SÉNAT Question écrite n° 5-10017 - SENAAT Schriftelijke vraag nr. 5-10017

SÉNAT DE BELGIQUE

BELGISCHE SENAAT

________

Session 2012-2013

Zitting 2012-2013

________

4 octobre 2013

4 oktober 2013

________

Question écrite n° 5-10017

Schriftelijke vraag nr. 5-10017

de Nele Lijnen (Open Vld)

van Nele Lijnen (Open Vld)

au vice-premier ministre et ministre des Pensions

aan de vice-eersteminister en minister van Pensioenen

________

Criminalité informatique - Appareils mobiles - Sécurisation - Tableau général

Cybercrime - Mobiele toestellen - Beveiliging - Overzicht

________

criminalité informatique
téléphone mobile
protection des données
virus informatique
communication mobile

computercriminaliteit
mobiele telefoon
gegevensbescherming
computervirus
mobiele communicatie

________

4/10/2013	Verzending vraag
7/11/2013	Antwoord

4/10/2013	Verzending vraag
7/11/2013	Antwoord

________

Ook gesteld aan : schriftelijke vraag 5-10013
Ook gesteld aan : schriftelijke vraag 5-10014
Ook gesteld aan : schriftelijke vraag 5-10015
Ook gesteld aan : schriftelijke vraag 5-10016
Ook gesteld aan : schriftelijke vraag 5-10018
Ook gesteld aan : schriftelijke vraag 5-10019
Ook gesteld aan : schriftelijke vraag 5-10020
Ook gesteld aan : schriftelijke vraag 5-10021
Ook gesteld aan : schriftelijke vraag 5-10022
Ook gesteld aan : schriftelijke vraag 5-10023
Ook gesteld aan : schriftelijke vraag 5-10024
Ook gesteld aan : schriftelijke vraag 5-10025
Ook gesteld aan : schriftelijke vraag 5-10026
Ook gesteld aan : schriftelijke vraag 5-10027
Ook gesteld aan : schriftelijke vraag 5-10028
Ook gesteld aan : schriftelijke vraag 5-10029
Ook gesteld aan : schriftelijke vraag 5-10030
Ook gesteld aan : schriftelijke vraag 5-10031

________

Question n° 5-10017 du 4 octobre 2013 : (Question posée en néerlandais)

Vraag nr. 5-10017 d.d. 4 oktober 2013 : (Vraag gesteld in het Nederlands)

Depuis ces dernières années, la criminalité informatique progresse dans le monde entier. Les ordinateurs en ont été les premières victimes mais plusieurs experts remarquent que les criminels informatiques déplacent leur activité vers les appareils mobiles (téléphones cellulaires, tablettes,…). Il ressort ainsi du Rapport Norton 2013, un rapport de référence sur la sécurité informatique, que quelque 48 pour cent des utilisateurs de smartphones et de tablettes ne prennent aucune mesure en vue d'assurer la protection de leur appareil mobile. C'est pourtant à conseiller parce que les hackers peuvent y trouver accès à toutes sortes de données personnelles et professionnelles

J'aimerais poser les questions suivantes :

1) A-t-on déjà constaté durant ces trois dernières années des infections de smartphones ou de tablettes par un virus, un maliciel, un logiciel espion, etc. ? Pouvez-vous communiquer le nombre de ces constats ?

2) Avez-vous une idée du nombre de membres du personnel qui ont accès via leur smartphone ou leur tablette à des données professionnelles (par exemple sur le nuage informatique) ? Pouvez-vous communiquer ce nombre ?

3) Si ce n'est pas le cas : estimez-vous nécessaire de mieux cartographier l'usage de smartphones et de tablettes par votre personnel, puisque ces appareils mobiles peuvent donner à des cybercriminels l'accès à des données professionnelles ? Pouvez-vous expliquer votre choix ?

4) Surveille-t-on la connexion des tablettes et des smartphones au système informatique du travail ? Pourquoi le fait-on ou ne le fait-on pas ?

5) Si vos services reçoivent de l'information sur la sécurité informatique et sur les dangers, accorde-t-on aussi de l'attention à la sécurité des appareils mobiles, comme les tablettes et les smartphones ? Si oui, de quelle façon ? Si non, ne pensez-vous pas que cela soit nécessaire ?

6) Connaissez-vous le nombre de membres du personnel qui ont reçu une tablette ou un smartphone de leur employeur ? Pouvez-vous communiquer ces chiffres ?

7) Vos informaticiens sont-ils suffisamment au courant de cette tendance ? Si non, ne pensez-vous pas que ce soit nécessaire ? Si oui, de quelle manière y réagissent-ils ?

De jongste jaren is cybercrime aan een ware opmars bezig over de hele wereld. Daar waar voorheen vooral computers het primaire slachtoffer van deze criminelen waren, merken verschillende experts op dat cybercriminelen hun activiteit ook naar de mobiele toestellen (gsm , tablet, …) verplaatsen. Uit het zogenaamde Norton Report 2013, een toonaangevend rapport inzake cyberbeveiliging, blijkt dat zo'n 48 % van de smartphone- en tabletgebruikers geen maatregelen neemt om hun mobiele toestellen te beveiligen. Dit valt toch aan te raden, omdat hackers mogelijk hierdoor toegang hebben tot allerlei persoonlijke en professionele data.

Graag had ik volgende vragen gesteld:

1) Zijn er de jongste drie jaar reeds vaststellingen gedaan met betrekking tot besmette smartphones of tablets door een virus/malware/spyware/enz.? Kunt u deze cijfers meedelen?

2) Hebt u een beeld van het aantal personeelsleden die via hun smartphone of tablet toegang hebben tot professionele data (bijvoorbeeld via cloud computing)? Kunt u deze cijfers meedelen?

3) Indien neen op de vorige vraag: acht u het nodig om het gebruik van smartphones en tablets door uw personeel beter in kaart te brengen, aangezien hun toestellen mogelijk een toegangspoort voor cybercriminelen kunnen zijn naar professionele gegevens? Kunt u toelichten waarom wel of niet?

4) Wordt er toegezien op de koppeling van tablets of smartphones met de informatica van op het werk? Waarom wel of niet?

5) Indien uw diensten informatie krijgen over het beveiligen van de informatica en de gevaren hieromtrent, is er dan ook aandacht voor de beveiliging van mobiele apparaten, zoals tablets of smartphones? Indien ja, op welke manier? Indien neen, acht u dit nodig?

6) Hebt u cijfers over het aantal personeelsleden die een smartphone of tablet gekregen hebben van hun werkgever, en kunt u deze cijfers meedelen?

7) Zijn uw informatici voldoende op de hoogte van deze trend? Indien neen, is dit volgens u noodzakelijk? Indien ja, op welke manier spelen zij hierop in?

Réponse reçue le 7 novembre 2013 :

Antwoord ontvangen op 7 november 2013 :

En réponse à ses questions, j’ai l’honneur de faire savoir à l’honorable membre ce qui suit.

En ce qui concerne l’Office national des Pensions :

1. A-t-on déjà constaté durant ces trois dernières années des infections de Smartphones ou de tablettes par un virus, un maliciel, un logiciel espion etc ? Pouvez-vous communiquer le nombre de ces constats

Les 3 dernières années, on n’a pas encore constaté de malicieux sur les Smartphones.

2. Avez-vous une idée du nombre de membres du personnel qui ont accès via leur Smartphone ou leur tablette à des données professionnelles (par exemple sur le nuage informatique)?

Oui, l’ONP en a une idée. L’accès sur le nuage informatique n’est pas autorisé. L’ONP traite les accès par Smartphones comme les accès à distance par des appareils mobiles (laptops) et cela ne peut se faire que par VPN. La communication est de plus en plus cryptée. Suivant la classification des données professionnelles, une authentification forte ou non sera requise (EID, token, etc.). Par exemple, l’accès à la banque de données de la firme ou aux réserves du fichier n’est possible que par forte authentification.

À ce moment, il y a 67 appareils BYOD.

3. Si ce n’est pas le cas à la question précédente: estimez-vous nécessaire de mieux cartographier l’usage de smartphones et de tablettes par votre personnel, puisque ces appareils mobiles peuvent donner à des cybercriminels l’accès à des données professionnelles? Pouvez-vous expliquer votre choix?

Pas d’application.

4. Suit-on la connexion des tablettes ou des smartphones au système informatique du travail?Pourquoi le fait-on ou ne le fait-on pas ?

Oui, l’ONP est conscient des risques.

5. Si les services reçoivent de l’information sur la sécurité informatique et sur les dangers, accorde-t-on aussi de l’attention à la sécurité des appareils mobiles comme les tablettes ou le smartphones? Si oui, de quelle façon? Si non, ne pensez-vous pas que cela soit nécessaire?

Oui, comme décrit auparavant, les Smartphones et les tablettes sont considérés et traités comme d’autres appareils mobiles avec accès à distance.

L’ONP ne dispose cependant pas encore en ce moment d’une solution MDM (Mobile Device Management) à part entière qui permette de gérer vraiment les tablettes, Smartphones, etc. mais tous les appareils ont été configurés pour pouvoir être “remotely wiped”.

6. Connaissez-vous le nombre des membres du personnel qui ont reçu une tablette ou un Smartphone de leur employeur? Pouvez-vous communiquer ces chiffres?

En ce moment, l’ONP a fourni 20 iPads, 32 iPhones et 40 BlackBerries.

7. Vos informaticiens sont-ils suffisamment au courant de cette tendance? Si non, ne pensez-vous pas que ce soit nécessaire? Si oui, de quelle manière y réagissent-ils?

Oui, les informaticiens de l’ONP sont conscients des dangers. Avec les moyens disponibles, les principaux dangers ont déjà été réduits. Si d’autres mesures, comme la solution MDM, sont nécessaires, d’autres moyens devront être mis à disposition.

En ce qui concerne le Service des Pensions du Secteur public :

1. Les Smartphones et tablettes utilisés au SdPSP n’ont pas été, au cours des trois dernières années, soumis à des attaques de virus, malware ou spyware.

2. 16 membres du personnel utilisent des Smartphones de type BlackBerry et 7 membres du personnel utilisent des tablettes reliés à l’environnement de travail professionnel.

Les BlackBerry donnent uniquement accès aux mails d’entreprise. Cet accès est protégé par les protocoles d’accès propriétaires de ce constructeur, réputé pour les aspects sécurité.

Les tablettes permettent également de donner accès aux mails professionnels. Via un client VPN installé sur les tablettes, il est aussi possible de consulter les fichiers de l’entreprise. L’utilisation de ce VPN permet d’exclure la réception ou la transmission de virus, malware ou spyware.

3. Pas d’application.

4. Les liens entre les Smartphones et tablettes d’une part et l’infrastructure informatique d’autre part sont effectivement contrôlés et limités aux canaux décrits ci-dessus afin d’éviter tout problème potentiel en matière de sécurité informatique.

5. Les recommandations en matière de sécurité sont d’application pour l’ensemble du matériel pouvant être relié à l’infrastructure informatique (PC fixes, PC portables, Smartphones et tablettes). Pour chacun de ces matériels, les sécurisations des accès sont semblables afin d’exclure tout risque potentiel. Les accès à distance aux fichiers sont donc seulement possibles via l’utilisation des clients VPN.

6. 16 membres du personnel ont reçu des Smartphones de type BlackBerry et 7 membres du personnel ont reçu des tablettes (5 tablettes Ipad et 2 tablettes Samsung Galaxy).

7. L’équipe informatique est consciente des risques inhérents à l’utilisation des Smartphones ou tablettes pour donner accès aux données d’entreprise. Elle veille à ce que les accès se fassent exclusivement via les canaux protégés autorisés.

In antwoord op haar vragen heb ik de eer om het geachte lid het volgende mee te delen.

1. Zijn er in de laatste 3 jaar reeds vaststellingen gedaan met betrekking tot een besmette smartphone of tablet door een virus/malware/spyware/enz. Kan u deze cijfers meedelen ?

De laatste 3 jaar werden nog geen malwares op smartphones vastgesteld.

2. Heeft u een beeld van hoeveel personeelsleden via hun smartphone of tablet toegang hebben tot professionele data (bij voorbeeld via cloud computing)?

Ja, de RVP heeft hiervan een beeld. Toegang via cloud computing wordt niet toegelaten. De RVP behandelt de toegangen via smartphones als toegangen vanop afstand via mobile devices (laptops) en kan enkel geschieden via VPN. De communicatie wordt steeds geëncrypteerd. Naar gelang de classificatie van de professionele data zal al dan niet sterke authenticatie worden vereist (EID, token, enz.). Bij voorbeeld de toegang tot de databank van de bedrijfsgegevens of tot de bestandsservers kan enkel via sterke authenticatie.

Op dit moment zijn er 67 BYOD-devices.

3. Indien neen op de vorige vraag: acht u het nodig om het gebruik van smartphones en tablets door uw personeel beter in kaart te brengen, aangezien hun toestellen mogelijk een toegangspoort voor cybercriminelen kunnen zijn naar gegevens van op het werk ? Kan u toelichten waarom wel of niet?

Niet van toepassing.

4. Wordt er toegezien op de koppeling van tablets of smartphones met de informatica van op het werk? Waarom wel of niet?

Ja, de RVP is zich bewust van de gevaren.

5. Indien uw diensten informatie krijgen over het beveiligen van de informatica en de gevaren hieromtrent, is er dan ook aandacht voor de beveiliging van mobiele apparaten zoals tablets of smartphones? Indien ja, op welke manier? Indien neen, acht u dit nodig?

Ja, zoals eerder beschreven worden smartphones en tablets als andere mobile devices met remote access beschouwd en behandeld.

De RVP beschikt op dit moment evenwel nog niet over een volwaardige MDM-oplossing (Mobile Device Management) die toelaat de tablets, smartphones, enz. echt te beheren. maar alle device zijn geconfigureerd om te kunnen “remotely wiped”.

6. Heeft u cijfers over het aantal personeelsleden die een smartphone of tablet gekregen hebben van het werk en kan u deze cijfers meedelen?

Op dit moment werden er 20 iPads, 32 iPhones en 40 BlackBerries door de RVP verstrekt.

7. Zijn uw informatici voldoende op de hoogte van deze trend? Indien neen, is dit volgens u noodzakelijk? Indien ja, op welke manier spelen zij hierop in?

Ja, de informatici van de RVP zijn zich bewust van de gevaren. Met de beschikbare middelen worden de belangrijkste gevaren reeds ingeperkt. Indien verdere maatregelen, zoals MDM, noodzakelijk zijn, zullen verdere middelen dienen ter beschikking worden gesteld.

Wat de Pensioendienst voor de Overheidssector betreft :

1. De Smartphones en Tablets die door de PDOS worden gebruikt, zijn de laatste 3 jaar niet geconfronteerd geworden met aanvallen van virussen, malware of

2. 16 personeelsleden gebruiken een Smartphone van het type BlackBerry en 7 personeelsleden maken gebruik van een Tablet, verbonden met de professionele werkomgeving.

De BlackBerry toestellen bieden enkel toegang tot de bedrijfsmail. De toegang is beveiligd door de toegangsprotocollen van de constructeur, die een reputatie heeft op het vlak van beveiliging.

Ook de Tablets voorzien in een toegang tot de bedrijfsmail. Via een VPN die op de Tablets is geïnstalleerd kunnen echter ook bedrijfsbestanden worden geconsulteerd. Het gebruik van VPN laat toe om de overdracht van virussen, malware en spytware uit te sluiten.

3. Niet van toepassing.

4. De verbindingen tussen de Smartphones en Tablets enerzijds en de informatica infrastructuur anderzijds worden gecontroleerd en beperkt volgens de hierboven beschreven kanalen om te voorkomen dat er zich een potentieel probleem zou voordoen op het niveau van de informaticaveiligheid.

5. De aanbevelingen inzake informaticaveiligheid zijn toepasselijk op het geheel van het materieel dat wordt aangesloten op de informatica infrastructuur (vaste PC’s, draagbare PC’s, Smartphones en Tablets). Voor al dat materieel is de toegangsbeveiliging gelijkaardig zodat een potentieel risico kan worden uitgesloten. Toegang tot bestanden op afstand is dus enkel mogelijk via een verbinding met een VPN client.

6. 16 personeelsleden hebben een Smartphone van het type BlackBerry ontvangen en 7 personeelsleden beschikken over een Tablet (5 Tablet Ipad en 2 Tablets Samsung Galaxy).

7. De informaticaploeg is zich bewust van de risicos die zijn verbonden aan het gebruik van Smartphones of Tablets bij het verlenen van toegang tot de bedrijfsgegevens. Zij waakt erover dat deze toegang uitsluitend wordt verleend via de beveiligde kanalen