réseau de la sécurité sociale constitue l'un des objectifs du service sécurité de la BCSS. Les changements à gérer sont nombreux, qu'il s'agisse de l'extension du réseau ou des fréquentes évolutions technologiques dans le domaine de la gestion des systèmes d'information.

Un plan de formation, conçu en étroite collaboration avec le service spécialisé agréé de la Smals, met l'accent sur les connaissances dont doit dis poser un conseiller en sécurité afin d'assurer au mieux sa mission, quelle que soit la taille de l'organisation qui l'occupe. Cette formation s'adresse également à tous les acteurs concernés par la problématique de la sécurité dans l'organisation de nos systèmes d'informations.

Ce plan de formation est réparti en différents modules.

Pour suivre une formation dispensée par la Smals, il faut être membre de cette asbl. Peuvent devenir membres de la Smals: les institutions de sécurité sociale telles que définies dans la loi organique du 15 janvier 1990 de la Banque Carrefour de la sécurité sociale (se référer au chapitre 1er, section 2, article 2, 2°) et les institutions visées à l'article 17 bis de la loi organique du 15 janvier 1990 de la Banque Carrefour de la sécurité sociale.

Les conditions à remplir pour suivre le programme de formation sécurité de l'information :

  • travailler au sein d'un organisme membre de la Smals et
  • soit être désigné, en exécution de l'arrêté royal du 12 août 1993, comme consultant en sécurité (ou comme adjoint) au sein d'une institution de sécurité sociale, soit être en charge de l'organisation d'un service de sécurité de l'information dans une institution appartenant au réseau de la sécurité sociale.

Pour tout renseignement pratique (date des cours, inscriptions, locaux, ...), veuillez-vous adresser à Joëlle Ankaer (tel: 02-787 58 62).
Pour toute information sur le contenu de la formation, veuillez-vous adresser à security@ksz-bcss.fgov.be.

Description Information training