|
|
Autorité fédérale - Fuites de données - Chiffres - Plaintes - Procédure juridique - Prévention - Coûts - Mesures
protection des données
piratage informatique
criminalité informatique
Autorité de protection des données
ministère
organisme de recherche
établissement d'utilité publique
| 3/11/2014 | Envoi question (Fin du délai de réponse: 4/12/2014) |
| 5/12/2014 | Réponse |
Aussi posée à : question écrite 6-19
Aussi posée à : question écrite 6-20
Aussi posée à : question écrite 6-21
Aussi posée à : question écrite 6-22
Aussi posée à : question écrite 6-23
Aussi posée à : question écrite 6-24
Aussi posée à : question écrite 6-25
Aussi posée à : question écrite 6-26
Aussi posée à : question écrite 6-27
Aussi posée à : question écrite 6-28
Aussi posée à : question écrite 6-29
Aussi posée à : question écrite 6-31
Aussi posée à : question écrite 6-32
Aussi posée à : question écrite 6-33
Aussi posée à : question écrite 6-34
Aussi posée à : question écrite 6-35
Aussi posée à : question écrite 6-36
Un exemple concret, des plus éloquents, de fuite de données en Belgique est peut-être celui portant sur la Société nationale des chemins de fer belges (SNCB). Le 29 décembre 2012, les médias ont fait état d'une fuite de données privées concernant environ 1,5 million de clients de la SNCB. Cela a été révélé par un internaute qui avait « découvert » par hasard un fichier contenant des données personnelles de clients de la SNCB Europe. À la suite de cette fuite de données, la Commission de protection de la vie privée a reçu plus de mille sept cents plaintes sur la fuite de données personnelles par le biais d'un site web de la SNCB.
La Commission de protection de la vie privée (CPVP), mieux connue sous le nom de Commission vie privée, a mis en place, le 12 juin 2014, sur son site web des formulaires grâce auxquels les entreprises peuvent notifier, simplement et rapidement, une fuite de données. Les entreprises de télécommunications sont soumises à une obligation de notification.
Je souhaite poser les questions suivantes :
1) De 2009 à ce jour, combien de fois des attaques ont-elles été dirigées sur les données numériques ou bases de données des services publiques fédéraux ou de programmation (SPF ou SPP), établissements scientifiques, organismes d'intérêt public (OIP) ou institutions publiques de sécurité sociale (IPSS) relevant de votre compétence ? Je souhaiterais obtenir un aperçu annuel par service et organisme public.
2) Certains SPF, SPP, OIP ou IPSS ont-ils été confrontés à une fuite de données entre 2009 et ce jour ? Dans l'affirmative, je souhaiterais obtenir un aperçu, par service concerné, des éléments suivants :
a) le moment auquel la fuite de données s'est produite et sa durée ;
b) l'ampleur de la fuite de données (sur combien de personnes elle a porté)
c) une description des données concernées ;
d) la cause de la fuite de données ;
e) les mesures prises à la suite de la fuite de données ;
f) le nombre de plaintes qui ont été déposées, le cas échéant, par fuite de données ;
g) la suite qui a été réservée aux plaintes visées à la sous-question 2f.
3) Des démarches juridiques ont-elles été entreprises dans le cadre des plaintes visées à la sous-question 2f ? Le cas échéant, quel est l'état de la question ou quel a été le résultat de cette procédure juridique ?
4) Combien d'entreprises ont-elles déjà signalé une fuite de données au moyen du formulaire en ligne mis en place sur le site web de la Commission vie privée ? Combien de notifications provenaient-elles d'entreprises de télécommunications ?
5) Quelles mesures sont-elles actuellement prises afin de prévenir les fuites de données au niveau des services et organismes relevant de votre compétence ?
6) À combien s'élèvent les coûts annuels de prévention des violations de la sécurité, cyberattaques ou fuites de données ? Je souhaiterais une ventilation par mesure pertinente. Le cas échéant, j'aimerais connaître le montant qui a été investi de 2009 à ce jour dans des logiciels de contrôle de sécurité.
7) Estimez-vous opportun de prendre des mesures supplémentaires de prévention des fuites de données ? Pourquoi ? De quelles mesures supplémentaires s'agit-il et quel calendrier prévoyez-vous ? Dans la négative, pourquoi ?
L’honorable membre trouvera ci-après la réponse à sa question.
Note préliminaire.
Les incidents rapportés ici sont uniquement des incidents ayant comme conséquence directe une perte de confidentialité de données sensibles. Les incidents qui n’ont pas été rapportés au Conseiller en sécurité ne sont pas connus.
Tous ces incidents ont résulté soit en une mise à disposition des données à des tiers non autorisés soit à une utilisation de ces données pour des finalités non compatibles avec le traitement dont elles ont été extraites. Le concept de fuite de donnés est donc interprété de façon large ;
Très peu de ces incidents ont été ‘externalisés’, c’est-à-dire connus du public ou menant à des actions en justice.
Q1 : description des incidents enregistrés
|
N° |
où |
quand |
quoi |
|
1 |
Service public fédéral (SPF) SP |
02/2009 |
Des données de contact sont extraites de banques de données opérationnelles pour opérer un mailing de promotion à un concours auquel participe un membre du personnel du SPF |
|
2 |
SPF SP |
11/2011 |
Installation illicite (différents PC portables non suffisamment sécurisés) de données médicales par un agent du SPF. |
|
3 |
SPF SP |
01/2013 |
Une liste de données de tous les agents du SPF est trouvée sur un site de partage de documents, la liste est référencé et accessible par Google. |
|
4 |
SPF SP |
04/2014 |
Une liste d’agents du SPF est communiquée à des personnes qui ne sont pas chargées de la gestion des RH. |
|
5 |
SPF SP |
07/2014 |
Un PC volé, contenant une banque de données reprenant des données personnelles professionnelles et privées de partenaires du SPF |
Remarque : un incident de sécurité consistant en un vol de données rendu possible par un vol d’identité est pour l’instant en procédure judiciaire et couvert par le secret de l’instruction.
Q2 :
a) Moment et durée :
Tous les incidents, à l’exception du 3, sont ponctuels et n’impliquent pas de mise à disposition ou de possibilité d’accès pour une longue période de temps.
Concernant l’incident 3, il est impossible de déterminer la durée d’exposition de ces données, elles ont été retirées du site dès que l’incident a été déclaré.
b) Nombre de personnes concernées : voir tableau.
c) Quelles données : voir tableau.
d) Raison : voir tableau.
|
N° |
nombre |
quoi |
raison |
|
1 |
5 000 |
Adresse mail |
Promotion / publicité pour la participation d’un membre du SPF à un concours. |
|
2 |
+ 10 000 |
Données médicales (traitements et médications) |
Assouplir la gestion et l’accès aux données utilisées par le service. |
|
3 |
1 500 |
Identité, identifiants, fonctions et rôles, coordonnées |
Mise à disposition de la liste pour un sous-traitant, le fichier a été oublié (pas d’effacement après le transfert). |
|
4 |
80 |
Identité et coordonnées privées, fonctions et rôles |
Communication aux entités fédérées des identités et contacts des personnes en mutation par régionalisation. Les mails ont été envoyés à une liste de distribution contenant des personnes non habilitées. |
|
5 |
1 600 |
Identité et identifiant, employeurs, données privées dont le compte bancaire, domaines d’expertise et publications |
Les circonstances indiquent que seul le PC était la cible du vol. Les données ne semblent pas avoir été exploitées. |
e) Mesures prises en réaction :
– les incidents qui sont d’origine humaine interne ont mené à un avis du Conseiller en sécurité ;
– systématiquement les bonnes pratiques sont rappelées aux personnes impliquées dans l’incident ;
– les copies des données sont supprimées, et les supports sont détruits ;
– dans un cas, le détenteur du moteur de recherche a été sommé d’effacer le référencement et les copies en cache ;
– les fuites graves sont signalées aux personnes intéressées en leur donnant des conseils pour éviter une aggravation de la situation ;
– des mesures organisationnelles sont évaluées et prises pour éviter que ce type d’incident survienne de nouveau.
f) Aucune plainte formelle, ni chez le conseiller en sécurité, ni à la CPVP, ni à la justice.
g) Aucune action en justice.
Q3 : Plaintes et procédures judiciaires :
Aucune plainte en justice.
Q4 : Nombre de fuites de données déclarées à la CPVP :
Cette question ne concerne pas le SPF.
Q5 : Mesures prises :
Mesure techniques :
– sécurisation du réseau (firewall, web-content filtering, …) ;
– sécurisation des systèmes (anti-virus, anti-spam, politiques techniques des stations de travail, …) ;
– sécurisation des accès (LDAP centralisé, gestion des rôles, …) ;
– inventaire des systèmes informatiques ;
– installations automatiques et centralisation des bug fixes ;
– sécurisation et surveillance des locaux sensibles ;
– système de publication des textes et informations concernant la gestion de la sécurité de l’information (pages intranet) ;
Mesure méthodologiques :
– gestion des changements ;
– gestion des versions de softwares ;
– gestion des incidents et servicedesk ICT ;
Mesures organisationnelles :
– analyse du risque et audits internes ;
– procédure d’accueil des visiteurs ;
– démantèlement sécurisé du matériel et des supports d’information périmés ;
– charte de l’utilisateur ;
– plusieurs polices de sécurité ;
– comité de pilotage pour la gestion de la sécurité de l’information (organe d’avis du comité de direction).
Q6 : Coûts
Il n’y a pas de budget dédicacé à la sécurité de l’information, les coûts des mesures de sécurité sont reportés sur les budgets fonctionnels des donneurs d’ordre. il est dès lors quasi-impossible de fixer les montant de ces interventions. Nous pouvons estimer que le coût global de la sécurité du SPF est de l’ordre de 50 000 euros par an, tous sites et services confondus.
Q7 : Mesures supplémentaires envisageables :
– actions de sensibilisation de la haute hiérarchie ;
– mise en place de procédures de concertation technique/business/sécurité lors du développement de projets ;
– programmes de formation interne pour l’ensemble du personnel ;
– une équipe de gestion de la sécurité un peu plus étoffée ;
– mise en place d’un business continuity management comprenant un DRP ;
– acquisition d’un système IDS/IPS et révision de la stratégie de sécurité informatique ;
– mise en place d’un network access control ;
– mise en place d’un système de surveillance des flux de données externes ;
Mesures déjà prévues, en cours de réalisation :
– séminaire de sensibilisation pour les chefs de services ;
– campagne de sensibilisation pour l’ensemble du personnel ;
– procédure de gestion des incidents de sécurité et outil dédicacé d’enregistrement et de suivi des incidents ;
– nouvelles polices de sécurité concernant l’usage des moyens de communication.