|
|
Autorité fédérale - Fuites de données - Chiffres - Plaintes - Procédure juridique - Prévention - Coûts - Mesures
protection des données
piratage informatique
criminalité informatique
Autorité de protection des données
ministère
organisme de recherche
établissement d'utilité publique
| 28/10/2014 | Envoi question (Fin du délai de réponse: 27/11/2014) |
| 27/11/2014 | Réponse |
Aussi posée à : question écrite 6-19
Aussi posée à : question écrite 6-20
Aussi posée à : question écrite 6-21
Aussi posée à : question écrite 6-22
Aussi posée à : question écrite 6-23
Aussi posée à : question écrite 6-24
Aussi posée à : question écrite 6-25
Aussi posée à : question écrite 6-26
Aussi posée à : question écrite 6-27
Aussi posée à : question écrite 6-29
Aussi posée à : question écrite 6-30
Aussi posée à : question écrite 6-31
Aussi posée à : question écrite 6-32
Aussi posée à : question écrite 6-33
Aussi posée à : question écrite 6-34
Aussi posée à : question écrite 6-35
Aussi posée à : question écrite 6-36
Un exemple concret, des plus éloquents, de fuite de données en Belgique est peut-être celui portant sur la Société nationale des chemins de fer belges (SNCB). Le 29 décembre 2012, les médias ont fait état d'une fuite de données privées concernant environ 1,5 million de clients de la SNCB. Cela a été révélé par un internaute qui avait « découvert » par hasard un fichier contenant des données personnelles de clients de la SNCB Europe. À la suite de cette fuite de données, la Commission de protection de la vie privée a reçu plus de mille sept cents plaintes sur la fuite de données personnelles par le biais d'un site web de la SNCB.
La Commission de protection de la vie privée (CPVP), mieux connue sous le nom de Commission vie privée, a mis en place, le 12 juin 2014, sur son site web des formulaires grâce auxquels les entreprises peuvent notifier, simplement et rapidement, une fuite de données. Les entreprises de télécommunications sont soumises à une obligation de notification.
Je souhaite poser les questions suivantes :
1) De 2009 à ce jour, combien de fois des attaques ont-elles été dirigées sur les données numériques ou bases de données des services publiques fédéraux ou de programmation (SPF ou SPP), établissements scientifiques, organismes d'intérêt public (OIP) ou institutions publiques de sécurité sociale (IPSS) relevant de votre compétence ? Je souhaiterais obtenir un aperçu annuel par service et organisme public.
2) Certains SPF, SPP, OIP ou IPSS ont-ils été confrontés à une fuite de données entre 2009 et ce jour ? Dans l'affirmative, je souhaiterais obtenir un aperçu, par service concerné, des éléments suivants :
a) le moment auquel la fuite de données s'est produite et sa durée ;
b) l'ampleur de la fuite de données (sur combien de personnes elle a porté)
c) une description des données concernées ;
d) la cause de la fuite de données ;
e) les mesures prises à la suite de la fuite de données ;
f) le nombre de plaintes qui ont été déposées, le cas échéant, par fuite de données ;
g) la suite qui a été réservée aux plaintes visées à la sous-question 2f.
3) Des démarches juridiques ont-elles été entreprises dans le cadre des plaintes visées à la sous-question 2f ? Le cas échéant, quel est l'état de la question ou quel a été le résultat de cette procédure juridique ?
4) Combien d'entreprises ont-elles déjà signalé une fuite de données au moyen du formulaire en ligne mis en place sur le site web de la Commission vie privée ? Combien de notifications provenaient-elles d'entreprises de télécommunications ?
5) Quelles mesures sont-elles actuellement prises afin de prévenir les fuites de données au niveau des services et organismes relevant de votre compétence ?
6) À combien s'élèvent les coûts annuels de prévention des violations de la sécurité, cyberattaques ou fuites de données ? Je souhaiterais une ventilation par mesure pertinente. Le cas échéant, j'aimerais connaître le montant qui a été investi de 2009 à ce jour dans des logiciels de contrôle de sécurité.
7) Estimez-vous opportun de prendre des mesures supplémentaires de prévention des fuites de données ? Pourquoi ? De quelles mesures supplémentaires s'agit-il et quel calendrier prévoyez-vous ? Dans la négative, pourquoi ?
1) Le service public fédéral (SPF) Finances n'a jamais constaté d'attaque réussie visant à lui voler des données.
Le SPF Finances n’a jamais reçu de plainte concernant des fuites de données significatives.
Aucune fuite significative des données du SPF Finances ne lui a été signalée.
Les principaux risques détectés sont constitués par des attaques par des virus, lesquels sont normalement détectés et éliminés par divers outils anti-virus mis en œuvre par le SPF Finances.
En février 2012, le SPF Finances a été victime d'une infection par le virus « Sality.gen.z », qui a eu un impact sur un certain nombre de postes de travail sans paralyser le fonctionnement du Département. Le SPF Finances n’a ni constaté, ni eu connaissance d’une fuite de données à cette occasion.
Deux cas de tentative de « SQL-Injection » ont été constatés, en mars 2013 (application « Tarweb » (Tarif douanier)) et en octobre 2013. Les systèmes de sécurité ont correctement remplis leur rôle et aucun dégât ou vol d'information n'a été constaté.
2) Le service ICT du SPF Finances n’a jamais eu à traiter de problèmes concernant des fuites de données importantes.
3) Le service ICT du SPF Finances n’a jamais eu à traiter de problèmes concernant des fuites de données importantes ni reçu de plaintes à ce sujet.
4) N’ayant pas été confronté à des fuites de données significatives, le service d’encadrement ICT du SPF Finances n’en a pas signalé à la Commission pour la protection de la vie privée.
5) L'ensemble du réseau du SPF Finances est isolé d'Internet par une infrastructure de sécurité comprenant divers dispositifs :
– firewall ;
– détection d'intrusion ;
– relai de messagerie sécurisé ;
– protection anti-virus ;
– filtrage des pages web, selon divers critères ;
– contrôle d'accès à distance, avec authentification forte.
L'ensemble de ces dispositifs permet de contrôler les flux d'information échangés avec Internet, de bloquer les flux présentant un risque et de filtrer les flux autorisés en fonction de certains risques connus.
Les serveurs stratégiques du SPF Finances sont installés sur un réseau interne, isolé du réseau Internet par l'infrastructure de sécurité qui vient d'être mentionnée. Aucun utilisateur d'Internet ne peut y avoir accès, autrement qu'au travers de systèmes intermédiaires sécurisés.
Les serveurs fournissant un service au public sont installés sur un réseau intermédiaire, appelé DMZ, accessible depuis Internet, et distinct du réseau interne du SPF Finances. Ces serveurs font l'objet d'une protection adéquate, et servent éventuellement de relai sécurisé vers les serveurs contenant les informations.
Le réseau interne du SPF Finances fait l'objet d'un ensemble de mesures de sécurité, comprenant :
– un système centralisé d'identification des utilisateurs et contrôle d'accès aux applications ;
– une protection antivirus des postes de travail, avec mise à jour gérée centralement ;
– une protection antivirus des serveurs ;
– une protection antivirus du système départemental de messagerie ;
– une supervision centralisée des patches de sécurité des postes de travail ;
– une sauvegarde centralisée des données des PC.
L'accès aux données sensibles n'est accordé aux agents que dans la mesure où il est approprié à l'exercice de la fonction spécifique exercée par l'agent. L'article 10 de la loi du 3 août 2012 portant dispositions relatives aux traitements de données à caractère personnel réalisés par le SPF Finances dans le cadre de ses missions entérine ce principe.
Une procédure est mise en place en vue d'analyser le code des applications « egov » (applications qui fournissent des services aux citoyens et aux entreprises) en vue de détecter les risques de sécurité.
Un coordinateur de sécurité ICT a en charge la politique de sécurité d’ensemble, et un service spécialisé du service d'encadrement ICT gère les aspects techniques et opérationnels.
6) Les données disponibles sont reprises dans le tableau ci-joint.
7) Le SPF Finances prends un ensemble de mesures de sécurité et dispose d'une infrastructure de sécurité et qui permet de protéger son infrastructure informatique contre les attaques connues ou raisonnablement prévisibles. Ces mesures et cette infrastructure de sécurité évoluent en fonction des menaces, soit par la mise à jour des patches de sécurité, des antivirus, …, soit par la réalisation de nouveaux investissements si de nouvelles menaces apparaissent.
Les projets suivants sont prévus sur le budget de 2014 (réalisation en 2015) :
– développement d’un plan stratégique pour la sécurité de l’information ;
– développement d’un ensemble de policies pour la sécurité de l’information.
Pour 2015, on prévoit le renouvellement d’une infrastructure centrale qui assure l’identification des utilisateurs et l’authentification de leur identité, ainsi que le contrôle d’accès aux applications (système IAM = Identity and Access Management).
|
Principales dépenses de sécurisation des systèmes informatiques du SPF Finances (TVA comprise) |
||||||||
|
Investissements |
|
2008 |
2009 |
2010 |
2011 |
2012 |
2013 |
2014 (Montants déjà engagés) |
|
Firewall |
matériel |
|
|
|
992 684,36 |
|
|
|
|
|
Logiciel |
|
|
|
244 422,14 |
|
|
|
|
|
Maintenance et services |
|
|
|
970 546,87 |
|
|
|
|
|
Sous-total |
|
|
|
2 207 653,37 |
|
|
|
|
Antivirus (PC+serveurs) |
Matériel |
|
|
|
|
|
|
|
|
|
Logiciel |
|
|
|
138 306,80 |
|
|
|
|
|
Maintenance et services |
|
|
|
96 239,86 |
|
|
|
|
|
Sous-total |
|
|
|
234 546,66 |
|
|
|
|
IAM (identification interne) |
Services |
|
|
|
715 836,00 |
|
|
|
|
FedIAM (identification fédérale) |
Investissements |
|
391 485,82 |
|
|
|
199 534,96 |
299 813,80 |
|
|
Maintenance et services |
|
2 108 512,69 |
|
|
|
|
|
|
|
Sous-total |
|
2 499 998,51 |
|
|
|
199 534,96 |
299 813,80 |
|
NAC (sécurité réseau) |
Sous-total |
|
|
|
|
199 637,49 |
|
|
|
Total investissements |
|
0,00 |
2 499 998,51 |
0,00 |
3 158 036,03 |
199 637,49 |
199 534,96 |
299 813,80 |
|
Dépenses annuelles (maintenance, licences, services) |
2008 |
2009 |
2010 |
2011 |
2012 |
2013 |
2014 |
|
|
Firewall |
matériel |
71 404,56 |
75 924,46 |
75 924,46 |
75 924,46 |
209 467,25 |
209 467,25 |
209 467,25 |
|
|
Logiciel |
17 518,56 |
18 627,49 |
155 970,45 |
155 970,45 |
148 175,34 |
148 175,35 |
148 175,35 |
|
|
Maintenance et services |
483 801,36 |
514 425,98 |
514 425,98 |
514 425,98 |
593 634,81 |
636 468,80 |
588 068,80 |
|
|
Sous-total |
572 724,48 |
608 977,93 |
746 320,89 |
746 320,89 |
951 277,40 |
994 111,40 |
945 711,40 |
|
Antivirus (PC+serveurs) |
Matériel |
|
|
|
|
|
|
|
|
|
Logiciel |
|
|
|
|
138 306,80 |
136 336,15 |
134 139,39 |
|
|
Maintenance et services |
50 993,08 |
50 993,08 |
50 993,08 |
14 883,00 |
14 883,00 |
35 453,00 |
14 883,00 |
|
|
Sous-total |
50 993,08 |
50 993,08 |
50 993,08 |
14 883,00 |
153 189,80 |
171 789,15 |
149 022,39 |
|
IAM (engagement par 2 ans) |
Maintenance hardware |
|
|
|
|
|
|
507 125,12 |
|
|
Services |
|
|
|
|
|
|
231 940,18 |
|
|
Sous-total |
0,00 |
793 639,00 |
0,00 |
875 062,32 |
0,00 |
356 871,35 |
739 065,30 |
|
FedIAM |
Sous-total (maintenance) |
|
|
|
680 682,00 |
|
|
|
|
Gestion des patches |
Sous-total |
68 970,00 |
68 970,00 |
68 970,00 |
|
|
|
|
|
Total dépenses annuelles (maintenance, licences, services) |
692 687,56 |
1 522 580,01 |
866 283,97 |
2 316 948,21 |
1 104 467,20 |
1 522 771,90 |
1 833 799,09 |
|
|
Total général |
|
692 687,56 |
4 022 578,52 |
866 283,97 |
5 474 984,24 |
1 304 104,69 |
1 722 306,86 |
2 133 612,89 |