Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 4-6665

de Bart Tommelein (Open Vld) du 29 janvier 2010

au vice-premier ministre et ministre des Finances et des Réformes institutionnelles

Internet - Sites des autorités publiques - Sécurisation

administration publique
ministère
Internet
site internet
criminalité informatique
protection des données
piratage informatique
administration électronique

Chronologie

29/1/2010Envoi question (Fin du délai de réponse: 4/3/2010)
31/3/2010Réponse

Aussi posée à : question écrite 4-6664
Aussi posée à : question écrite 4-6666
Aussi posée à : question écrite 4-6667
Aussi posée à : question écrite 4-6668
Aussi posée à : question écrite 4-6669
Aussi posée à : question écrite 4-6670
Aussi posée à : question écrite 4-6671
Aussi posée à : question écrite 4-6672
Aussi posée à : question écrite 4-6673
Aussi posée à : question écrite 4-6674
Aussi posée à : question écrite 4-6675
Aussi posée à : question écrite 4-6676
Aussi posée à : question écrite 4-6677
Aussi posée à : question écrite 4-6678
Aussi posée à : question écrite 4-6679
Aussi posée à : question écrite 4-6680
Aussi posée à : question écrite 4-6681
Aussi posée à : question écrite 4-6682
Aussi posée à : question écrite 4-6683
Aussi posée à : question écrite 4-6684
Aussi posée à : question écrite 4-6685

Question n° 4-6665 du 29 janvier 2010 : (Question posée en néerlandais)

Le Nederlandse Government Computer Emergency Response Team (GOVCERT), l'organe consultatif de l'État néerlandais en matière informatique, fait état, dans son rapport annuel, d'une augmentation des risques de fraude concernant des données des autorités publiques et des citoyens.

Deux mois après la parution du rapport GOVCERT, la sécurité des sites des autorités publiques néerlandaises a été fortement mise en doute par Networking4all. Cette entreprise amstellodamoise de technologies de l'information et de la communication (TIC) a signalé l'absence de verrou digital sur la plupart des sites des autorités publiques, le certificat SSL (Secure Socket Layer). Ce certificat, reconnaissable au code “https” inséré dans la barre d'adresse sécurise la connexion entre l'ordinateur de l'utilisateur et le serveur des autorités publiques.

Je souhaiterais dès lors vous poser les questions suivantes :

1. Que fait-on pour assurer la protection, contre le piratage, de votre site web ainsi que de ceux des services publics fédéraux ou d'autres services relevant de votre compétence et qui ont leur propre site web?

2. Avez-vous connaissance de cas de vol de données privées sur les sites web de votre cellule stratégique, le vôtre ou ceux des services publics fédéraux et autres services et agences relevant de votre compétence, et combien de données personnelles ou autres ont-elles été dérobées lors de chaque incident?

3. Combien de fois les sites web de votre cellule stratégique, le vôtre ou ceux des services publics fédéraux et autres services relevant de votre compétence ont-ils fait l'objet de tentatives de vol de données privées ou autres? Avez-vous déposé plainte et si non, pourquoi? Si oui, les auteurs ont-ils été arrêtés ?

4. Les sites web de votre cellule stratégique, le vôtre ou ceux des services publics fédéraux et autres services et agences relevant de votre compétence disposent-ils tous d'un certificat SSL ou d'un autre verrou digital? Dans la négative, pourquoi et quand en seront-ils dotés?

5. Croyez-vous en la nécessité de prendre de nouvelles mesures pour renforcer la protection des sites des autorités publiques et si oui, lesquelles?

Réponse reçue le 31 mars 2010 :

L’honorable membre trouvera, ci-après, les données demandées :

1) Les principaux services offerts à la population, via Internet, sont « Tax-on-web » et « myminfin ». Les flux de données qui s’y rapportent sont protégés par la procédure SSL.

Le contribuable qui se connecte à ces applications doit s’identifier et authentifier son identité.

Deux procédures d’identification/authentification sont supportées :

- utilisation du certificat contenu dans la carte d’identité électronique;

- utilisation d’un token, délivré par le Service public fédéral (SPF) Fedict. Ce token permet d’authentifier l’identité de l’utilisateur au moyen d’un mot de passe variable. Pour se connecter, le citoyen doit fournir son nom d’utilisateur, son mot de passe, et une donnée variable déterminée au moyen du token. Chaque token est personnel et comprend des données différentes.

L’application Tax-on-web est également accessible par des « mandataires », lesquelles établissent les déclarations d’impôts au nom de leur client. Ils sont repris dans la Banque Carrefour des Entreprises, et leur identité est contrôlée via le portail de la Sécurité Sociale.

L’infrastructure informatique supportant ces services est constituée d’une chaîne d’information dont les éléments essentiels résident dans le réseau interne du SPF Finances, protégé par une grosse infrastructure de sécurité (firewall et équipements complémentaires), et un élément frontal (le seul visible depuis Internet) réside dans une DMZ (zone démilitarisée, intermédiaire entre le réseau des Finances et Internet, et protégée par deux couches de firewall). Cette infrastructure est gérée par le SPF Finances (il ne s’agit pas de services hébergés chez un provider).

2) et 3) Le SPF Finances n’a pas connaissance d’un grand nombre d’attaques ayant réussi ou ayant réellement mis l’infrastructure et les données en danger.

4) voir question 1

5) Le service d’encadrement ICT dispose d’une cellule spécialisée dédiée à la Sécurité des informations du SPF Finances, utilisant les moyens technologiques les plus récents en la matière.