SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
24 septembre 2013 24 september 2013
________________
Question écrite n° 5-9914 Schriftelijke vraag nr. 5-9914

de Nele Lijnen (Open Vld)

van Nele Lijnen (Open Vld)

au secrétaire d'État à la Fonction publique et à la Modernisation des Services publics, adjoint au ministre des Finances et du Développement durable, chargé de la Fonction publique

aan de staatssecretaris voor Ambtenarenzaken en Modernisering van de Openbare Diensten, toegevoegd aan de minister van Financiën en Duurzame Ontwikkeling, belast met Ambtenarenzaken
________________
Cybercriminalité - Chiffres - Hacking Cybercrime - cijfers - hacking 
________________
criminalité informatique
ministère
protection des données
computercriminaliteit
ministerie
gegevensbescherming
________ ________
24/9/2013 Verzending vraag
12/11/2013 Rappel
13/11/2013 Antwoord
24/9/2013 Verzending vraag
12/11/2013 Rappel
13/11/2013 Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9915
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9915
________ ________
Question n° 5-9914 du 24 septembre 2013 : (Question posée en néerlandais) Vraag nr. 5-9914 d.d. 24 september 2013 : (Vraag gesteld in het Nederlands)

Eu égard à la cybercriminalité actuelle, je souhaiterais une réponse aux questions suivantes :

1. Pouvez-vous me décrire la situation présente dans vos services ? Ont-ils déjà été la victime de pirates ou de cybercriminels, et dans l'affirmative, combien de fois ?

2. Le nombre de cyberattaques contre vos services a-t-il augmenté ces dernières années ? Pouvez-vous préciser, le cas échéant en donnant des chiffres ?

3. Si vos services ont déjà été la cible d'attaques, quels étaient la nature et les effets de chaque incident ? Par exemple, a-t-on dérobé des informations, attaqué un serveur ou un PC ou saboté une infrastructure ? Pouvez-vous fournir des détails ?

4. Compte tenu des cyberattaques dirigées contre certains services publics, avez-vous pris des mesures en vue de renforcer la sécurité de vos services ? Si oui, lesquelles ? Si non, pourquoi pas ?

5. S'il est ou s'il devait être question d'une cyberattaque sur vos services, quelle est la procédure standard de traitement ?

6. Vos services ont-ils déjà dû s'adresser au parquet à la suite de faits de cybercriminalité, et à combien de reprises ? Pouvez-vous préciser ?

7. Vos services ou votre administration sont-ils tenus de signaler de telles attaques à FEDICT ou à CERT ? Pourquoi (pas) ?

8. Estimez-vous vraisemblable que vos services aient déjà été attaqués par des cybercriminels, mais que ces attaques soient passées inaperçues en raison de techniques flexibles faisant appel à des technologies avancées ?

 

Gelet op de recente actualiteit omtrent cybercrime kreeg ik graag een antwoord op de volgende vragen:

1. Kan u mij een update geven wat betreft cybercrime bij uw diensten? Zijn uw diensten reeds het slachtoffer geworden van hackers of cybercriminelen, en indien ja, hoe vaak?

2. Is het aantal cyberaanvallen op uw diensten toegenomen de laatste jaren? Kan u toelichten, ook met cijfers?

3. Indien uw diensten reeds aangevallen zijn, wat was de aard en impact van elk incident ? Werd er bijvoorbeeld informatie gestolen, een server aangevallen, een PC aangevallen, infrastructuur gesaboteerd, enz. ? Kan u uitvoerig toelichten?

4. Heeft u, gelet op de cyberaanvallen op bepaalde overheidsdiensten, maatregelen genomen om uw diensten beter te beschermen? Zo ja, welke maatregelen? Zo neen, waarom niet?

5. Indien er sprake is of zou zijn van een cyberaanval op uw diensten ,wat is de standaard afhandelingsprocedure?

6. Is men bij uw diensten al naar het parket moeten stappen omwille van een cybercrime, en hoe vaak? Kan u toelichten?

7. Zijn uw diensten of administratie verplicht om zulk een aanval te melden aan FEDICT of CERT? Waarom wel of niet?

8. Hoe realistisch acht u het dat uw diensten reeds aangevallen zijn door cybercriminelen, maar dat door hun flexibele en hoogtechnologische technieken deze onopgemerkt bleven?

 
Réponse reçue le 13 novembre 2013 : Antwoord ontvangen op 13 november 2013 :

Ci-dessous je tiens à vous communiquer les données concernant le Service public fédéral (SPF) P&O et le Service public fédéral Technologie de l'information et de la communication (FEDICT).

1) et 2) En 2012, Fedict a dû contrer sept tentatives d'attaque par déni de service et n'a dû en contrer aucune en 2013. Aucun autre type d’attaque ou de « cybercrime » n’a été détecté. Cela ne signifie cependant pas que le nombre de tentatives d’attaques a diminué. Fedict a renforcé son infrastructure, des tentatives d’attaque ont eu lieu, mais elles n’ont pas donné lieu à une augmentation effective du risque pour Fedict. La seule constatation fut que le trafic réseau avait largement dépassé le volume normal. Avant 2012, aucune statistique n'a été tenue quant au nombre d'attaques sur les systèmes de Fedict.

Au niveau de P&O, seul le Selor a détecté par le passé des tentatives avortées de cyberattaques. Celles-ci n’ont eu aucun impact sur l’intégrité des données ni pour les utilisateurs; des améliorations continues à l’infrastructure ICT ont été menées depuis lors et aucun cas n’a plus été signalé. P&O ne dispose d’aucun chiffre à ce sujet, aucun incident de ce type n’est survenu. Il est toutefois possible d’interroger les systèmes de Firewall en cas d’incident avéré.

3) Fedict a dû contrer plusieurs attaques qui visaient à perturber certains de ses services. Jusqu'à présent, aucune attaque visant à voler des informations n'a été établie. En ce qui concerne P&O, comme répondu en question 1, jusqu’à présent, les tentatives d’attaque n’ont eu aucun impact sur les systèmes, ni sur l’intégrité des données.

4) Les systèmes de Fedict sont protégés sur la base des « best practices » et donc aussi sur la base d'une évaluation des risques. Ces systèmes sont surveillés en permanence. Actuellement, cela signifie que des scans de vulnérabilité technique sont régulièrement menés et que des systèmes de détection d'intrusion et des firewalls d'application web sont mis en place. En outre, les applications, l'infrastructure serveur et le réseau sont gérés séparément (ce que l'on appelle la « segregation of duties »). Dans le cadre du renouvellement de l'infrastructure du centre de données prévu pour 2014, l'accent est particulièrement mis sur la détection, la classification et le filtrage des motifs suspects, tant au niveau du réseau que des systèmes. En outre, une meilleure « segregation of duties » est en cours d’élaboration. L'infrastructure bureautique est gérée par Fedict Shared Services. Cette infrastructure est systématiquement renouvelée en tenant compte des limites budgétaires. Parallèlement à cela, et sur la base de l'évolution de la nature des menaces, la politique de sécurité et le contrôle des anomalies dans les flux de données sont corrigés si nécessaire et le rapport est affiné. Tout cela se fait en collaboration avec les experts, internes et externes, de la sécurité.

Les systèmes de P&O sont régulièrement mis à jour : infrastructure (certificats web SSL de Fedict, DMZ, pare-feu, proxy, serveur SFTP) et logiciels (pare-feu, MailRelay, reverse-proxy,…). Comme chez Fedict, les infrastructures font l’objet d’un monitoring continu.

5) Lors d'une cyberattaque, une analyse est tout d'abord menée afin de déterminer le type d'attaque. Sur la base de cette analyse, les éléments nécessaires, tels que le moment de l'attaque et les « logs », sont collectés. Entre-temps, les mesures nécessaires sont prises afin de bloquer l'attaque.

6) Pour six des douze attaques décelées en 2012, Fedict a déposé un dossier auprès de la Federal Computer Crime Unit (FCCU). Pour les six autres attaques, aucune plainte n'a été déposée car il n'existait pas de risque effectif pour Fedict. La seule constatation fut que le trafic réseau avait largement dépassé le volume normal. P&O n’a pas encore constaté de fait de cybercriminalité.

7) Il n'y a aucune obligation d'informer Cert.be de cyberattaques. En tant que coordinateur de Cert.be, Fedict contacte toujours ce site dans le cas d'une attaque.

8) Toutes nos infrastructures font l’objet d’un suivi continu, et les outils sont mis à jour en fonction des dernières technologies. De plus, au niveau du contenu, Fedict et P&O ne traitent que peu d'informations sensibles. Dans ce contexte, je puis affirmer qu'il existe assez peu de risques que nos services aient déjà été attaqués, sans que l'on s'en rende compte, par des cybercriminels, au moyen de techniques flexibles et technologiquement avancées. Je ne peux cependant pas complètement écarter ce risque.

Hieronder kan ik u de gegevens meedelen die betrekking hebben op de Federale Overheidsdienst (FOD) P&O en de Federale Overheidsdienst Informatie- en Communicatie Technologie (FEDICT).

1)et 2) Fedict heeft in 2012 zeven pogingen en in 2013 geen enkele poging tot denial of service moeten bestrijden. Er werd geen enkel ander type aanval of “cybercrime” gedetecteerd. Dit betekent echter niet dat het aantal aanvallen verminderd is. Fedict heeft zijn infrastructuur robuuster gemaakt, er werden pogingen tot aanvallen ondernomen maar deze hebben geen aanleiding gegeven tot een effectieve risicoverhoging voor Fedict.De enige vaststelling die werd gemaakt was dat het netwerkverkeer het normale volume ruim had overschreden. Er werden voor 2012 geen statistieken bijgehouden over het aantal aanvallen op de systemen van Fedict.

Voor wat P&O betreft, heeft alleen Selor vroeger mislukte cyberaanvallen gedetecteerd. Die hebben geen enkele invloed gehad op de integriteit van de gegevens, noch op de gebruikers. Sindsdien werden er ononderbroken verbeteringen aan de IT-infrastructuur aangebracht en werd er geen enkel geval meer gemeld. P&O beschikt niet over cijfers, een dergelijk incident heeft zich niet voorgedaan. Het is wel mogelijk om gegevens uit de firewall op te vragen indien er een incident plaatsvindt.

3) Fedict heeft een aantal aanvallen moeten bestrijden die tot doel hadden bepaalde diensten van Fedict te verstoren. Tot hiertoe werden geen aanvallen vastgesteld die tot doel hadden informatie te stelen. Voor wat P&O betreft, zoals in antwoord 1 reeds werd vermeld, hebben de aanvallen tot op vandaag geen invloed gehad op de systemen, noch op de integriteit van de gegevens.

4) De systemen van Fedict worden beschermd op basis van zogenaamde “best practices” en dus ook op basis van een evaluatie van de risico’s. Deze systemen worden continu gemonitord. Momenteel betekent dit dat er periodiek technische vulnerability scans uitgevoerd worden en dat er intrusion detectiesystemen en web-application firewalls ingezet worden. Daarnaast worden applicaties, serverinfrastructuur en netwerk gescheiden beheerd, een zgn. segregation of duties. Bij de vernieuwing van de datacenterinfrastructuur, die voorzien is voor 2014, wordt er aanzienlijk meer nadruk gelegd op het detecteren, classificeren en filteren van verdachte patronen, zowel op netwerkniveau als op de systemen. Bovendien wordt een nog betere “segregation of duties” uitgewerkt. Wat de bureautica-infrastructuur betreft, deze wordt door Fedict Shared services geregeld. Deze infrastructuur wordt binnen de budgettaire limieten systematisch vernieuwd. Parallel hiermee worden, op basis van de evolutie in de aard van de bedreigingen, tevens het veiligheidsbeleid en de controle op anomalieën in de gegevensstromen zo nodig bijgestuurd en wordt de rapportering verfijnd. Dit alles gebeurt in overleg met interne en externe veiligheidsexperten.

De systemen van P&O worden regelmatig vernieuwd : infrastructuur (Fedict-ssl webcertificaten, DMZ, firewall, proxy, sftp server) en software en logiciels (Firewall, mailrelay, reverse-proxy,…). Zoals bij Fedict, wordt de infrastructuur continu gemonitord.

5) Bij een cyberaanval wordt eerst een analyse uitgevoerd om vast te stellen welk type aanval het betreft. Op basis van deze analyse worden de nodige elementen verzameld zoals het tijdstip en de zgn. logs. Ondertussen worden de nodige stappen genomen om de aanval af te slaan.

6) Voor zes op de twaalf aanvallen ontdekt in 2012 heeft Fedict een dossier bij de Federal Computer Crime Unit (FCCU) ingediend. Voor de andere zes pogingen werd geen klacht ingediend omdat er geen effectieve schade was voor Fedict. Er werd enkel opgemerkt dat het netwerkverkeer sterk boven het normale volume gestegen was. P&O heeft tot nu toe geen spoor van cybercriminaliteit kunnen vaststellen.

7) Er is geen verplichting om aanvallen te melden aan Cert.be. Als coördinator van Cert.be verwittigt Fedict Cert.be altijd in zulke gevallen.

8) Al onze infrastructuren worden continu opgevolgd en de “tools” werden geüpdatet in functie van de recentste technologieën. Op vlak van inhoud behandelen Fedict en P&O bovendien zelf weinig gevoelige informatie. In deze context, kan ik stellen dat de kans dat onze diensten reeds ongemerkt aangevallen werden door cybercriminelen, door middel van flexibele en hoogtechnologische technieken, tamelijk laag is. Maar volledig uitsluiten kan ik dat niet.