Eu égard à la cybercriminalité actuelle, je souhaiterais une réponse aux questions suivantes :

1. Pouvez-vous me décrire la situation présente dans vos services ? Ont-ils déjà été la victime de pirates ou de cybercriminels, et dans l'affirmative, combien de fois ?

2. Le nombre de cyberattaques contre vos services a-t-il augmenté ces dernières années ? Pouvez-vous préciser, le cas échéant en donnant des chiffres ?

3. Si vos services ont déjà été la cible d'attaques, quels étaient la nature et les effets de chaque incident ? Par exemple, a-t-on dérobé des informations, attaqué un serveur ou un PC ou saboté une infrastructure ? Pouvez-vous fournir des détails ?

4. Compte tenu des cyberattaques dirigées contre certains services publics, avez-vous pris des mesures en vue de renforcer la sécurité de vos services ? Si oui, lesquelles ? Si non, pourquoi pas ?

5. S'il est ou s'il devait être question d'une cyberattaque sur vos services, quelle est la procédure standard de traitement ?

6. Vos services ont-ils déjà dû s'adresser au parquet à la suite de faits de cybercriminalité, et à combien de reprises ? Pouvez-vous préciser ?

7. Vos services ou votre administration sont-ils tenus de signaler de telles attaques à FEDICT ou à CERT ? Pourquoi (pas) ?

8. Estimez-vous vraisemblable que vos services aient déjà été attaqués par des cybercriminels, mais que ces attaques soient passées inaperçues en raison de techniques flexibles faisant appel à des technologies avancées ?

L’honorable membre trouvera ci-après la réponse à sa question.

1. Des virus ont attaqué des postes de travail à la Politique scientifique fédérale (Belspo). Il s’agissait de variantes de virus non encore identifiées par l’anti-virus PC de Belspo.

Belspo a connu également à deux reprises (2012 et 2013) des attaques par amplification de DNS (DNS amplification attacks). Celles-ci bombardaient de requêtes ses serveurs DNS sans provoquer toutefois de déni de service (Denial of service). Le service informatique a pallié à cette faiblesse en filtrant les requêtes DNS extérieures au niveau du pare-feu (firewall).

2. Les attaques virales au niveau des PC étaient au nombre de quatre en 2009, deux en 2010, sept en 2011, dix en 2012 et une en 2013.

3. Les fichiers contaminés ont pu être éliminés. Comme les utilisateurs n’ont pas accès à leur PC en tant qu’en administrateur, l’impact de ces attaques a été limité.

Les attaques DNS (système de noms de domaine) n’ont pas eu d’influence sur le fonctionnement de l’infrastructure de Belspo.

4. Différentes mesures de protection ont été prises, comme celles indiquées ci-dessous :

• les serveurs de Belspo sont équipés d’un anti-virus différent de celui qui est installé sur les postes de travail afin de renforcer la détection.

• le pare-feu a été remplacé par un modèle de dernière génération avec un contrôle au niveau applicatif.

• l’échange de messages électroniques est contrôlé par un serveur mandataire (proxy) sur le pare-feu et par un serveur intermédiaire (gateway) équipé d’un anti-virus, d’un anti-spam et d’un système de filtrage sur le contenu.

• l’accès aux sites internet est contrôlé par un filtre basé sur une sélection par catégorie et des « listes noires » dynamiques.

• les ordinateurs externes (visiteurs, personnel externe) se connectent à internet via un réseau virtuel séparé de celui du service.

• les connexions mobiles au réseau s’opèrent par le réseau privé virtuel (Virtual Private Network, VNP) avec authentification par carte d’identité ou par token + code pin.

• les dernières versions des produits utilisés pour la protection (software et firewall) ont été installées.

Malgré la mise en place des protections décrites ci-dessus, Belspo n’est pourtant pas à l’abri d’une attaque ciblée par des experts en piratage informatique ou d’une attaque virale nouvelle qui ne serait pas encore identifiée par les signatures anti-virus.

5. Le service ICT de Belspo tente de traiter le problème en interne avec l’aide soit du fournisseur du pare-feu, soit des fournisseurs des logiciels de sécurité ou encore éventuellement de l’équipe d’intervention d’urgence en informatique (Computer Emergency Response Team, CERT).

6. Non.

7. Le service ICT de Belspo n’a pas reçu de consignes de FEDICT l’obligeant à signaler les attaques. En cas d’attaque sur le pare-feu ou les serveurs, l’équipe d’intervention d’urgence en informatique est toutefois prévenue.

8. Les incursions sont de plus en plus intelligentes et les systèmes classiques ne permettent pas toujours d’y faire face. La protection des technologies de l’information est devenue une matière de plus en plus complexe et le service ICT de Belspo manque d’expertise et de ressources humaines pour traiter la sécurité de façon plus efficace. Je soutiendrai toute initiative visant à aborder le problème d’une manière globale au niveau de l’extranet fédéral.