|
|
Autorité fédérale - Fuites de données - Chiffres - Plaintes - Procédure juridique - Prévention - Coûts - Mesures
protection des données
piratage informatique
criminalité informatique
Autorité de protection des données
ministère
organisme de recherche
établissement d'utilité publique
| 23/10/2014 | Envoi question (Fin du délai de réponse: 27/11/2014) |
| 4/2/2015 | Rappel |
| 11/2/2015 | Réponse |
Aussi posée à : question écrite 6-19
Aussi posée à : question écrite 6-20
Aussi posée à : question écrite 6-21
Aussi posée à : question écrite 6-22
Aussi posée à : question écrite 6-23
Aussi posée à : question écrite 6-24
Aussi posée à : question écrite 6-25
Aussi posée à : question écrite 6-27
Aussi posée à : question écrite 6-28
Aussi posée à : question écrite 6-29
Aussi posée à : question écrite 6-30
Aussi posée à : question écrite 6-31
Aussi posée à : question écrite 6-32
Aussi posée à : question écrite 6-33
Aussi posée à : question écrite 6-34
Aussi posée à : question écrite 6-35
Aussi posée à : question écrite 6-36
Un exemple concret, des plus éloquents, de fuite de données en Belgique est peut-être celui portant sur la Société nationale des chemins de fer belges (SNCB). Le 29 décembre 2012, les médias ont fait état d'une fuite de données privées concernant environ 1,5 million de clients de la SNCB. Cela a été révélé par un internaute qui avait « découvert » par hasard un fichier contenant des données personnelles de clients de la SNCB Europe. À la suite de cette fuite de données, la Commission de protection de la vie privée a reçu plus de mille sept cents plaintes sur la fuite de données personnelles par le biais d'un site web de la SNCB.
La Commission de protection de la vie privée (CPVP), mieux connue sous le nom de Commission vie privée, a mis en place, le 12 juin 2014, sur son site web des formulaires grâce auxquels les entreprises peuvent notifier, simplement et rapidement, une fuite de données. Les entreprises de télécommunications sont soumises à une obligation de notification.
Je souhaite poser les questions suivantes :
1) De 2009 à ce jour, combien de fois des attaques ont-elles été dirigées sur les données numériques ou bases de données des services publiques fédéraux ou de programmation (SPF ou SPP), établissements scientifiques, organismes d'intérêt public (OIP) ou institutions publiques de sécurité sociale (IPSS) relevant de votre compétence ? Je souhaiterais obtenir un aperçu annuel par service et organisme public.
2) Certains SPF, SPP, OIP ou IPSS ont-ils été confrontés à une fuite de données entre 2009 et ce jour ? Dans l'affirmative, je souhaiterais obtenir un aperçu, par service concerné, des éléments suivants :
a) le moment auquel la fuite de données s'est produite et sa durée ;
b) l'ampleur de la fuite de données (sur combien de personnes elle a porté)
c) une description des données concernées ;
d) la cause de la fuite de données ;
e) les mesures prises à la suite de la fuite de données ;
f) le nombre de plaintes qui ont été déposées, le cas échéant, par fuite de données ;
g) la suite qui a été réservée aux plaintes visées à la sous-question 2f.
3) Des démarches juridiques ont-elles été entreprises dans le cadre des plaintes visées à la sous-question 2f ? Le cas échéant, quel est l'état de la question ou quel a été le résultat de cette procédure juridique ?
4) Combien d'entreprises ont-elles déjà signalé une fuite de données au moyen du formulaire en ligne mis en place sur le site web de la Commission vie privée ? Combien de notifications provenaient-elles d'entreprises de télécommunications ?
5) Quelles mesures sont-elles actuellement prises afin de prévenir les fuites de données au niveau des services et organismes relevant de votre compétence ?
6) À combien s'élèvent les coûts annuels de prévention des violations de la sécurité, cyberattaques ou fuites de données ? Je souhaiterais une ventilation par mesure pertinente. Le cas échéant, j'aimerais connaître le montant qui a été investi de 2009 à ce jour dans des logiciels de contrôle de sécurité.
7) Estimez-vous opportun de prendre des mesures supplémentaires de prévention des fuites de données ? Pourquoi ? De quelles mesures supplémentaires s'agit-il et quel calendrier prévoyez-vous ? Dans la négative, pourquoi ?
L'honorable membre trouvera ci-après la réponse à sa question.
En ce qui concerne le SPF Santé publique, Sécurité de la chaine alimentaire et Environnement.
Les incidents rapportés ici sont uniquement des incidents ayant comme conséquence directe une perte de confidentialité de données sensibles. Les incidents qui n’ont pas été rapportés au conseiller en sécurité ne sont pas connus.
Tous ces incidents ont résulté soit en une mise à disposition des données à des tiers non autorisés soit à une utilisation de ces données pour des finalités non compatibles avec le traitement dont elles ont été extraites. Le concept de fuite de donnés est donc interprété de façon large.
Très peu de ces incidents ont été « externalisés », c’est-à-dire connus du public ou menant à des actions en justice.
Q1 : Description des incidents enregistrés
|
N° |
où |
quand |
quoi |
|
1 |
SPF SP |
02/2009 |
Des données de contact sont extraites de banques de données opérationnelles pour opérer un mailing de promotion à un concours auquel participe un membre du personnel du SPF. |
|
2 |
SPF SP |
11/2011 |
Installation illicite (différents PC portables non suffisamment sécurisés) de données médicales par un agent du SPF. |
|
3 |
SPF SP |
01/2013 |
Une liste de données de tous les agents du SPF est trouvée sur un site de partage de documents, la liste est référencé et accessible par Google. |
|
4 |
SPF SP |
04/2014 |
Une liste d’agents du SPF est communiquée à des personnes qui ne sont pas chargées de la gestion des RH. |
|
5 |
SPF SP |
07/2014 |
Un PC volé, contenant une banque de données reprenant des données personnelles professionnelles et privées de partenaires du SPF. |
Remarque : Un incident de sécurité consistant en un vol de données rendu possible par un vol d’identité est pour l’instant en procédure judiciaire et couvert par le secret de l’instruction.
Q2 :
a) Moment et durée :
Tous les incidents, à l’exception du 3, sont ponctuels et n’impliquent pas de mise à disposition ou de possibilité d’accès pour une longue période de temps. Concernant l’incident 3, il est impossible de déterminer la durée d’exposition de ces données, elles ont été retirées du site dès que l’incident a été déclaré.
b) Nombre de personnes concernées : voir tableau.
c) Quelles données : voir tableau.
d) Raison : voir tableau.
|
N° |
nombre |
quoi |
raison |
|
1 |
5 000 |
Adresse mail. |
Promotion / publicité pour la participation d’un membre du SPF à un concours. |
|
2 |
+ 10 000 |
Données médicales (traitements et médications). |
Assouplir la gestion et l’accès aux données utilisées par le service. |
|
3 |
1 500 |
Identité, identifiants, fonctions et rôles, coordonnées. |
Mise à disposition de la liste pour un sous-traitant, le fichier a été oublié (pas d’effacement après le transfert). |
|
4 |
80 |
Identité et coordonnées privées, fonctions et rôles. |
Communication aux entités fédérées des identités et contacts des personnes en mutation par régionalisation. Les mails ont été envoyés à une liste de distribution contenant des personnes non habilitées. |
|
5 |
1 600 |
Identité et identifiant, employeurs, données privées dont le compte bancaire, domaines d’expertise et publications. |
Les circonstances indiquent que seul le PC était la cible du vol. les données ne semblent pas avoir été exploitées. |
e) Mesures prises en réaction :
– les incidents qui sont d’origine humaine interne ont mené à un avis du conseiller en sécurité ;
– systématiquement les bonnes pratiques sont rappelées aux personnes impliquées dans l’incident ;
– les copies des données sont supprimées, et les supports sont détruits ;
– dans un cas, le détenteur du moteur de recherche a été sommé d’effacer le référencement et les copies en cache ;
– les fuites graves sont signalées aux personnes intéressées en leur donnant des conseils pour éviter une aggravation de la situation ;
– des mesures organisationnelles sont évaluées et prises pour éviter que ce type d’incident survienne de nouveau.
f).Aucune plainte formelle, ni chez le conseiller en sécurité, ni à la CPVP, ni à la justice.
g).Aucune action en justice.
Q3 : Plaintes et procédures judiciaires :
Aucune plainte en justice.
Q4 : Nombre de fuites de données déclarées à la CPVP :
Cette question ne concerne pas le SPF.
Q5 : Mesures prises :
Mesures techniques :
– sécurisation du réseau (firewall, web-content filtering, …) ;
– sécurisation des systèmes (anti-virus, anti-spam, politiques techniques des stations de travail, …) ;
– sécurisation des accès (LDAP centralisé, gestion des rôles, …) ;
– inventaire des systèmes informatiques ;
– installations automatiques et centralisation des bug fixes ;
– sécurisation et surveillance des locaux sensibles ;
– système de publication des textes et informations concernant la gestion de la sécurité de l’information (pages intranet).
Mesures méthodologiques :
– gestion des changements ;
– gestion des versions de softwares ;
– gestion des incidents et servicedesk ICT.
Mesures organisationnelles :
– analyse du risque et audits internes ;
– procédure d’accueil des visiteurs ;
– démantèlement sécurisé du matériel et des supports d’information périmés ;
– charte de l’utilisateur ;
– plusieurs polices de sécurité ;
– comité de pilotage pour la gestion de la sécurité de l’information (organe d’avis du comité de direction).
Q6 : Coûts
Il n’y a pas de budget dédicacé à la sécurité de l’information, les coûts des mesures de sécurité sont reportés sur les budgets fonctionnels des donneurs d’ordre. il est dès lors quasi-impossible de fixer les montant de ces interventions. Nous pouvons estimer que le coût global de la sécurité du SPF est de l’ordre de 50 000 euros par an, tous sites et services confondus.
Q7 : Mesures supplémentaires envisageables :
– actions de sensibilisation de la haute hiérarchie ;
– mise en place de procédures de concertation technique / business / sécurité lors du développement de projets ;
– programmes de formation interne pour l’ensemble du personnel ;
– une équipe de gestion de la sécurité un peu plus étoffée ;
– mise en place d’un business continuity management comprenant un DRP ;
– acquisition d’un système IDS / IPS et révision de la stratégie de sécurité informatique ;
– mise en place d’un network access control ;
– mise en place d’un système de surveillance des flux de données externes ;
Mesures déjà prévues, en cours de réalisation :
– séminaire de sensibilisation pour les chefs de services ;
– campagne de sensibilisation pour l’ensemble du personnel ;
– procédure de gestion des incidents de sécurité et outil dédicacé d’enregistrement et de suivi des incidents ;
– nouvelles polices de sécurité concernant l’usage des moyens de communication.
En ce qui concerne le SPF Sécurité sociale :
1) De 2009 à ce jour, aucune attaque ciblant les bases de données du SPF n’a été constatée. Des attaques ont toutefois été constatées sur les sites Internet du SPF qui sont hébergés par Smals. Le nombre de ces attaques se limite à quelques-unes par an. Ces attaques n’ont pas réussi et n’ont pas occasionné de dommages.
2) À ce jour, le SPF Sécurité sociale n’ a été confronté à aucune fuite de données.
3) Pas d’application.
4) Pas d’application.
5) En ce qui concerne les attaques de l’extérieur, le SPF Sécurité sociale a toujours été proactif au sujet de la protection de son infrastructure IT. Ces dernières années, les mesures suivantes ont été prises pour améliorer la protection :
– la toute dernière version du pare-feu central a été installée ;
– le serveur e-mail a fait l’objet d’une migration vers Exchange 2010. Exchange 2010 comprend un mécanisme de régulation qui offre la protection contre les attaques DoS (denial of service). Le serveur e-mail a été en outre pourvu d’un logiciel antivirus supplémentaire ;
– un système a été mis au point pour que les dernières mises à jour (de protection) soient toujours installées automatiquement sur le parc d’ordinateurs ;
– en plus d’un logiciel antivirus, tous les PC sont équipés d’une pare-feu.
Pour ses connexions TCP/IP externes à la sécurité sociale, le SPF utilise l’Extranet de la Sécurité sociale. Ce implique, entre autres, que l’infrastructure du SPF n’est pas directement exposée à d’éventuelles cyberattaques.
Toutefois, concernant des fuites de données depuis l’intérieur, les utilisateurs sont sensibilisés à une manipulation prudente des données sensibles et confidentielles.
6) Coûts de maintenance du pare-feu : 13 370 euros par an.
Coûts de maintenance du logiciel antivirus : 15 030 euros par an.
Coûts de maintenance de la protection VPN pour le télétravail : 12 279 euros par an.
Coûts de maintenance de la protection de l’accès à Internet : 30 525 euros par an.
Coûts de maintenance de la protection du système de messagerie électronique : 6 912 euros par an.
Concernant le contrôle de la sécurité, le SPF utilise les outils standard qui sont contenus dans les logiciels de sécurité mêmes. Il n’investit pas dans des logiciels de contrôle de sécurité supplémentaires. Cette année cependant, durant quelques semaines, un « Checkpoint Next Generation SmartEvent Software Blade » a été installé pour l’exécution d’un « CheckPoint 3D Audit ». Ceci n’a pas permis de déceler des problèmes au niveau de la sécurité.
7) La protection d’une infrastructure IT est un processus continu qui implique la nécessité d’une évaluation permanente des mesures existantes et de l’examen de l’opportunité de nouvelles mesures complémentaires.
En ce qui concerne les institutions publiques de sécurité sociale placées sous ma tutelle :
Office de contrôle des mutualités et des unions nationales de mutualités (OCM)
1.) Pendant le période de 2009 jusqu’à ce jour il n’y pas eu d’attaques dirigées vers les serveurs numériques ou vers la banque de données de l’OCM.
2.) L'Office de contrôle n'a jamais connu de fuite de données.
3.) Sans objet eu égard à la réponse au point 2 de la question.
4.) Pas d’application.
5.) Les mesures suivantes sont actuellement prises : firewall (hardware et software), traffic control, traffic filtering, detection de tentative d'intrusion, blocage Web, blocage Spam, contôle d'application, anti-virus, anti-spyware, anti DoS, contrôle des paquets IP fragmentés ou malformés, protection contre les menaces combinées, blocage de sources statistiques et dynamiques (black lists, …).
6.) En 2009, 2010 et 2011, aucun montant n'a été investi dans la protection cybercriminelle de l'Office de contrôle. Les montants investis dans la protection cybercriminelle de l'Office de contrôle en 2012, 2013 et 2014 sont les suivants : 1 064,06 euros en 2012, 5 118,66 euro en 2013 et 750,50 euros en 2014. Ces investissements concernaient l'ensemble des mesures reprises au point 5 ci-avant.
7.) Non. Les mesures déjà prises sont suffisantes.
Office de sécurité sociale d’outre-mer (OSSOM)
1.) Pendant le période de 2009 jusqu’à ce jour il n’y a pas eu d’attaques dirigées vers les serveurs numériques ou vers la banque de données de l’OSSOM.
2.) Pendant la période de 2009 jusqu’à ce jour, il n’y a pas eu de fuites de données à l'OSSOM.
3.) Sans objet eu égard à la réponse au point 2 de la question.
4.) Pas d’application.
5.) L’OSSOM fait partie de l’Extranet de la Sécurité sociale. L’Extranet prend des mesures afin de prévenir les fuites de données.
L’OSSOM a également pris des mesures afin de prévenir des fuites de données : l’utilisation de la version la plus récente du logiciel anti-virus, l’utilisation des versions les plus récentes des logiciels système et d’applications.
6.) Pendant le période de 2009 jusqu’à ce jour un montant de 59 500 euros a été prévu annuellement en vue de prévenir les fuites de données, les violations et les cyber-attaques dont :
– 3 500 euros pour des logiciels anti-virus ;
– 56 000 euro pour des logiciels système et d’applications.
7.) Des mesures supplémentaires ne sont pas nécessaires dans le cas de l'OSSOM parce que les mesures de sécurité existantes pour prévenir les fuites de données sont efficaces. Si des mesures supplémentaires étaient nécessaires il y a lieu de tenir compte des contraintes budgétaires.
Agence fédérale pour les allocations familiales (FAMIFED)
Parce-que l'Extranet de la Sécurité sociale est géré par la Banque-carrefour de la Sécurité sociale, FAMIFED reprend globalement la réponse fournie par la BCSS, mais avec les spécificités propres à FAMIFED.
1.) La Banque-carrefour de la Sécurité sociale a, ces dernières années, certes, été la victime de cyberattaques, dans un nombre très limité de cas. Cependant, les attaques ont toujours été contrées rapidement et efficacement et n'ont jamais eu de grave impact pour le fonctionnement du réseau de la Sécurité sociale.
2. et 3.) Dans la mesure connue, les attaques précitées n'ont jamais donné lieu à des abus ou des fuites de données. Par conséquent, aucune action juridique à cet égard n'a été entreprise.
4.) Pas d’application.
5.) La Banque-carrefour de la sSécurité sociale prend depuis très longtemps déjà les mesures utiles, en vue de se protéger soi-même ainsi que le réseau de la Sécurité sociale qu’elle gère.
Il y a lieu de faire une distinction entre le LAN de FAMIFED (le réseau informatique local avec les ordinateurs personnels des agents et les divers outils bureautiques comme les serveurs de messagerie, de fichiers et d’impression) et les systèmes informatiques qui gèrent l'échange de données à caractère personnel au sein du réseau de la Sécurité sociale (l’échange de données à caractère personnel intervient au moyen d’une architecture orientée services: « architecture SOA »).
Pour la protection du réseau local et des systèmes informatiques, FAMIFED a recours à des solutions qui sont fournies et maintenues par des entreprises spécialisées à forte réputation dans le monde des entreprises.
La Banque-carrefour de la Sécurité sociale gère un réseau d'échanges électroniques sécurisés de données à caractère personnel entre les acteurs du secteur social. L’infrastructure informatique sous-jacente (backbone) est l’Extranet de la Sécurité sociale.
Ce réseau sécurisé qui relie les différents acteurs du secteur social offre plusieurs services communs, tels la connexion sécurisée de réseaux hétérogènes, la mise à la disposition de proxies, l'échange sécurisé de données à caractère personnel, le scannage d'échanges via web ou mail quant à la présence de logiciels malveillants, la gestion et la maintenance de noms de domaine et l'octroi d'accès à des réseaux internes au moyen d'une connexion sécurisée (VPN). Il offre également aux acteurs du secteur social un accès sécurisé à l'Internet pour l’ensemble des transactions qui sont réalisées à partir du portail de la Sécurité sociale. L'accès aux applications qui sont disponibles sur le portail de la Sécurité sociale est protégé au moyen d’une gestion granulaire des utilisateurs et des accès.
L'infrastructure informatique redondante (répartie sur plusieurs sites) qui est basée sur une protection en couches, est protégée par des pare-feux (firewalls) au niveau de la connexion entrante entre l'acteur de la Sécurité sociale et le backbone, d'une part, et entre le backbone et l'Internet ou les réseaux privés, d'autre part. C'est ici qu'a lieu la gestion centrale des logiciels anti-malveillants.
L'Extranet de la Sécurité sociale est équipé d'un système IDS / IPS (Intrusion Detection / Prevention System) et est complété par un système d’analyse permanente des événements afin de détecter et de corriger les incidents de sécurité. Des audits de l’infrastructure et de ses composants sont réalisés périodiquement.
L'organisation de la politique en matière de sécurité de l'information au sein du réseau de la Banque-carrefour de la Sécurité sociale est basée sur l'application obligatoire des normes minimales de sécurité par ses partenaires, dont FAMIFED. Ces normes minimales de sécurité doivent obligatoirement être respectées par les acteurs du secteur social s’ils souhaitent établir et conserver un accès au réseau de la Banque-carrefour de la Sécurité sociale. Le contrôle du respect des normes minimales de sécurité – par le comité sectoriel de la Sécurité sociale et de la santé, institué au sein de la Commission de la protection de la vie privée – est basé sur un questionnaire transmis annuellement par l’intermédiaire de la Banque-carrefour de la Sécurité sociale. En cas de non-respect de ces normes minimales de sécurité, les acteurs du secteur social concernés, après mise en demeure, peuvent se voir interdire l'accès au réseau de la Sécurité sociale. Les normes minimales de sécurité sont adaptées en fonction des évolutions constatées.
L’approche commune du secteur de la Sécurité sociale en matière de sécurité de l’information a été déterminée par le Comité général de coordination de la Banque-carrefour de la Sécurité sociale à travers un ensemble de directives générales. La méthodologie utilisée pour parvenir à une sécurité maximale de l’information est un Information Security Management System (ISMS), de façon générale basé sur la série de normes internationales ISO 2700X.
Bien qu'il ne soit pas possible d'exclure complètement les attaques, la Banque-carrefour de la Sécurité sociale a mis en place un certain nombre de mesures en respectant les « best practices » en la matière afin de minimiser les risques évalués et de maximiser la protection (voir supra). La Banque-carrefour de la Sécurité sociale réévalue régulièrement les risques et mesures afin de garantir un haut niveau de protection.
6.) Les frais annuels pour la prévention des violations de la sécurité sont intégrés aux frais de projets et d’exploitation des systèmes du réseau de la Sécurité sociale et ne peuvent pas être individualisés. En ce qui concerne plus particulièrement les fuites d’informations, des mesures ont été prises pour que les logiciels soient développés de telle manière que les risques au niveau applicatif (comme une SQL injection) soient limités autant que possible. Les efforts consentis sur ce plan sont entièrement intégrés dans les coûts de l’écriture de logiciels.
7.) Vu ce qui précède, des mesures supplémentaires ne paraissent pas nécessaires.
Fonds des accidents du travail (FAT)
1.) Le FAT n’a pas connaissance d’attaques dirigées vers ses données numériques ou ses bases de données numériques.
2.) Période de 2009 à aujourd’hui : aucune donnée n’a été perdue ou volée.
3.) Sans objet eu égard à la réponse au point 2 de la question.
4.) Pas d’application.
5.) Les dispositions réglementaires régissant le fonctionnement de la Banque-carrefour de la Sécurité sociale et sa sécurité de l’information, en particulier.
6.) Aucun budget propre aux intrusions spécifiées n’est prévu.
7.) Vu la réponse au point 2 de la question, des mesures supplémentaires ne paraissent pas nécessaires.
Fonds des maladies professionnelles (FMP)
1.) Aucune trace d'attaque externe ciblée contre nous n'a jamais été observée ni portée à notre connaissance.
2. et 3.) Une malversation interne a pu être détecté et prouvée, notamment sur base des traces conservées. Il ne s’agissait pas à proprement parler d’une attaque informatique mais bien d’un usage abusif et inapproprié de droits. Outre les poursuite pénales et administratives envers l’auteur des faits, une révision interne des droits en a suivi pour limiter ce type d’abus; une attention toute particulière est désormais de mise au niveau de la gestion des accès aux données et aux applications. Jusqu’à ce jour, nous n’avons pas décelé d’attaque externe réussie. Nous disposons de traces et chiffres statistiques au niveau des systèmes de protection du réseau (firewall, proxy – dont Sandbox –, antivirus).
4.) Pas d’application.
5.) Le réseau local du FMP est protégé par un firewall et un proxy ; il n’est connecté au monde extérieur qu’à travers l’Extranet de la Sécurité sociale. L'accès à l’Internet est géré sur base d’un proxy permettant l’application de politiques coordonnées en la matière; les accès à caractère inacceptable ou présentant des risques avérés et connus sont interdits, ceux à caractère professionnel sont ouverts, les autres sont acceptés conditionnellement. Actuellement, seules des connexions issues de l’extérieur sont autorisées via la solution VPN proposée par l’Extranet de la Sécurité sociale ; une politique de sécurité commune analyse les risques présentés par les moyens mobiles et propose les attitudes à tenir. Derrière les protections offertes par l’Extranet, les dispositifs en place au FMP sont efficaces et sont tenus à jour. Nous veillons à ce que chaque PC de notre environnement bénéficie d’une protection adéquate. Chaque participant au réseau, dont le FMP, est tenu de mettre en œuvre des mesures en accord avec les normes minimales de sécurité et notamment de protéger son réseau, de détecter et d’informer les autres acteurs des anomalies qu’il constaterait. Si une attaque devait survenir, elle sera contenue autant que possible à l'aide des moyens préventifs mis en place. Le service chargé de la sécurité au FMP, à la BCSS et à la Smals, seront informés et sollicités pour fournir collaboration et conseils.
6.) Coûts :certains chiffres portant sur des contrats pluriannuels ont été répartis de manière à présenter une vision annuelle des coûts. Les montants en euro présentés sont limités à ceux correspondant aux mesures relatives à la question et ne prennent pas en compte les frais liés au personnel.
|
Mesures |
2009 |
2010 |
2011 |
2012 |
2013 |
|
Logiciels d'audit et traçage DB |
1 125 |
1 125 |
1 125 |
1 125 |
0 |
|
Logiciels de contrôle des accès logiques |
11 800 |
12 500 |
13 000 |
13 000 |
13 550 |
|
Pare-feu |
1 699 |
1 699 |
1 978 |
1 978 |
11 736 |
|
Proxy |
6 868 |
6 868 |
6 868 |
6 868 |
15 111 |
|
Antivirus |
3 402 |
3 402 |
3 402 |
3 402 |
3 610 |
|
Total |
24 894 |
25 594 |
26 373 |
25 248 |
44 007 |
7.) Les mesures spécifiques en place sont actuellement suffisantes, elles doivent toutefois être tenues à un niveau adéquat et le cas échéant évoluer en fonction des risques, des nouveaux besoins et des progrès technologiques. Les polices de sécurité élaborées au sein du réseau de la Sécurité sociale constituent une référence privilégiée pour notre stratégie en matière de sécurité IT.
Caisse de secours et de prévoyance en faveur des marins (CSPM)
1) La Caisse de secours et de prévoyance en faveur des marins (CSPM) n’a pas connaissance d’attaques dirigées vers ses données numériques ou ses bases de données numériques.
2) La CSPM n’a pas été confrontée avec des fuites de données.
3.) Sans objet eu égard à la réponse au point 2 de la question.
4) La CSPM n’a pas connaissance de notifications de fuites de données au moyen du formulaire en ligne disponible sur le site Internet de la Commission de la protection de la vie privée.
5) La CSPM est tenue de respecter les dispositions de sécurité imposées par le Comité sectoriel de la Sécurité sociale. Dans le cadre du respect de ces dispositions, la CSPM est assistée par un conseiller en sécurité de Smals. Le respect des dispositions est contrôlé annuellement par le Comité sectoriel de la Sécurité sociale.
6)
|
|
2009 |
2010 |
2011 |
2012 |
2013 |
|
Pare-feu |
1 263,70 euros |
1 263,70 euros |
1 263,69 euros |
2 194,45 euros |
1 263,69 euros |
|
Conseiller en sécurité de SMALS |
1 404,00 euros |
1 645,05 euros |
1 106,38 euros |
352,03 euros |
2 239,98 euros |
|
Consultant ICT externe |
1 258,40 euros |
1 258,40 euros |
1 258,40 euros |
1 258,40 euros |
1 258,40 euros |
|
Total |
3 926,10 euros |
4 167,15 euros |
3 628,47 euros |
3 804,88 euros |
4 762,07 euros |
7) La CSPM est une toute petite IPSS compétente pour la sécurité sociale des marins. Vu le risque limité auquel elle est exposée, la CSPM estime que le respect des dispositions de sécurité imposées par le Comité sectoriel de la Sécurité sociale offre un niveau de sécurité suffisant.
Caisse auxiliaire d'assurance maladie-invalidité (CAAMI)
1.) La CAAMI n'a pas constaté d'attaques directes spécifiquement dirigée au niveau de l’institution mais il y a bien eu des tentatives d’attaques plus générales.
Au niveau de l’Extranet la Caisse auxiliaire a une première ligne de défense au niveau de la Société de mécanographie pour l’application des lois sociales qui gère l’Intranet.
Étant donné l'augmentation de la complexité et de la sophistication des attaques à l'heure actuelle, des mesures supplémentaires au niveau des mesures de sécurité seraient effectivement utiles. Il se peut en effet que certaines attaques passent inaperçues. Cependant, la Caisse ne dispose pas actuellement des ressources nécessaires pour réaliser cela.
Nombre de tentatives recensées :
– années antérieures : non recensé ;
– 2013 : 600 ;
– 2014 : 820.
2.) La problématique des fuites de données est une problématique complexe qui nécessite des outils spécifiques et coûteux. La Caisse ne dispose pas actuellement des outils nécessaires à cet effet. Cependant, aucune fuite n’a été constatée ni signalée.
3.) Sans objet eu égard à la réponse au point 2 de la question.
4.) Pas d’application.
5.) La CAAMI fait partie de l’Extranet de la Sécurité sociale géré par la Banque-carrefour, qui s’occupe des mesures de prévention contre la fuite des données. Compte tenu de la réponse au point 2 de la question, la Caisse auxiliaire n’a elle-même pas encore pris de mesures supplémentaires.
6.) Le coût annuel pour l’Extranet de SMALS est de 6 000 euros par an.
Pour le coût en personnel, étant donné la petite taille de l’institution et la liaison via l’Extranet de SMALS, un suivi limité est assuré par son conseiller en sécurité informatique à raison de 10,00 % (0,1 EFT) via les outils pare-feu soit :
– antivirus (clamav) / antispam (spamassasin) au niveau de la réception des emails ;
– antivirus symantec au niveau des serveurs et workstations.
7.) Des mesures supplémentaires sont opportunes, mais il faut y associer les ressources (conséquentes) nécessaires. Il faut investir dans des logiciels dédiés, ainsi que dans la formation des personnes qui seront amenées à configurer, adapter et analyser les données de reporting associées. Cela implique aussi des mesures plus contraignantes et des adaptations éventuelles dans l’utilisation du matériel et des logiciels par les utilisateurs de la CAAMI.
Banque-carrefour de la Sécurité sociale et Plate-forme e-Health
1.) La Banque-carrefour de la Sécurité sociale a, ces dernières années, certes, été la victime de cyberattaques, dans un nombre très limité de cas. Cependant, les attaques ont toujours été contrées rapidement et efficacement et n'ont jamais eu de grave impact pour le fonctionnement du réseau de la Sécurité sociale.
2. et 3.) Dans la mesure connue, les attaques précitées n'ont jamais donné lieu à des abus ou des fuites de données. Par conséquent, aucune action juridique à cet égard n'a été entreprise.
4.) Pas d’application.
5.) La Banque-carrefour de la Sécurité sociale prend depuis très longtemps déjà les mesures utiles, en vue de se protéger soi-même ainsi que le réseau de la Sécurité sociale qu’elle gère.
Il y a lieu de faire une distinction entre le LAN de la Banque-carrefour de la Sécurité sociale (le réseau informatique local avec les ordinateurs personnels des agents et les divers outils bureautiques comme les serveurs de messagerie, de fichiers et d’impression) et les systèmes informatiques qui gèrent l'échange de données à caractère personnel au sein du réseau de la Sécurité sociale (l’échange de données à caractère personnel intervient au moyen d’une architecture orientée services : « architecture SOA »).
Pour la protection du réseau local et des systèmes informatiques, la Banque Carrefour de la sécurité sociale a recours à des solutions qui sont fournies et maintenues par des entreprises spécialisées à forte réputation dans le monde des entreprises.
La Banque-carrefour de la sécurité sociale gère donc un réseau d'échanges électroniques sécurisés de données à caractère personnel entre les acteurs du secteur social. L’infrastructure informatique sous-jacente (backbone) est l’Extranet de la sécurité sociale.
Ce réseau sécurisé qui relie les différents acteurs du secteur social offre plusieurs services communs, tels la connexion sécurisée de réseaux hétérogènes, la mise à la disposition de proxies, l'échange sécurisé de données à caractère personnel, le scannage d'échanges via web ou mail quant à la présence de logiciels malveillants, la gestion et la maintenance de noms de domaine et l'octroi d'accès à des réseaux internes au moyen d'une connexion sécurisée (VPN). Il offre également aux acteurs du secteur social un accès sécurisé à l'internet pour l’ensemble des transactions qui sont réalisées à partir du portail de la sécurité sociale. L'accès aux applications qui sont disponibles sur le portail de la sécurité sociale est protégé au moyen d’une gestion granulaire des utilisateurs et des accès.
L'infrastructure informatique redondante (répartie sur plusieurs sites) qui est basée sur une protection en couches, est protégée par des pare-feux (firewalls) au niveau de la connexion entrante entre l'acteur de la sécurité sociale et le backbone, d'une part, et entre le backbone et l'internet ou les réseaux privés, d'autre part. C'est ici qu'a lieu la gestion centrale des logiciels anti-malveillants.
L'extranet de la sécurité sociale est équipé d'un système IDS/IPS (Intrusion Detection/Prevention System) et est complété par un système d’analyse permanente des événements afin de détecter et de corriger les incidents de sécurité. Des audits de l’infrastructure et de ses composants sont réalisés périodiquement.
L'organisation de la politique en matière de sécurité de l'information au sein du réseau de la Banque Carrefour de la sécurité sociale est basée sur l'application obligatoire des normes minimales de sécurité par ses partenaires. Ces normes minimales de sécurité doivent obligatoirement être respectées par les acteurs du secteur social s’ils souhaitent établir et conserver un accès au réseau de la Banque Carrefour de la sécurité sociale. Le contrôle du respect des normes minimales de sécurité – par le Comité sectoriel de la sécurité sociale et de la santé, institué au sein de la Commission de la protection de la vie privée – est basé sur un questionnaire transmis annuellement par l’intermédiaire de la Banque Carrefour de la sécurité sociale. En cas de non-respect de ces normes minimales de sécurité, les acteurs du secteur social concernés, après mise en demeure, peuvent se voir interdire l'accès au réseau de la sécurité sociale. Les normes minimales de sécurité sont adaptées en fonction des évolutions constatées.
L’approche commune du secteur de la sécurité sociale en matière de sécurité de l’information a été déterminée par le Comité général de coordination de la Banque Carrefour de la sécurité sociale à travers un ensemble de directives générales. La méthodologie utilisée pour parvenir à une sécurité maximale de l’information est un Information Security Management System (ISMS), de façon générale basé sur la série de normes internationales ISO 2700X.
Bien qu'il ne soit pas possible d'exclure complètement les attaques, la Banque Carrefour de la sécurité sociale a mis en place un certain nombre de mesures en respectant les “best practices” en la matière afin de minimiser les risques évalués et de maximiser la protection (voir supra). La Banque Carrefour de la sécurité sociale réévalue régulièrement les risques et mesures afin de garantir un haut niveau de protection.
6.) Les frais annuels pour la prévention des violations de la sécurité sont intégrés aux frais de projets et d’exploitation des systèmes du réseau de la sécurité sociale et ne peuvent pas être individualisés. En ce qui concerne plus particulièrement les fuites d’informations, des mesures ont été prises pour que les logiciels soient développés de telle manière que les risques au niveau applicatif (comme une SQL injection) soient limités autant que possible. Les efforts consentis sur ce plan sont entièrement intégrés dans les coûts de l’écriture de logiciels.
7.) Vu ce qui précède, des mesures supplémentaires ne paraissent pas nécessaires.
Institut national d’assurance maladie-invalidité (INAMI)
1.) Pendant le période de 2009 jusqu’à ce jour il n’y pas eu d’attaques dirigées vers les serveurs numériques ou vers la banque de données de l’INAMI.
2) L’Institut national n’a pas été confrontée avec des fuites de données
3.) Sans objet eu égard à la réponse au point 2 de la question.
4.) Pas d’application.
5.) A l'INAMI un projet d’amélioration continue de la sécurité de l'information est en court, basé sur la norme ISO 27001. La politique de sécurité de l'information est principalement basée sur un processus continu de gestion des risques qui conduit à des actions correctives, y compris de sécurité spécifique aux processus et systèmes, mais aussi à la sensibilisation des employés par groupes cibles spécifiques.
L’INAMI a construit sa sécurité sur tous les composants de son réseau. Tout d'abord, le réseau de l'INAMI est intégré dans l'extranet de la sécurité sociale, géré par la BCSS-Smals. L'extranet utilise un modèle de sécurité multicouche et protège les réseaux des IPSS par des pare-feu, des IPS (Intrusion Prevention System), DMZ, serveurs proxy, anti-malware, etc.
D’autre part, le réseau de l'INAMI est protégé d'une manière équivalente à celle de l'extranet par un modèle de sécurité multicouche (avec 2 niveaux de pare-feu, IPS, DMZ, serveurs proxy, anti-malware, etc.)
Les cyber-attaques sont détectées à 2 niveaux. Un Système de prévention des intrusions (IPS) est installé sur l’extranet et géré par Smals et les alertes concernant l’INAMI sont renvoyées à l’INAMI pour analyse. Nos propres systèmes IPS détectent également les alertes et bloquent dans un certain nombre de cas la communication.
Afin de répondre à des besoins de sécurité encore plus élevée l’INAMI implémente une nouvelle architecture réseau et ce, afin de se préparer aux nouvelles technologies et aux tendances comme BYOD et le Cloud. Ce modèle de sécurité est un modèle de «trusted zone» (zone de confiance) dans lequel toutes les communications entre les serveurs se font de point-à-point et protégées par un pare-feu. De plus, tous les serveurs "hardenés" (suppression des fonctionnalités qui ne sont pas nécessaires mais qui pourraient être utilisées par des pirates informatiques ou des logiciels malveillants).
La politique de sécurité ne repose pas seulement sur les investissements mais aussi sur des processus continus : l’analyse des risques, sensibilisation, communication, formation, audits. Ceci se traduit pas un certain nombre de FTE (Personnes à équivalent temps plein).
6.) L’Institut national peut difficilement établir un montant exact des investissements parce que les mesures de prévention contre les failles de sécurité, cyberattaques ou fuites des données ne se résument pas seulement en une installation des plates-formes et systèmes spécifiques. Il s’agit d’une approche globale qui couvre plus que les menaces venant de l’extérieur, mais fournit également une protection contre les virus, les menaces internes, etc.
Ainsi, le coût du projet SafeInfo (la certification ISO27001) est d’environ 1.200.000 €, étalé sur les années 2011-2012-2013, mais la portée de ceci est évidement plus large que la question parlementaire.
Une autre indication est la part du budget que l’INAMI consacre annuellement à son infrastructure informatique, soit 600.000 €.
Il n’y a pas eu d’investissement dans un logiciel spécifique pour le suivi de la sécurité mais les investissements ont bien été faits dans du matériel tel que des pare-feu hardware contenant des fonctionnalités d’IPS et des pare-feu software sur les (machines) hôtes avec des fonctionnalités d’IPS.
La politique de sécurité ne repose pas seulement sur les investissements mais aussi sur des processus continus : l’analyse des risques, sensibilisation, communication, formation, audits. Ceci se traduit pas un certain nombre de FTE (Personnes à équivalent temps plein).
7.) Il y a d’autres mesures qui garantiraient un meilleur niveau de sécurité, comme par exemple un “Système de prévention des fuites de données” mais le présent contexte budgétaire ne rend pas cet investissement possible.
-Office national de sécurité sociale
1.) Les systèmes de l’Office national de sécurité sociale sont intégrés dans le réseau de la sécurité sociale tel que développé par la Banque-carrefour de la sécurité sociale. Les règles et normes de sécurité édictées pour ce réseau s’appliquent donc également à l’Office national de sécurité sociale. Ce réseau a, ces dernières années, certes, été la victime de cyberattaques, dans un nombre très limité de cas. Cependant, les attaques ont toujours été contrées rapidement et efficacement de sorte qu’il n’y a jamais eu de grave impact pour le fonctionnement du réseau de la sécurité sociale.
2. et 3.) Dans la mesure connue, les attaques précitées n'ont jamais donné lieu à des abus ou des fuites de données. Aucune action juridique n’a par conséquent été entreprise à ce propos.
4.) Pas d’application.
5.) La Banque Carrefour prend depuis très longtemps déjà les mesures utiles, en vue de se protéger soi-même ainsi que le réseau de la sécurité sociale qu’elle gère.
Il y a lieu de faire une distinction entre le réseau interne de l’Office national de sécurité sociale (le réseau informatique local avec les ordinateurs personnels des agents et les divers outils bureautiques comme les serveurs de messagerie, de fichiers et d’impression) et les systèmes informatiques qui gèrent l'échange de données à caractère personnel au sein du réseau de la sécurité sociale (l’échange de données à caractère personnel intervient au moyen d’une architecture orientée services: “architecture SOA”).
Le réseau local et les systèmes informatiques sont sécurisés grâce à des solutions fournies par des entreprises spécialisées jouissant d’une excellente réputation. Ces entreprises assurent également la maintenance des solutions qu’elles offrent.
La Banque-carrefour de la sécurité sociale gère donc un réseau d'échanges électroniques sécurisés de données à caractère personnel entre les acteurs du secteur social. L’infrastructure informatique sous-jacente (backbone) est l’Extranet de la sécurité sociale.
Ce réseau sécurisé qui relie les différents acteurs du secteur social offre plusieurs services communs, tels la connexion sécurisée de réseaux hétérogènes, la mise à la disposition de proxies, l'échange sécurisé de données à caractère personnel, le scannage d'échanges via web ou mail quant à la présence de logiciels malveillants, la gestion et la maintenance de noms de domaine et l'octroi d'accès à des réseaux internes au moyen d'une connexion sécurisée (VPN). Il offre également aux acteurs du secteur social un accès sécurisé à l'internet pour l’ensemble des transactions qui sont réalisées à partir du portail de la sécurité sociale. L'accès aux applications qui sont disponibles sur le portail de la sécurité sociale est protégé au moyen d’une gestion granulaire des utilisateurs et des accès.
L'infrastructure informatique redondante (répartie sur plusieurs sites) qui est basée sur une protection en couches, est protégée par des pare-feux (firewalls) au niveau de la connexion entrante entre l'acteur de la sécurité sociale et le backbone, d'une part, et entre le backbone et l'internet ou les réseaux privés, d'autre part. C'est ici qu'a lieu la gestion centrale des logiciels anti-malveillants.
L'extranet de la sécurité sociale est équipé d'un système IDS/IPS (Intrusion Detection/Prevention System) et est chapeauté par un système de gestion et de contrôle censé détecter et corriger les incidents en matière de sécurité. Des audits de l’infrastructure et de ses composants sont réalisés périodiquement.
L'organisation de la politique en matière de sécurité de l'information au sein du réseau de la Banque-carrefour de la sécurité sociale est basée sur l'application obligatoire des normes minimales de sécurité par ses partenaires. Ces normes minimales de sécurité doivent obligatoirement être respectées par les acteurs du secteur social s’ils souhaitent établir et conserver un accès au réseau de la Banque-carrefour de la sécurité sociale. Le contrôle du respect des normes minimales de sécurité – par le Comité sectoriel de la sécurité sociale et de la santé, institué au sein de la Commission de la protection de la vie privée – est basé sur un questionnaire transmis annuellement par l’intermédiaire de la Banque-carrefour de la sécurité sociale. En cas de non-respect de ces normes minimales de sécurité, les acteurs du secteur social concernés, après mise en demeure, peuvent se voir interdire l'accès au réseau de la sécurité sociale. Les normes minimales de sécurité sont adaptées en fonction des évolutions constatées.
L’approche commune du secteur de la sécurité sociale en matière de sécurité de l’information a été déterminée par le Comité général de coordination de la Banque-carrefour de la sécurité sociale à travers un ensemble de directives générales. La méthodologie utilisée pour parvenir à une sécurité maximale de l’information est un Information Security Management System (ISMS), de façon générale basé sur la série de normes internationales ISO 2700X.
Bien qu’il ne soit pas possible d’exclure complètement les attaques, la Banque-carrefour a pris une série de mesures ciblées garantissant une protection maximale (voir supra). Elle estime qu’elle est correctement protégée.
6.) Les coûts annuels liés à la prévention des infractions à la sécurité autres que ceux déclarés par la Banque Carrefour de la sécurité sociale ont été intégrés dans les dépenses de projet et d’exploitation des systèmes de l’Office national de sécurité sociale et ne peuvent pas être individualisés. Dans le cas spécifique des fuites de données, par exemple, des démarches ont été entreprises afin de développer les logiciels de manière à limiter autant que possible les risques au niveau de l’application (comme le risque d’une injection dite SQL). Les efforts dans ce domaine ont été entièrement intégrés dans les frais de conception logicielle.
7.) Eu égard à ce qui précède, il ne nous semble pas nécessaire de prendre des mesures complémentaires.
-Office national de sécurité sociale des administrations provinciales et locales
Avant propos :
L’ONSSAPL ne permet pas l’accès aux données à caractère privé en dehors de son réseau interne. Des mesures de protection sont établies, afin qu’aucun accès externe non-autorisé ne soit possible.
1.) Aucune trace d'attaque externe ciblée contre l’ONSSAPL n'a jamais été observée ni portée à la connaissance de l’Office national.
2.) Un système de traçage au niveau des accès aux données et des applications existe et est contrôlé. Jusqu’à présent, l’Office national n’a pas pu observer un usage abusif de ses données. L’ONSSAPL n’a jusqu’à ce jour, pas décelé d’attaque externe réussie.
3.) Sans objet eu égard à la réponse au point 2 de la question.
4.) Pas d’application.
5.) Le réseau local de l’ONSSAPL est protégé par des firewalls et un proxy. Il n’est accessible au monde extérieur qu’à travers l’Extranet de la Sécurité Sociale. L'accès à l’Internet est géré sur base d’un proxy. Des politiques spécifiques à l’accès à Internet sont établies, qui interdisent d’accéder à des sites ou données prohibés ou présentant des risques sérieux pour la sécurité de notre infrastructure informatique. Les accès aux applications professionnelles sont établies selon les normes minimales de sécurité de la Banque-carrefour de la sécurité sociale. D’autres accès utiles à des sites plus généraux sont acceptés selon décision de la hiérarchie.
Les connexions issues de l’extérieur sont obligatoirement établies au travers d’une connexion sécurisée VPN gérée par l’Extranet de la Sécurité Sociale, elle respecte la police de sécurité informatique établie par le sous-groupe de travail de sécurité informatique de la Sécurité Sociale, portant sur les moyens mobiles. De son côté, l’ONSSAPL gère au quotidien ses propres outils de protection informatique. Chaque accès individuel au réseau est ainsi protégé. L’ONSSAPL met à disposition des autres Institutions de la Sécurité Sociale des données sociales, au travers de l’Extranet. L’ONSSAPL établit une politique de sécurité qui respecte les normes minimales de sécurité de la Banque-carrefour de la sécurité sociale, afin de garantir leur intégrité et disponibilité. Il existe, au sein de l’ONSSAPL, le service chargé de la sécurité de l’information qui veille au bon déroulement des politiques de sécurité et à la bonne collaboration entre l’ONSSAPL, la BCSS et la Smals et ce, via une veille permanente au travers de différents moyens.
6.) Les frais annuels inhérents aux moyens mis en place pour la sécurité informatique (les violations de sécurité, les cyber-attaques et les violations de données) sont intégrés dans les différents frais d’étude, de développement et de production du système informatique et de son réseau. Il n’est donc pas possible d’isoler les coûts liés à la sécurité, des autres coûts informatiques liés aux frais d’étude, de développement et de production.
7.) L’ONSSAPL veille à respecter les normes minimales de sécurité de la BCSS. Les mesures spécifiques en matière de sécurité dont dispose l’ONSSAPL sont actuellement suffisantes.
Toutefois, bien que maintenues à niveau pour faire face à notre réalité quotidienne, elles risquent de devoir évoluer très rapidement en fonction de nouveaux risques qui sont actuellement inconnus, mais également en fonction des nouvelles technologies et des nouveaux moyens médiatiques. Il est donc indispensable de poursuivre notre politique de formation ainsi que d’investir encore et toujours dans la politique de sécurité de l’ONSSAPL, mais surtout encourager s’il le fallait encore, notre politique commune de sécurité établie au sein du réseau de la Sécurité Sociale et plus spécifiquement au travers des normes minimales de sécurité de la BCSS.