Depuis ces dernières années, la criminalité informatique progresse dans le monde entier. Les ordinateurs en ont été les premières victimes mais plusieurs experts remarquent que les criminels informatiques déplacent leur activité vers les appareils mobiles (téléphones cellulaires, tablettes,…). Il ressort ainsi du Rapport Norton 2013, un rapport de référence sur la sécurité informatique, que quelque 48 pour cent des utilisateurs de smartphones et de tablettes ne prennent aucune mesure en vue d'assurer la protection de leur appareil mobile. C'est pourtant à conseiller parce que les hackers peuvent y trouver accès à toutes sortes de données personnelles et professionnelles

J'aimerais poser les questions suivantes :

1) A-t-on déjà constaté durant ces trois dernières années des infections de smartphones ou de tablettes par un virus, un maliciel, un logiciel espion, etc. ? Pouvez-vous communiquer le nombre de ces constats ?

2) Avez-vous une idée du nombre de membres du personnel qui ont accès via leur smartphone ou leur tablette à des données professionnelles (par exemple sur le nuage informatique) ? Pouvez-vous communiquer ce nombre ?

3) Si ce n'est pas le cas : estimez-vous nécessaire de mieux cartographier l'usage de smartphones et de tablettes par votre personnel, puisque ces appareils mobiles peuvent donner à des cybercriminels l'accès à des données professionnelles ? Pouvez-vous expliquer votre choix ?

4) Surveille-t-on la connexion des tablettes et des smartphones au système informatique du travail ? Pourquoi le fait-on ou ne le fait-on pas ?

5) Si vos services reçoivent de l'information sur la sécurité informatique et sur les dangers, accorde-t-on aussi de l'attention à la sécurité des appareils mobiles, comme les tablettes et les smartphones ? Si oui, de quelle façon ? Si non, ne pensez-vous pas que cela soit nécessaire ?

6) Connaissez-vous le nombre de membres du personnel qui ont reçu une tablette ou un smartphone de leur employeur ? Pouvez-vous communiquer ces chiffres ?

7) Vos informaticiens sont-ils suffisamment au courant de cette tendance ? Si non, ne pensez-vous pas que ce soit nécessaire ? Si oui, de quelle manière y réagissent-ils ?

En réponse à ses questions, j’ai l’honneur de faire savoir à l’honorable membre ce qui suit.

En ce qui concerne l’Office national des Pensions :

1. A-t-on déjà constaté durant ces trois dernières années des infections de Smartphones ou de tablettes par un virus, un maliciel, un logiciel espion etc ? Pouvez-vous communiquer le nombre de ces constats

Les 3 dernières années, on n’a pas encore constaté de malicieux sur les Smartphones.

2. Avez-vous une idée du nombre de membres du personnel qui ont accès via leur Smartphone ou leur tablette à des données professionnelles (par exemple sur le nuage informatique)?

Oui, l’ONP en a une idée. L’accès sur le nuage informatique n’est pas autorisé. L’ONP traite les accès par Smartphones comme les accès à distance par des appareils mobiles (laptops) et cela ne peut se faire que par VPN. La communication est de plus en plus cryptée. Suivant la classification des données professionnelles, une authentification forte ou non sera requise (EID, token, etc.). Par exemple, l’accès à la banque de données de la firme ou aux réserves du fichier n’est possible que par forte authentification.

À ce moment, il y a 67 appareils BYOD.

3. Si ce n’est pas le cas à la question précédente: estimez-vous nécessaire de mieux cartographier l’usage de smartphones et de tablettes par votre personnel, puisque ces appareils mobiles peuvent donner à des cybercriminels l’accès à des données professionnelles? Pouvez-vous expliquer votre choix?

Pas d’application.

4. Suit-on la connexion des tablettes ou des smartphones au système informatique du travail?Pourquoi le fait-on ou ne le fait-on pas ?

Oui, l’ONP est conscient des risques.

5. Si les services reçoivent de l’information sur la sécurité informatique et sur les dangers, accorde-t-on aussi de l’attention à la sécurité des appareils mobiles comme les tablettes ou le smartphones? Si oui, de quelle façon? Si non, ne pensez-vous pas que cela soit nécessaire?

Oui, comme décrit auparavant, les Smartphones et les tablettes sont considérés et traités comme d’autres appareils mobiles avec accès à distance.

L’ONP ne dispose cependant pas encore en ce moment d’une solution MDM (Mobile Device Management) à part entière qui permette de gérer vraiment les tablettes, Smartphones, etc. mais tous les appareils ont été configurés pour pouvoir être “remotely wiped”.

6. Connaissez-vous le nombre des membres du personnel qui ont reçu une tablette ou un Smartphone de leur employeur? Pouvez-vous communiquer ces chiffres?

En ce moment, l’ONP a fourni 20 iPads, 32 iPhones et 40 BlackBerries.

7. Vos informaticiens sont-ils suffisamment au courant de cette tendance? Si non, ne pensez-vous pas que ce soit nécessaire? Si oui, de quelle manière y réagissent-ils?

Oui, les informaticiens de l’ONP sont conscients des dangers. Avec les moyens disponibles, les principaux dangers ont déjà été réduits. Si d’autres mesures, comme la solution MDM, sont nécessaires, d’autres moyens devront être mis à disposition.

En ce qui concerne le Service des Pensions du Secteur public :

1. Les Smartphones et tablettes utilisés au SdPSP n’ont pas été, au cours des trois dernières années, soumis à des attaques de virus, malware ou spyware.

2. 16 membres du personnel utilisent des Smartphones de type BlackBerry et 7 membres du personnel utilisent des tablettes reliés à l’environnement de travail professionnel.

Les BlackBerry donnent uniquement accès aux mails d’entreprise. Cet accès est protégé par les protocoles d’accès propriétaires de ce constructeur, réputé pour les aspects sécurité.

Les tablettes permettent également de donner accès aux mails professionnels. Via un client VPN installé sur les tablettes, il est aussi possible de consulter les fichiers de l’entreprise. L’utilisation de ce VPN permet d’exclure la réception ou la transmission de virus, malware ou spyware.

3. Pas d’application.

4. Les liens entre les Smartphones et tablettes d’une part et l’infrastructure informatique d’autre part sont effectivement contrôlés et limités aux canaux décrits ci-dessus afin d’éviter tout problème potentiel en matière de sécurité informatique.

5. Les recommandations en matière de sécurité sont d’application pour l’ensemble du matériel pouvant être relié à l’infrastructure informatique (PC fixes, PC portables, Smartphones et tablettes). Pour chacun de ces matériels, les sécurisations des accès sont semblables afin d’exclure tout risque potentiel. Les accès à distance aux fichiers sont donc seulement possibles via l’utilisation des clients VPN.

6. 16 membres du personnel ont reçu des Smartphones de type BlackBerry et 7 membres du personnel ont reçu des tablettes (5 tablettes Ipad et 2 tablettes Samsung Galaxy).

7. L’équipe informatique est consciente des risques inhérents à l’utilisation des Smartphones ou tablettes pour donner accès aux données d’entreprise. Elle veille à ce que les accès se fassent exclusivement via les canaux protégés autorisés.