|
|
Internet - Sites des autorités publiques - Sécurisation
administration publique
ministère
Internet
site internet
criminalité informatique
protection des données
piratage informatique
administration électronique
| 29/1/2010 | Envoi question (Fin du délai de réponse: 4/3/2010) |
| 11/3/2010 | Réponse |
Aussi posée à : question écrite 4-6664
Aussi posée à : question écrite 4-6665
Aussi posée à : question écrite 4-6666
Aussi posée à : question écrite 4-6667
Aussi posée à : question écrite 4-6668
Aussi posée à : question écrite 4-6669
Aussi posée à : question écrite 4-6670
Aussi posée à : question écrite 4-6671
Aussi posée à : question écrite 4-6672
Aussi posée à : question écrite 4-6673
Aussi posée à : question écrite 4-6674
Aussi posée à : question écrite 4-6675
Aussi posée à : question écrite 4-6676
Aussi posée à : question écrite 4-6678
Aussi posée à : question écrite 4-6679
Aussi posée à : question écrite 4-6680
Aussi posée à : question écrite 4-6681
Aussi posée à : question écrite 4-6682
Aussi posée à : question écrite 4-6683
Aussi posée à : question écrite 4-6684
Aussi posée à : question écrite 4-6685
Le Nederlandse Government Computer Emergency Response Team (GOVCERT), l'organe consultatif de l'État néerlandais en matière informatique, fait état, dans son rapport annuel, d'une augmentation des risques de fraude concernant des données des autorités publiques et des citoyens.
Deux mois après la parution du rapport GOVCERT, la sécurité des sites des autorités publiques néerlandaises a été fortement mise en doute par Networking4all. Cette entreprise amstellodamoise de technologies de l'information et de la communication (TIC) a signalé l'absence de verrou digital sur la plupart des sites des autorités publiques, le certificat SSL (Secure Socket Layer). Ce certificat, reconnaissable au code “https” inséré dans la barre d'adresse sécurise la connexion entre l'ordinateur de l'utilisateur et le serveur des autorités publiques.
Je souhaiterais dès lors vous poser les questions suivantes :
1. Que fait-on pour assurer la protection, contre le piratage, de votre site web ainsi que de ceux des services publics fédéraux ou d'autres services relevant de votre compétence et qui ont leur propre site web?
2. Avez-vous connaissance de cas de vol de données privées sur les sites web de votre cellule stratégique, le vôtre ou ceux des services publics fédéraux et autres services et agences relevant de votre compétence, et combien de données personnelles ou autres ont-elles été dérobées lors de chaque incident?
3. Combien de fois les sites web de votre cellule stratégique, le vôtre ou ceux des services publics fédéraux et autres services relevant de votre compétence ont-ils fait l'objet de tentatives de vol de données privées ou autres? Avez-vous déposé plainte et si non, pourquoi? Si oui, les auteurs ont-ils été arrêtés ?
4. Les sites web de votre cellule stratégique, le vôtre ou ceux des services publics fédéraux et autres services et agences relevant de votre compétence disposent-ils tous d'un certificat SSL ou d'un autre verrou digital? Dans la négative, pourquoi et quand en seront-ils dotés?
5. Croyez-vous en la nécessité de prendre de nouvelles mesures pour renforcer la protection des sites des autorités publiques et si oui, lesquelles?
En ce qui concerne le site du Service public fédéral (SPF) Économie, P.M.E., Classes moyennes et Énergie
Les serveurs fournissant les services web sont tous protégés dans des zones du réseau adaptées (DMZ, S-DMZ). Des proxy limitent également les accès. Les serveurs web ne contenant que des données publiques sont accessibles via le protocole http (exemple le site Internet du SPF Économie) et tous les serveurs web contenant des données sensibles sont uniquement accessibles via le protocole https (exemple : banque carrefour des entreprises, e-datenq, etc?).
Il n’y a pas de vol de données privées ou sensibles rencontré à ce jour.
Plusieurs tentatives d’attaques sont constatées quotidiennement mais elles ont été chaque fois repoussées par notre infrastructure de sécurité (firewall) et par la fermeture systématique des failles de sécurité connues des différents produits utilisés. Il est difficile de vérifier si ces tentatives ont pour objectif ultime le vol d’informations ou ont simplement un objectif héroïque ou ludique.
Un certificat SSL central est utilisé pour notre nom de domaine. De plus, pour certains de nos sites accessibles uniquement via le protocole https, une authentification de type forte est requise pour les utilisateurs (via carte e-ID ou token Fedict).
Une découpe de la zone DMZ en différents segments couplée avec une séparation des systèmes contenant, d’une part, les applications front-end et, d’autre part, les systèmes contenant les bases de données, permettent d’accroître encore la sécurité et le contrôle du trafic entre les systèmes. Le SPF Économie est occupé actuellement à une telle réorganisation de ses systèmes.
En ce qui concerne le site de Fedict et le site Quickonomie
1. Pour ne pas faciliter la tâche des pirates informatiques, il est préférable de ne pas donner des explications détaillées quant aux mesures prises.
Les systèmes et applications sont régulièrement actualisés.
Protection du réseau par des pare-feux (« firewalls »), des systèmes de détection d’intrusion et de prévention d’intrusion.
Recherches de vulnérabilités (“vulnerability scans”) régulières (pour contrôler les failles connues) et donnant lieu si nécessaire à des corrections.
Protection au niveau du réseau à l’aide de pare-feux (« firewalls »), des systèmes de détection d’intrusion et de prévention d’intrusion.
Isolation des applications et couches d’application en différents silos (avec une séparation stricte réalisée à l’aide de pare-feux entre les couches).
2. Aucun.
3. Chaque jour, des tentatives d’intrusion sont constatées mais sont chaque fois interceptées par notre infrastructure de sécurité (pare-feu et système de prévention des intrusions) et par la fermeture systématique des failles de sécurité connues des différents produits utilisés. Il est difficile de vérifier si ces tentatives ont pour objectif ultime le vol d’informations ou visent simplement à ridiculiser les pouvoirs publics. Aucune plainte n’a été introduite, car il n’y a pas eu de vol de données et car il est difficile d’établir avec certitude l’identité des hackers (qui utilisent généralement d’autres ordinateurs ayant été piratés).
4. La plupart des sites qui fonctionnent sur l’infrastructure de Fedict n’utilisent pas un certificat SSL ou un autre verrou numérique pour afficher des pages. Comme le site ne contient que des données accessibles au public, un telle sécurisation n’est pas utile.
Les sites mybelgium.be (accès exclusif via eID) et www.policeonweb.be utilisent par contre un certificat SSL.
L’infrastructure serveur a cependant recours à un verrouillage SSL pour la communication avec les systèmes back-end. Toutes les interventions de maintenance se font à l’aide de canaux verrouillés SSL et l’application pour la rédaction des pages est uniquement accessible via des via des canaux verrouillés SSL, faisant appel à la carte eID du rédacteur en vue d’une authentification forte.
5. Si une fonctionnalité nécessitant une authentification est ajoutée (pages uniquement accessibles à certains groupes d’utilisateurs), un SSL ou un autre verrouillage adéquat devra être appliqué.