Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-7570

de Nele Lijnen (Open Vld) du 13 décembre 2012

au vice-premier ministre et ministre des Pensions

Services publics - Cyberattaques - Sécurisation informatique - Logiciels de protection - Formation du personnel

criminalité informatique
protection des données
statistique officielle
virus informatique
Belnet
ministère

Chronologie

13/12/2012 Envoi question
15/1/2013 Réponse

Aussi posée à : question écrite 5-7566
Aussi posée à : question écrite 5-7567
Aussi posée à : question écrite 5-7568
Aussi posée à : question écrite 5-7569
Aussi posée à : question écrite 5-7571
Aussi posée à : question écrite 5-7572
Aussi posée à : question écrite 5-7573
Aussi posée à : question écrite 5-7574
Aussi posée à : question écrite 5-7575
Aussi posée à : question écrite 5-7576
Aussi posée à : question écrite 5-7577
Aussi posée à : question écrite 5-7578
Aussi posée à : question écrite 5-7579
Aussi posée à : question écrite 5-7580
Aussi posée à : question écrite 5-7581
Aussi posée à : question écrite 5-7582
Aussi posée à : question écrite 5-7583
Aussi posée à : question écrite 5-7584

Question n° 5-7570 du 13 décembre 2012 : (Question posée en néerlandais)

De nos jours, l'usage des ordinateurs et d'internet est devenue la norme. L'administration vit avec son temps et emploie divers logiciels pour le traitement et l'échange de données. Il s'agit souvent d'informations confidentielles. Cette évolution vers une administration davantage numérisée représente une menace, car des lacunes dans la sécurité peuvent avoir pour effet de faire aboutir des informations dans de mauvaises mains.

Par exemple, les services de renseignement militaire et la Sûreté de l'État s'inquiètent de la sécurisation informatique de différents services publics. On a dit qu'une fois par semaine en moyenne, les services de renseignement militaire sont confrontés à une cyberattaque ciblée. Les intentions des pirates ou les buts du logiciel illégal varient : faire en sorte qu'un système se plante, recueillir des mots de passe ou d'autres données, etc.

Un premier problème est que la plupart des systèmes des administrations sont protégés par des programmes que le simple particulier peut se procurer. Ces programmes interceptent certaines attaques, genre virus ou logiciel espion, mais pas toutes. Les virus que le programme ne détecte pas peuvent cependant occasionner des dégâts. Un autre facteur possible est que l'utilisateur, à savoir le fonctionnaire, n'est pas conscient des nombreux dangers virtuels. Et lorsque l'utilisateur détecte une pratique répréhensible, il arrive qu'il ne la signale pas, ce qui veut dire que le danger reste invisible.

Je souhaiterais poser quelques questions :

1) Vos services se sont-ils occupés de sécuriser tout le réseau local ? En d'autres termes, tous les PC connectés à internet sont-ils protégés d'une manière ou d'une autre ?

2) Disposez-vous de données chiffrées sur les cyberattaques ou les problèmes causés à vos services par des virus, des logiciels espions, des pirates etc. ? Dans la négative, comment se fait-il qu'on ne récolte pas ces données ?

3) Les données et les ordinateurs qu'utilisent vos services sont-ils protégés par des programmes « ordinaires » qu'emploient aussi les particuliers, ou bénéficient-ils d'une protection supplémentaire ?

4) Les données confidentielles sont-elles échangées par le canal de réseaux particuliers sécurisés, ou bien via la même connexion centrale ?

5) Le personnel de vos services est-il formé à faire face à ces menaces éventuelles ? L'incite-t-on à rapporter ce type de problèmes ? Disposez-vous de chiffres sur les rapports ou plaintes ?

Réponse reçue le 15 janvier 2013 :

L’Office national des Pensions (ONP) a l’honneur de communiquer les réponses suivantes à vos questions :

1.     Le réseau local complet de l’ONP est sécurisé sur le plan informatique. Comme toutes les institutions de sécurité sociale du réseau primaire, l’ONP est connecté à l’Extranet de la sécurité sociale (voir pour de plus amples informations : http://www.bcss.fgov.be/binaries/documentation/nl/documentation/webservices_general/03_ksz_bcss_webservices_aansluitingsmogelijkheden_nl.pdf).

Ce réseau de sécurité sociale est un réseau sécurisé entre les institutions de sécurité sociale pour des échanges de données aussi bien structurées (par exemple données sociales de personnes) que non structurées (par ex. mail). La connexion de l’ONP à internet se fait via ce réseau pour le trafic aussi bien entrant que sortant. Chaque institution connectée a également la responsabilité de protéger sa propre infrastructure aussi bien que possible ( voir pour davantage d’informations http://www.ksz.fgov.be/nl/bcss/page/content/websites/belgium/security/security_04/security_04_01.html).

L’ONP a dès lors pris également des mesures pour protéger sa propre infrastructure, tant au niveau du périmètre que dans le domaine de l’infrastructure interne.

L’ONP partage cette infrastructure avec le Service des pensions du secteur public (SdPSP). Le SdPSP a outsourcé ses serveurs Web internet et ceux-ci ne sont donc pas repris dans le scope.  

2.     L’ONP dispose d’un important matériel chiffré.  

L’ONP se limite à un rapport sur les tentatives d’attaques sur ses serveurs Web (voir en annexe). Dans ce rapport, il n’est cependant fait aucune distinction entre attaques ‘véritables’ et bugs.  

3.     La sécurité informatique de l’ONP va plus loin que les simples programmes de protection pour des particuliers. 

L’infrastructure actuelle de protection est constituée des composantes suivantes :

Les propres agents de l’ONP assurent la gestion journalière. Le support et l’entretien de cette infrastructure sont assurés par une firme spécialisée en sécurité informatique. A cet effet, un contrat pour 5 ans a été conclu en 2009, par le biais d’une procédure d’adjudication avec appel d’offres restreint. 

Si de nouveaux développements se déroulent durant cette période (2009-2014), il est difficile de les suivre en raison des restrictions budgétaires. 

4.     L’échange de données confidentielles entre institutions ou firmes se fait toujours par des réseaux sécurisés distincts. S’il s’agit de données sociales de personnes, ceci doit se faire soit via la BCSS soit directement après autorisation du Comité sectoriel. Les connexions sont toujours sécurisées avec une puissante encryption et des certificats (X.509 de Fedict). 

L’échange de données confidentielles entre l’ONP et le (candidat) pensionné est possible via le site sécurisé https://www.mypension.be. La sécurisation se fait ici avec authentification sur le portail de la sécurité sociale (EID) et l’application Web firewall. 

5.     Le personnel est formé pour gérer ces menaces éventuelles. Il est demandé au personnel de mentionner pareils problèmes. Les attaques sont toutefois le plus souvent d’un niveau technique raisonnablement élevé et il est dès lors très exceptionnel qu’un simple utilisateur mentionne une attaque qui n’ait pas été identifiée par le logiciel de sécurité. Un simple utilisateur ne peut pas non plus toujours faire la différence entre le mauvais fonctionnement normal du software et un malware. Un simple utilisateur pourra aussi difficilement évaluer la criticité du mauvais fonctionnement ou du malware. 

Aucun matériel chiffré spécifique n’est tenu à jour sur les messages ou plaintes. Tous les messages et plaintes sont toutefois tenus à jour dans la banque de données du Service Desk. 

Pour ce qui concerne le SdPSP :

1.     Tous les PC’s du SdPSP sont munis du programme anti-virus Microsoft Forefront. Les bases de données des virus sont mises journalièrement à jour.  

2.     Les dispositifs permettent de filtrer la quasi-totalité des problèmes majeurs. Le programme anti-spam permet de filtrer plus de 90 % des courriers indésirables.  

Au cours de l’année 2012, une seule intrusion de virus a été signalée au SdPSP et a pu être immédiatement maîtrisée grâce au programme anti-virus de chaque PC.  

Notre fournisseur d’infrastructure, l’ONP, se limite à un rapport sur les tentatives d’attaques sur ses serveurs Web (voir en annexe). Dans ce rapport, il n’est cependant fait aucune distinction entre attaques ‘véritables’ et bugs.  

3.     Les accès Internet des utilisateurs se font exclusivement au travers des Firewall et Reverse Proxy de l’extranet de la Sécurité Sociale. Ces dispositifs techniques permettent d’éviter que la grosse majorité des problèmes informatiques (virus, malwares, spams) ne parviennent aux postes de travail des agents. Les problèmes résiduels éventuels sont traités par l’anti-virus de chaque PC. 

En ce qui concerne la protection des données des sites web contenant exclusivement des informations à caractère public et général, les “best practices” classiques sont d’application : utilisation des versions récentes des programmes, installation régulière des patches de sécurité, pas d’accès direct aux banques de données. Les données nécessitant suite à leur nature confidentielle des protections complémentaires sont protégées à l’aide de certificats, technologies d’encryption, accès par carte d’identité électronique.  De plus, les serveurs sont en fonction de leur contenu, soumis à des audits réguliers de sécurité réalisés par des sociétés spécialisées.   

4.     Les échanges de données entre organismes de sécurité sociale se font exclusivement à l’intérieur de l’extranet de la sécurité sociale, totalement isolé du monde extérieur.  

Les serveurs accessibles de l’extérieur sont isolés au sein d’une zone démilitarisée (DMZ) permettant de réaliser un filtrage complémentaire des accès aux informations stockées au sein du SdPSP. 

5.     Le personnel du SdPSP est, dans le cadre de sa formation, conscientisé à la problématique de la sécurité informatique. Un nouveau plan de communication et de sécurité est par ailleurs en cours de finalisation.  

Une alerte majeure de sécurité est immédiatement communiquée à l’ensemble des utilisateurs via l’intranet. Les problèmes individuels sont signalés par les utilisateurs à l’aide d’un outil de service desk intégré. Cet outil permet de suivre individuellement l’évolution de la résolution du problème. 2 541 questions ont ainsi été posées via le service desk depuis le début de l’année 2012. Seule une vingtaine de cas étaient des questions en rapport avec la sécurité.