SÉNAT DE BELGIQUE
________
Session 2012-2013
________
13 mai 2013
________
SÉNAT Question écrite n° 5-8994

de Nele Lijnen (Open Vld)

au ministre des Entreprises publiques et de la Coopération au développement, chargé des Grandes Villes
________
Cybercriminalité - Cyberattaques ciblées - Entreprises - Sites web de l'administration fédérale - Sites web des entreprises publiques - Technique du watering hole - Sécurisation
________
entreprise publique
administration centrale
virus informatique
criminalité informatique
piratage informatique
administration électronique
site internet
protection des données
________
13/5/2013 Envoi question
18/9/2013 Rappel
12/11/2013 Rappel
13/12/2013 Requalification
16/1/2014 Réponse
________
Requalifiée en : demande d'explications 5-4553
________
SÉNAT Question écrite n° 5-8994 du 13 mai 2013 : (Question posée en néerlandais)

Dans un rapport récent, l'entreprise américaine Symantec a indiqué que le nombre de cyberattaques ciblées avait augmenté de 42 % en 2012. Ces attaques visent principalement à s'emparer de droits intellectuels et ce sont surtout les petites et moyennes entreprises (PME), les industries et le secteur public qui sont attaqués. Si l'objectif des criminels n'est pas de dérober à tout prix les informations de ces entreprises, ces dernières sont utilisées pour permettre aux criminels de s'attaquer à de plus grosses entreprises et ce, par le biais de la technique du « watering hole ». Un cybercriminel prévoit d'accomplir un « exploit » sur un site web fort visité par les utilisateurs qu'il veut atteindre. À leur insu, les visiteurs du site infecté se retrouvent, par exemple, avec un cheval de Troie ou un malware. Ensuite, le cybercriminel peut s'introduire dans l'ordinateur ou le site web de l'organisation qu'il visait. L'entreprise dont le site web est attaqué n'est donc qu'un intermédiaire innocent. Il est tout à fait possible que les criminels subtilisent en une fois les données bancaires ou les droits intellectuels des entreprises. L'objectif n'est donc pas de faire un maximum de victimes mais d'atteindre quelques cibles très spécifiques.

Les entreprises ignorent le rôle qu'elles jouent dans ce processus. Elles pensent que les cybercriminels ne s'intéressent pas à elles et qu'ils s'attaquent plutôt à l'administration ou à des multinationales. Ce n'est pas le cas. Aux États-Unis (EU) la première victime n'est plus l'administration mais le secteur industriel. Lorsque des criminels ont besoin de données (données bancaires, contrats, données personnelles,...), ils ne s'attaquent pas aux grosses entreprises mieux sécurisées mais aux plus petites qui, collaborant étroitement avec ces dernières, disposent de nombreuses informations à leur sujet. C'est la raison pour laquelle ce ne sont pas les dirigeants de ces entreprises qui sont attaqués mais l'administration qui a accès aux documents.

Je souhaiterais poser au ministre les questions suivantes :

1) Par le passé, des sites web de l'administration fédérale ou d'entreprises publiques ont-ils déjà été victimes de la technique dite du « watering hole » dont l'administration était la cible ? Des sites web de l'administration (d'entreprises publiques) ont-ils déjà été utilisés comme « intermédiaire » ou le ministre a-t-il connaissance d'instances dont les PC ont été contaminés après visite d'un site web contaminé ?

2) Dans l'affirmative, le ministre peut-il étayer sa réponse à l'aide de chiffres portant sur les cinq dernières années ?

3) Dans la négative, les services chargés de la sécurité de ces sites web sont-ils en mesure de constater des infractions telles que la technique dite du watering hole ?

4) Est-il très courant au sein de l'administration de limiter le nombre de sites web à visiter ou le personnel peut-il en général visiter à peu près tous les sites ? Le ministre peut-il détailler sa réponse ?

5) Si des restrictions sont imposées, est-ce pour des raisons de cybersécurité ou dans l'intérêt de la productivité ?

6) Est-il très courant au sein de l'administration de réinitialiser régulièrement le mot de passe des ordinateurs, amenant l'utilisateur à devoir en choisir un nouveau ? Le ministre est-il partisan de cette pratique ?

7) Lorsque l'on découvre sur un ordinateur de l'administration un « Cheval de Troie », un « malware », ... susceptible de révéler des (risques d') infractions, est-il courant de créer un nouveau mot de passe pour cet ordinateur ?

Réponse reçue le 16 janvier 2014 :

Pour ce qui concerne le Service public fédéral (SPF) Affaires étrangères, Commerce extérieur et Coopération au Développement, cette question relève des compétences du ministre des Affaires étrangères puisque la gestion quotidienne du département relève de celles-ci.

Pour ce qui concerne le Service public de programmation (SPP) Intégration sociale, cette question relève de la secrétaire d'État à l'Asile et la Migration, à l'Intégration sociale et à la Lutte contre la pauvreté puisque la gestion quotidienne du département relève de celles-ci.

Pour ce qui concerne le groupe Société nationale des chemins de fer belges (SNCB) :

1. 2. et 3. En tant que service ICT de la SNCB-Holding, ICTRA n'a pas connaissance de tels incidents, mais ne peut pas non plus les exclure totalement.

A l'heure actuelle, des contrôles préventifs, détectifs et correctifs sont mis en œuvre, et des améliorations continues sont prévues afin de réduire le risque autant que possible.

4. et 5. Au sein du Groupe SNCB, la pratique est de limiter techniquement le nombre de sites consultables, et ce conformément à la législation et à la réglementation en vigueur. Ces restrictions sont instaurées pour des questions de cyber-sécurité et de productivité.

6. La réinitialisation régulière des mots de passe est une pratique largement répandue au sein du Groupe SNCB.

7. Les mots de passe définis par ICTRA comme "compromis", sont réinitialisés et/ou désactivés le plus rapidement possible.

Pour ce qui concerne Belgacom :

1. Des tentatives d’attaques durant lesquelles les employés de Belgacom reçoivent un e-mail contenant un lien vers un site web tentant d’infecter les PC ont lieu régulièrement. Toutefois, Belgacom assure un screening permanent afin d’éviter tout dommage.

2. Jusqu’à présent, les différentes attaques ont été détectées et déjouées par différents services de Belgacom. Belgacom dispose d’un Belgacom Computer Security Incident Response Team (CSIRT) qui fournit du support coordonné pour la prévention et la gestion des incidents. CSIRT maintient les statistiques des incidents détectés ou reportés. Ces informations sont confidentielles et ne peuvent donc être fournies.

3. En principe, un anti-virus veille à la sécurité des sites réalisés par Belgacom. Pour les sites internet auxquels les employés désirent accéder au départ de leur poste de travail, Belgacom utilise Websense qui analyse les sites sous l’aspect « Cheval de Troie » ou « malware » et les identifie, le cas échéant, en tant que « Malicious website ». Ces sites sont bloqués pour tous les employés de Belgacom.

4. et 5. L’accès à internet est limité pour le personnel de Belgacom pour des raisons de sécurité et également afin de bloquer l’accès à certains contenus comme les contenus pornographiques ou racistes. Les employés qui souhaitent avoir accès aux média sociaux doivent souscrire à la Policy interne en la matière. .

6. Chez Belgacom, les mots de passe doivent être renouvelés régulièrement et les employés ont la possibilité de les modifier quand ils le souhaitent.

7. Les procédures internes prévoient le remplacement du mot de passe lorsque c’est nécessaire. En principe, les programmes anti-virus présents sur les PC détectent et éliminent ces problèmes. Si ce n’est pas possible, l’utilisateur est invité par le helpdesk informatique à effectuer une réinstallation de son PC.

Pour ce qui concerne bpost :

1. Selon les données dont dispose l'entreprise, les sites web de bpost n'ont pas été utilisés comme intermédiaires. Aucun tiers ne nous a en outre signalé avoir été la victime de cette technique via les sites web de bpost. bpost n'est pas non plus au courant d'attaques perpétrées à l'encontre de l'entreprise qui auraient eu recours à cette technique.

2. Sans objet.

3. bpost prend toutes les mesures nécessaires pour se protéger de toute forme de « malware ». L'entreprise utilise pour ce faire le logiciel disponible sur le marché pour protéger tant les PC et ordinateurs portables que le réseau interne et les serveurs pour les connexions Internet. Aucune distinction spécifique n'est faite à cet égard entre la technique dite « watering-hole » dont il est question ici et autre « malware ». Ce logiciel de protection est mis à jour quotidiennement.

4. Les directives internes de bpost interdisent l'accès aux sites web présentant le continu suivant : pornographie, jeux de hasard, hameçonnage, sources de spyware/malware, chat ou messagerie instantanée, sites de rencontres, réseaux sociaux, logiciel indésirable potentiel, contenu suspect. Les sites avec « Spyware Effects / Privacy Concerns », « Proxy Avoidance » et « Remote Access Tools » sont également bloqués.

5. Ces restrictions s'appliquent tout d'abord pour des raisons de sécurité, mais certaines découlent également du code de conduite applicable aux membres du personnel de bpost.

6. Les directives de bpost prévoient que les mots de passe doivent répondre à un certain degré de sécurité et doivent, en principe, être modifiés tous les 90 jours.

7. Non. En cas de virus, le PC ou ordinateur portable concerné est réinstallé. Les noms d'utilisateur et mot de passe peuvent continuer à être utilisés tant que la période normale de 90 jours n'est pas dépassée.