Eu égard à la cybercriminalité actuelle, je souhaiterais une réponse aux questions suivantes :

1. Pouvez-vous me décrire la situation présente dans vos services ? Ont-ils déjà été la victime de pirates ou de cybercriminels, et dans l'affirmative, combien de fois ?

2. Le nombre de cyberattaques contre vos services a-t-il augmenté ces dernières années ? Pouvez-vous préciser, le cas échéant en donnant des chiffres ?

3. Si vos services ont déjà été la cible d'attaques, quels étaient la nature et les effets de chaque incident ? Par exemple, a-t-on dérobé des informations, attaqué un serveur ou un PC ou saboté une infrastructure ? Pouvez-vous fournir des détails ?

4. Compte tenu des cyberattaques dirigées contre certains services publics, avez-vous pris des mesures en vue de renforcer la sécurité de vos services ? Si oui, lesquelles ? Si non, pourquoi pas ?

5. S'il est ou s'il devait être question d'une cyberattaque sur vos services, quelle est la procédure standard de traitement ?

6. Vos services ont-ils déjà dû s'adresser au parquet à la suite de faits de cybercriminalité, et à combien de reprises ? Pouvez-vous préciser ?

7. Vos services ou votre administration sont-ils tenus de signaler de telles attaques à FEDICT ou à CERT ? Pourquoi (pas) ?

8. Estimez-vous vraisemblable que vos services aient déjà été attaqués par des cybercriminels, mais que ces attaques soient passées inaperçues en raison de techniques flexibles faisant appel à des technologies avancées ?

En réponse à ses questions, j’ai l’honneur de faire savoir à l’honorable membre ce qui suit. 

Pour l’ONP :

1. A ce jour, l’ONP n’a pas détecté d’attaque réussie de pirates ou de cybercriminels. 

2. Pour ces dernières années, aucun chiffre ne peut être donné. Les chiffres sont ceux relatifs à des tentatives d’attaques qui ont été détectées et bloquées. Il ne peut être donné de chiffres relatifs à des cyberattaques qui n’ont pas été enregistrées (faux négatifs). Les chiffres peuvent également contenir des faux positifs. Les chiffres ne sont pas normalisés (1 attaque peut consister en plusieurs incidents ou plusieurs infrastructures, 1 attaque peut survenir simultanément à partir de diverses  localisations géographiques, les différents événements ne sont pas mis en corrélation, il existe différentes interprétations de la notion d’ ‘incident’ selon l’outil de rapportage, etc.).  

Nous ne pouvons pas évaluer de régularité, pas de tendance à la hausse ou à la baisse. 

Les chiffres qui suivent peuvent être donnés pour ces 3 derniers mois : 

Tentatives d’attaques sur l’infrastructure web de l’ONP (par tentative d’attaque, a été considéré tout ce qui est ‘error’ , ‘critical’ ou comme indiqué ci-dessus) :

• Juillet : 8103

• Août : 25094

• Septembre : 19286 

Tentatives d’attaques découvertes au niveau de l’IDPS (sur le segment de réseau entre firewall et internet) :

• Juillet : 44012

• Août: 30975

• Septembre: 35042

Détection anti malware :

• Juillet :2

• Août :21

• Septembre :103 

3. Ces dernières années, il n’a pas encore été constaté d’incident dont les effets étaient substantiels. 

Les composants qui ont été attaqués le plus souvent au niveau de l’infrastructure sont l’infrastructure serveur web et l’environnement pc. 

En cas de nouveau malware, il y a toutefois toujours une période pendant laquelle l’infrastructure n’est pas sécurisée, aussi longtemps que le malware n’est pas connu et que les mises à jour nécessaires n’ont pas encore été effectuées. Au cours de cette période, aucun dommage n’a été constaté. 

4. Jusqu’à présent, seules ont été appliquées les mesures classiques de sécurité, telles que firewall, IPDS, anti-virus, web application firewall, vpn, strong authentication et proxy.

Les mesures classiques de sécurité nécessitent parfois pas mal de ressources en vue d’atteindre un niveau de sécurité performant et comporte une plus large possibilité de faux positifs ou négatifs. Au niveau du content security, les mesures de sécurité sont basées sur des signatures. Il faudrait détecter plus de manière heuristique et il faudrait plus tenir compte du modus operandi du malware. En outre, une meilleure corrélation devrait être établie entre les différents incidents sur l’infrastructure de sécurité.  

La politique en matière de sécurité devra être adaptée, compte tenu des menaces potentielles et des incidents qui se sont produits dans d’autres services publics. De nouvelles technologies, telles que Advanced Persistent Threat Prevention, Intrusion Deception, Next Generation Firewall, Security Incident & Event Monitoring ou Database Activity Monitoring ont été évaluées et testées si possible sur l’infrastructure de l’ONP. 

Les raisons de ne pas appliquer ces nouvelles technologies se situent dans la situation budgétaire précaire et le coût élevé des technologies. 

5. Si une cyberattaque était constatée, une procédure de traitement  analogue à une procédure de traitement  en cas d’incidents techniques graves serait suivie. Les responsables principaux (le fonctionnaire dirigeant, le CIO et le CSO) en sont informés. L’ampleur de l’incident est évaluée et des mesures conservatoires sont prises. Le modus operandi de la cyberattaque est analysée et la source de contamination est détectée. Les systèmes contaminés sont mis en quarantaine ou hors. Les logs sont archivés à des fins légales. La manière de passer à un fonctionnement normal de l’infrastructure est évaluée.  

Si l’incident avait des conséquences sur des parties externes, celles-ci en seraient informées. 

Enfin, il est évalué si l’incident est suffisamment sérieux que pour entreprendre des démarches judiciaires. 

6. Non. Jusqu’à présent, il n’a pas encore été constaté d’incidents de gravité suffisante que pour justifier des démarches judiciaires, tels que le vol de toutes les données confidentielles de la banque de données centrale ou que de graves atteintes au fonctionnement de l’organisme, etc.. 

7. À ce jour, il n’y a pas d’obligation de signaler de telles attaques à Fedict ou CERT.

Au cas où un incident de gravité suffisante se produisait, la Banque centrale de la Sécurité  sociale et l’Extranet en seraient informés.

8. L’ONP estime réaliste qu’un certain nombre de cyberattaques restent inaperçues.   

Pour le SdPSP : 

1. Le SdPSP n’a pas été directement soumis à des attaques de hackers en matière de cybercriminalité. 

2. Pas d’application. 

3. Pas d’application. 

4. Le SdPSP est raccordé au réseau primaire de la sécurité sociale par l’intermédiaire de l’Office National des Pensions.   

Les accès internet se font exclusivement via des canaux protégés.  Ces canaux sont configurés par Smals, gestionnaire de l’extranet de la sécurité sociale.  Les mesures classiques de protection sont mises en œuvre (firewall, utilisation de reverse proxy, dispositifs anti-virus et anti-spam).   

L’ONP met en place les mesures complémentaires suivantes : utilisation de zones démilitarisées (DMZ), filtrage des accès à l’aide de firewall, utilisation d’anti-virus au niveau des serveurs et des stations de travail locales.  Seules les machines pour lesquelles les définitions de virus sont suffisamment à jour sont autorisées à se connecter au réseau. 

5. La procédure suivante serait d’application :  

• Evaluation de l’importance du problème et des machines impactées.

• Isolation de la ou des machines impactées du réseau, afin d’éviter que le problème ne se propage.

• Rétablissement de la protection des composants concernés.

• Test de la nouvelle situation.

• Remise des machines impactées sur le réseau. 

6. Non. 

7. La cas échéant, cette problématique serait traitée en collaboration avec Smals en ce qui concerne l’extranet de la sécurité sociale et l’ONP en ce qui concerne le réseau et les accès locaux. Le SdPSP s’alignerait avec les procédures de communication de ces partenaires. 

8. Ce cas d’espèce est fortement improbable.