Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-7580

de Nele Lijnen (Open Vld) du 13 décembre 2012

au secrétaire d'État aux Affaires sociales, aux Familles et aux Personnes handicapées, chargé des Risques professionnels, adjoint à la ministre des Affaires sociales et de la Santé publique

Services publics - Cyberattaques - Sécurisation informatique - Logiciels de protection - Formation du personnel

criminalité informatique
protection des données
statistique officielle
virus informatique
Belnet
ministère

Chronologie

13/12/2012Envoi question
25/9/2013Rappel
29/10/2013Rappel
30/10/2013Réponse

Aussi posée à : question écrite 5-7566
Aussi posée à : question écrite 5-7567
Aussi posée à : question écrite 5-7568
Aussi posée à : question écrite 5-7569
Aussi posée à : question écrite 5-7570
Aussi posée à : question écrite 5-7571
Aussi posée à : question écrite 5-7572
Aussi posée à : question écrite 5-7573
Aussi posée à : question écrite 5-7574
Aussi posée à : question écrite 5-7575
Aussi posée à : question écrite 5-7576
Aussi posée à : question écrite 5-7577
Aussi posée à : question écrite 5-7578
Aussi posée à : question écrite 5-7579
Aussi posée à : question écrite 5-7581
Aussi posée à : question écrite 5-7582
Aussi posée à : question écrite 5-7583
Aussi posée à : question écrite 5-7584

Question n° 5-7580 du 13 décembre 2012 : (Question posée en néerlandais)

De nos jours, l'usage des ordinateurs et d'internet est devenue la norme. L'administration vit avec son temps et emploie divers logiciels pour le traitement et l'échange de données. Il s'agit souvent d'informations confidentielles. Cette évolution vers une administration davantage numérisée représente une menace, car des lacunes dans la sécurité peuvent avoir pour effet de faire aboutir des informations dans de mauvaises mains.

Par exemple, les services de renseignement militaire et la Sûreté de l'État s'inquiètent de la sécurisation informatique de différents services publics. On a dit qu'une fois par semaine en moyenne, les services de renseignement militaire sont confrontés à une cyberattaque ciblée. Les intentions des pirates ou les buts du logiciel illégal varient : faire en sorte qu'un système se plante, recueillir des mots de passe ou d'autres données, etc.

Un premier problème est que la plupart des systèmes des administrations sont protégés par des programmes que le simple particulier peut se procurer. Ces programmes interceptent certaines attaques, genre virus ou logiciel espion, mais pas toutes. Les virus que le programme ne détecte pas peuvent cependant occasionner des dégâts. Un autre facteur possible est que l'utilisateur, à savoir le fonctionnaire, n'est pas conscient des nombreux dangers virtuels. Et lorsque l'utilisateur détecte une pratique répréhensible, il arrive qu'il ne la signale pas, ce qui veut dire que le danger reste invisible.

Je souhaiterais poser quelques questions :

1) Vos services se sont-ils occupés de sécuriser tout le réseau local ? En d'autres termes, tous les PC connectés à internet sont-ils protégés d'une manière ou d'une autre ?

2) Disposez-vous de données chiffrées sur les cyberattaques ou les problèmes causés à vos services par des virus, des logiciels espions, des pirates etc. ? Dans la négative, comment se fait-il qu'on ne récolte pas ces données ?

3) Les données et les ordinateurs qu'utilisent vos services sont-ils protégés par des programmes « ordinaires » qu'emploient aussi les particuliers, ou bénéficient-ils d'une protection supplémentaire ?

4) Les données confidentielles sont-elles échangées par le canal de réseaux particuliers sécurisés, ou bien via la même connexion centrale ?

5) Le personnel de vos services est-il formé à faire face à ces menaces éventuelles ? L'incite-t-on à rapporter ce type de problèmes ? Disposez-vous de chiffres sur les rapports ou plaintes ?

Réponse reçue le 30 octobre 2013 :

Ci-après, la réponse en ce qui concerne les institutions publiques de sécurité sociale placées sous ma tutelle.

Fonds des accidents du travail.

  1. Le Fonds des accidents du travail, comme toute institution publique de sécurité sociale fait partie de l’extranet de la sécurité sociale. Le Fonds n’a donc pas de connexion directe avec internet. Il y a trois couches de protection par rapport à internet. A savoir, l’extranet, lui-même, avec tous les processus de sécurité, ensuite l’entrée dans le réseau du Fonds avec un firewall et un proxys et enfin un anti-virus au niveau du poste de travail. Le Fonds satisfait aux normes minimales de sécurité de l’information tels que définis actuellement contrôlées par son conseiller en sécurité informatique.

  2. Comme le Fonds n’est pas en première ligne, les statistiques devraient être fournies par l’extranet. Au niveau du Fonds, on note en moyenne annuelle: cinq virus repérés et neutralisés automatiquement sans aucune suite.

  3. Le Fonds utilise une version professionnelle d’antivirus qui sont vendus sur le marché avec donc plus de fonctionnalités, plus de mises à jour. Il veille aussi à utiliser des produits de fournisseurs différents par rapport à ceux existant dans les couches précédentes et l’extranet, en particulier.

  4. En répondant aux normes de la BCSS au niveau de la sécurité informatique, le Fonds utilise tous les moyens sécurisés mis à disposition (Https, Ftps, …. avec l’utilisation des certificats et/ ou l’authentification forte).

  5. Le personnel est sensibilisé aux normes de sécurité via des notes au personnel disponibles sur l’intranet. Le conseiller en sécurité de l’information n’a pas enregistré de plainte à ce propos en 2012.

Fonds des maladies professionnelles.

  1. Le FMP, conformément à la loi sur la BCSS, a mis en place un service de sécurité de l’information, dont un conseiller en sécurité d l’information.

    Dans ce même cadre, comme prescrit depuis toujours par les normes minimales de sécurité, le FMP a progressivement mis en place divers composants sécuritaires tant au niveau des serveurs, de chaque station de travail qu’au niveau du réseau local.

    Le réseau local du FMP est connecté à l’extérieur exclusivement à travers les réseaux de la sécurité sociale (réseau BCSS et extranet de la Sécurité sociale), lesquels sont également protégés par plusieurs dispositifs adéquats.

  2. Les divers systèmes en place permettent de disposer tant de traces que de chiffres quant aux agressions et autres activités suspectes.

    Vu, pour la plupart, la rareté de problèmes relevant, ces chiffres ne sont toutefois actuellement ni concentrés ni consolidés mais il est prévu de réaliser ces opérations.

  3. Contrairement aux applications utilisées par le grand public, les logiciels de protection du FMP sont des versions professionnelles de ces outils comportant notamment une administration centralisée.

    Sur tout matériel pouvant se connecter au réseau du FMP, les dispositifs de sécurité standards ou validés sont mis en place et leur niveau vérifié.

    Jusqu’à présent, sauf à de rares exceptions près, connues et gérées, la règle générale est que tout le matériel qui peut se connecter au FMP est propriété de l’institution et est géré par celle-ci. Ce matériel n’est utilisable que dans le cadre professionnel ou dans les limites autorisées et contrôlées par le FMP (filtrage des accès web par exemple).

  4. Tous les échanges d’informations, et éventuellement en fonction du type de données, notamment médicales, se font exclusivement à travers les canaux sécurisés de la sécurité sociale et dans le respect le plus strict tant des règles de sécurité en vigueur dans ce cadre que dans le respect des lois de protection de la vie privée. Si un cas spécifique devait se présenter et nécessiter un traitement particulier il serait résolu dans le respect des procédures de dérogation en place.

  5. Le personnel impliqué est compétent sur ce terrain et ferait éventuellement appel à des compétences externes adéquates si besoin en était. La survenance d’événements de sécurité est, autant que techniquement possible, signalé de manière automatique aux intéressés.

    Comme déjà précisé, des chiffres sont disponibles et consultés périodiquement par, notamment, le service interne de sécurité et les responsables des systèmes mais la rareté des événements n’a jusqu’à présent pas justifié de mettre en place des procédures d’examen plus pointues. Le risque individuel de chaque IPSS est considérablement réduit et contenu par le respect des normes minimales de sécurité et les importants moyens en place dans les réseaux communs (BCSS et extranet).

Office national d’allocations familiales pour travailleurs salariés.

  1. Tous les PC de l’ONAFTS sont équipés d’un logiciel antivirus (Symantec Enterprise Protection). Les définitions antivirus sont mises à jour au moins une fois par jour.

  2. Les systèmes antivirus créent des registres qui contiennent des informations concernant les tentatives de violation de la sécurité. Tout le trafic de données pour les utilisateurs (courriel et internet notamment) s’effectue via la connexion au réseau de la Sécurité sociale (Extranet), qui est géré par Smals. Smals scanne les courriels entrants pour y déceler les menaces (et les « spams ») et dispose également d’un système de détection d’intrusion.

    Les serveurs Microsoft Exchange de l’ONAFTS contiennent également une protection antivirus distincte (Microsoft ForeFront Endpoint Protection).

  3. En plus de la protection antivirus standard, l’ONAFTS dispose d’une application Webfilter (de Websense). Ce filtrage permet de bloquer l’acces aux sites web qui contiennent des logiciels malveillants.

  4. L’échange de données confidentielles se déroule par le biais d’une plateforme Secure FTP distincte.

    Conformément aux normes de protection des données personnelles en vigueur, Trivia (le Cadastre) comporte un système d’historique qui enregistre toute consultation du Registre national avec le nom de la personne qui a effectué la consultation.

  5. Le personnel de l’ONAFTS ne reçoit pas de formation pour faire face à ces menaces potentielles. Cependant, les systèmes antivirus de l’ONAFTS signalent automatiquement toute violation possible de la sécurité au Service Desk, qui prend alors les mesures nécessaires à ce sujet avec l’utilisateur.