Autorité fédérale - Fuites de données - Chiffres - Plaintes - Procédure juridique - Prévention - Coûts - Mesures
protection des données
piratage informatique
criminalité informatique
Autorité de protection des données
ministère
organisme de recherche
établissement d'utilité publique
24/10/2014 | Envoi question (Fin du délai de réponse: 27/11/2014) |
19/12/2014 | Réponse |
Aussi posée à : question écrite 6-19
Aussi posée à : question écrite 6-21
Aussi posée à : question écrite 6-22
Aussi posée à : question écrite 6-23
Aussi posée à : question écrite 6-24
Aussi posée à : question écrite 6-25
Aussi posée à : question écrite 6-26
Aussi posée à : question écrite 6-27
Aussi posée à : question écrite 6-28
Aussi posée à : question écrite 6-29
Aussi posée à : question écrite 6-30
Aussi posée à : question écrite 6-31
Aussi posée à : question écrite 6-32
Aussi posée à : question écrite 6-33
Aussi posée à : question écrite 6-34
Aussi posée à : question écrite 6-35
Aussi posée à : question écrite 6-36
Un exemple concret, des plus éloquents, de fuite de données en Belgique est peut-être celui portant sur la Société nationale des chemins de fer belges (SNCB). Le 29 décembre 2012, les médias ont fait état d'une fuite de données privées concernant environ 1,5 million de clients de la SNCB. Cela a été révélé par un internaute qui avait « découvert » par hasard un fichier contenant des données personnelles de clients de la SNCB Europe. À la suite de cette fuite de données, la Commission de protection de la vie privée a reçu plus de mille sept cents plaintes sur la fuite de données personnelles par le biais d'un site web de la SNCB.
La Commission de protection de la vie privée (CPVP), mieux connue sous le nom de Commission vie privée, a mis en place, le 12 juin 2014, sur son site web des formulaires grâce auxquels les entreprises peuvent notifier, simplement et rapidement, une fuite de données. Les entreprises de télécommunications sont soumises à une obligation de notification.
Je souhaite poser les questions suivantes :
1) De 2009 à ce jour, combien de fois des attaques ont-elles été dirigées sur les données numériques ou bases de données des services publiques fédéraux ou de programmation (SPF ou SPP), établissements scientifiques, organismes d'intérêt public (OIP) ou institutions publiques de sécurité sociale (IPSS) relevant de votre compétence ? Je souhaiterais obtenir un aperçu annuel par service et organisme public.
2) Certains SPF, SPP, OIP ou IPSS ont-ils été confrontés à une fuite de données entre 2009 et ce jour ? Dans l'affirmative, je souhaiterais obtenir un aperçu, par service concerné, des éléments suivants :
a) le moment auquel la fuite de données s'est produite et sa durée ;
b) l'ampleur de la fuite de données (sur combien de personnes elle a porté)
c) une description des données concernées ;
d) la cause de la fuite de données ;
e) les mesures prises à la suite de la fuite de données ;
f) le nombre de plaintes qui ont été déposées, le cas échéant, par fuite de données ;
g) la suite qui a été réservée aux plaintes visées à la sous-question 2f.
3) Des démarches juridiques ont-elles été entreprises dans le cadre des plaintes visées à la sous-question 2f ? Le cas échéant, quel est l'état de la question ou quel a été le résultat de cette procédure juridique ?
4) Combien d'entreprises ont-elles déjà signalé une fuite de données au moyen du formulaire en ligne mis en place sur le site web de la Commission vie privée ? Combien de notifications provenaient-elles d'entreprises de télécommunications ?
5) Quelles mesures sont-elles actuellement prises afin de prévenir les fuites de données au niveau des services et organismes relevant de votre compétence ?
6) À combien s'élèvent les coûts annuels de prévention des violations de la sécurité, cyberattaques ou fuites de données ? Je souhaiterais une ventilation par mesure pertinente. Le cas échéant, j'aimerais connaître le montant qui a été investi de 2009 à ce jour dans des logiciels de contrôle de sécurité.
7) Estimez-vous opportun de prendre des mesures supplémentaires de prévention des fuites de données ? Pourquoi ? De quelles mesures supplémentaires s'agit-il et quel calendrier prévoyez-vous ? Dans la négative, pourquoi ?
1. A. Service public fédéral (SPF) ETCS
En 2012, le service informatique a dû faire face à une attaque ciblant le serveur de messagerie du SPF ETCS. Pendant quelques heures, des mails-spam ont été diffusés sous le couvert de la dénomination officielle du SPF. Dès lors, le serveur a été placé sur une liste noire rendant ainsi inopérante la diffusion de tout courriel.
Le service TIC a mis fin à l’usurpation d’identité. Le compte mail squatté a été temporairement désactivé et le mot de passe de l’utilisateur concerné a été modifié. Ensuite le serveur de messagerie a été paramétré de façon plus restrictive et l’entreprise qui avait placé le SPF sur la liste noire a été contactée. Un rapport a été rédigé et transmis, reprenant les causes de l’incident et les mesures prises pour y remédier et éviter une répétition. À la suite de quoi l’utilisation du système est revenue à la normale.
B. SPF ÉCONOMIE
Le réseau et le site internet du SPF Économie sont gérés par un fournisseur externe et Fedict. Les données ont été demandées, mais n’ont pas encore été transmises jusqu’à présent.
2. A. SPF ETCS
a. L’incident avec le serveur de messagerie n’a duré que quelques heures.
b. L’ensemble du personnel du SPF ETCS a expérimenté des difficultés.
c. Il s’agissait de l’address book global (MS Exchange) du SPF ETCS.
d. Un compte utilisateur, avec un mot de passe « faible » a été craqué.
e. La procédé à suivre en matière de « mot de passe » a été réécrite. Il y a une obligation d’utiliser un mot de passe « fort » et de le changer tous les six mois. Des recommandations relatives au bon usage d’Internet et de la messagerie ont été rédigées et communiquées au personnel. Le niveau de protection du serveur de messagerie est renforcé. Il est obligé d’utiliser le VPN-Fedict (Virtual Private Network) pour se connecter de l’extérieur au réseau du SPF (authentification par e-ID).
f. Le SPF n’a pas enregistré de plainte suite à cet indicent.
g. Sans objet.
B. SPF ÉCONOMIE
a. Un seul cas de piratage a été constaté durant la période du 18 novembre 2013 jusqu’au 20 janvier 2014.
b. Cet incident est resté limité à un seul laptop.
c. Il n’y a eu aucune fuite de données économiques, car il s’agissait d’une exploration du réseau.
d. Le laptop en question a été affecté lors du téléchargement d’un logiciel infecté par un malware, qui n’a pas été détecté.
e. Le laptop infecté a été saisi et une recherche est entamée visant d’autres sources d’infection éventuelles. Dès que la contamination a été constatée, on a collaboré avec le Computer Emergency Response Team (CERT) et la Federal Computer Crime Unit (FCCU). Par ailleurs, une plainte a été déposée auprès du parquet fédéral.
f. Le cas de piratage mentionné ci-dessus est la seule plainte reçue.
g. L’enquête de la FCCU est en cours.
3. A. SPF ETCS
Sans objet, voir 2. f.
B. SPF ÉCONOMIE
Voir 2. e jusqu’au 2. g.
4. A. SPF ETCS
Pas de connaissance de plaintes déposées par le formulaire-online CPVP.
B. SPF ÉCONOMIE
Pas d’application.
5. A. SPF ETCS
Voir 2. e.
B. SPF ÉCONOMIE
Mesures entreprises : le contrôle du trafic Internet, la coopération avec le CERT, des mesures de renfort en matière d’antivirus et de pare-feu, des sessions de sensibilisation (« awareness ») relatives à la cybersécurité pour les utilisateurs finaux.
6. A. SPF ETCS
De 2009 à 2014 McAfee : 24 500 euros, 24 500 euros, 29 600 euros, 23 300 euros et 22 000 euros. En 2009 et 2010 Websense : 22 000 euros et 23 000 euros. De 2009 à 2014 Sophos : 14 000 euros, 23 500 euros, 22 600 euros et 20 500 euros.
B. SPF ÉCONOMIE
Les coûts annuels peuvent être répartis comme suit :
Fournisseur |
Produit |
Coût (euros) |
Belgacom/Telindus |
Internet Access Street |
215 000 |
Secutec |
Antivirus ordinateurs portables & postes de travail (McAfee) |
19 224 |
Data Unit NV |
Antivirus serveurs (Kaspersky) |
25 753 |
Data Unit NV |
Consultance (Kaspersky) |
5 135 |
7. A. SPF ETCS
L’achat et l’implantation d’un firewall « nouvelle génération » est envisagé, en fonction de la marge budgétaire.
B. SPF ÉCONOMIE
Il est toujours utile de prendre des mesures supplémentaires afin d’éviter les fuites de données, vu la vitesse et la complexité auxquelles la cybersécurité évolue.