Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 4-6670

de Bart Tommelein (Open Vld) du 29 janvier 2010

au ministre des Pensions et des Grandes villes

Internet - Sites des autorités publiques - Sécurisation

administration publique
ministère
Internet
site internet
criminalité informatique
protection des données
piratage informatique
administration électronique

Chronologie

29/1/2010Envoi question (Fin du délai de réponse: 4/3/2010)
26/3/2010Réponse

Aussi posée à : question écrite 4-6664
Aussi posée à : question écrite 4-6665
Aussi posée à : question écrite 4-6666
Aussi posée à : question écrite 4-6667
Aussi posée à : question écrite 4-6668
Aussi posée à : question écrite 4-6669
Aussi posée à : question écrite 4-6671
Aussi posée à : question écrite 4-6672
Aussi posée à : question écrite 4-6673
Aussi posée à : question écrite 4-6674
Aussi posée à : question écrite 4-6675
Aussi posée à : question écrite 4-6676
Aussi posée à : question écrite 4-6677
Aussi posée à : question écrite 4-6678
Aussi posée à : question écrite 4-6679
Aussi posée à : question écrite 4-6680
Aussi posée à : question écrite 4-6681
Aussi posée à : question écrite 4-6682
Aussi posée à : question écrite 4-6683
Aussi posée à : question écrite 4-6684
Aussi posée à : question écrite 4-6685

Question n° 4-6670 du 29 janvier 2010 : (Question posée en néerlandais)

Le Nederlandse Government Computer Emergency Response Team (GOVCERT), l'organe consultatif de l'État néerlandais en matière informatique, fait état, dans son rapport annuel, d'une augmentation des risques de fraude concernant des données des autorités publiques et des citoyens.

Deux mois après la parution du rapport GOVCERT, la sécurité des sites des autorités publiques néerlandaises a été fortement mise en doute par Networking4all. Cette entreprise amstellodamoise de technologies de l'information et de la communication (TIC) a signalé l'absence de verrou digital sur la plupart des sites des autorités publiques, le certificat SSL (Secure Socket Layer). Ce certificat, reconnaissable au code “https” inséré dans la barre d'adresse sécurise la connexion entre l'ordinateur de l'utilisateur et le serveur des autorités publiques.

Je souhaiterais dès lors vous poser les questions suivantes :

1. Que fait-on pour assurer la protection, contre le piratage, de votre site web ainsi que de ceux des services publics fédéraux ou d'autres services relevant de votre compétence et qui ont leur propre site web?

2. Avez-vous connaissance de cas de vol de données privées sur les sites web de votre cellule stratégique, le vôtre ou ceux des services publics fédéraux et autres services et agences relevant de votre compétence, et combien de données personnelles ou autres ont-elles été dérobées lors de chaque incident?

3. Combien de fois les sites web de votre cellule stratégique, le vôtre ou ceux des services publics fédéraux et autres services relevant de votre compétence ont-ils fait l'objet de tentatives de vol de données privées ou autres? Avez-vous déposé plainte et si non, pourquoi? Si oui, les auteurs ont-ils été arrêtés ?

4. Les sites web de votre cellule stratégique, le vôtre ou ceux des services publics fédéraux et autres services et agences relevant de votre compétence disposent-ils tous d'un certificat SSL ou d'un autre verrou digital? Dans la négative, pourquoi et quand en seront-ils dotés?

5. Croyez-vous en la nécessité de prendre de nouvelles mesures pour renforcer la protection des sites des autorités publiques et si oui, lesquelles?

Réponse reçue le 26 mars 2010 :

En réponse à vos questions, je vous communique ce qui suit.

A. Office National des Pensions

Le site Web de l’ONP est en gestion propre et n’est pas hébergé

1. Comme chaque institution de sécurité sociale du réseau primaire, l’ONP est obligé, suivant les directives de la Banque-carrefour de la sécurité sociale, de laisser tout le trafic TCP/IP se faire via l’Extranet de la sécurité sociale. L’Extranet de la sécurité sociale est un réseau de communication sécurisé entre les institutions de sécurité sociale.

Outre les mesures de sécurité de l’Extranet de la sécurité sociale, l’ONP a encore pris les mesures suivantes.

Le réseau interne de l’ONP est isolé du monde de l’extranet par un réseau de sécurité distinct, également appelé réseau périmétrique. Ce réseau périmétrique est compartimenté selon les fonctionnalités et renferme les composantes suivantes :

- IDPS (Intrusion detection & prevention system) ;

- firewall ;

- WAF (web application firewall) ;

- serveur d’authentification ;

- serveur anti-virus.

Si la communication renferme des données privées, l’ONP prend les mesures suivantes :

- authentification forte avec « token » ou EID ;

- utilisation de HTTPS, FTPS (tous deux avec certificat ssl).

Les mêmes principes sont appliqués également s’il s’agit d’un échange de données personnalisées entre institutions.

2. À ce jour, l’ONP n’a en production que des sites Web à information générale.

De véritables tentatives de vol n’ont à ce jour pas encore été relevées. L’ONP a cependant constaté que ses sites Web sont scannés et testés quant à leur vulnérabilité. L’ONP n’a pas introduit de plainte contre cet état de choses parce qu’aucun véritable dommage n’a été subi. De plus, si l’on regarde les pays à partir desquels cela se fait, ceci ne laisse guère espérer un résultat positif : Kyrghizistan, Ouzbekistan, Chine, Russie, …

4. Pour le nouveau site Web personnalisé Mypension, l’ONP dispose de plusieurs certificats ssl. Celui-ci permettra, dans les semaines à venir, à tout un chacun de consulter son propre dossier de pension.

5. Outre les mesures mentionnées au point 1, d’autres mesures sont ou seront mises en œuvre (serveur d’authentification, WAF, …).

B. Service des Pensions du Secteur Public

Les sites web du SdPSP sont hébergés auprès de la Chancellerie du Premier ministre qui offre les services suivants.

1. Pour la protection de sites Web, qui diffusent des informations générales et publiques et qui ne contiennent aucune donnée personnelle, la formule « best practices » est d’application comme: se servir des logiciels les plus récents et des patches de sécurité, aucun accès direct vers les banques de données, etc. En outre les sites Web sont en fonction de leur contenu, périodiquement ou plusieurs fois par an soumis à des firmes spécialisées en audit de sécurité.

2 et 3: Jusqu’à présent aucun vol ni aucune tentative de vol de données privées n’ont été relevés

4. Les sites Web qui diffusent des informations générales et publiques et qui ne contiennent pas de données personnelles ne demandent pas de mesures de protection plus strictes qu’actuellement.

5. Pour améliorer sans cesse la qualité de la protection, la surveillance autrefois ciblée a évolué vers une surveillance continue généralisée.