Eu égard à la cybercriminalité actuelle, je souhaiterais une réponse aux questions suivantes :

1. Pouvez-vous me décrire la situation présente dans vos services ? Ont-ils déjà été la victime de pirates ou de cybercriminels, et dans l'affirmative, combien de fois ?

2. Le nombre de cyberattaques contre vos services a-t-il augmenté ces dernières années ? Pouvez-vous préciser, le cas échéant en donnant des chiffres ?

3. Si vos services ont déjà été la cible d'attaques, quels étaient la nature et les effets de chaque incident ? Par exemple, a-t-on dérobé des informations, attaqué un serveur ou un PC ou saboté une infrastructure ? Pouvez-vous fournir des détails ?

4. Compte tenu des cyberattaques dirigées contre certains services publics, avez-vous pris des mesures en vue de renforcer la sécurité de vos services ? Si oui, lesquelles ? Si non, pourquoi pas ?

5. S'il est ou s'il devait être question d'une cyberattaque sur vos services, quelle est la procédure standard de traitement ?

6. Vos services ont-ils déjà dû s'adresser au parquet à la suite de faits de cybercriminalité, et à combien de reprises ? Pouvez-vous préciser ?

7. Vos services ou votre administration sont-ils tenus de signaler de telles attaques à FEDICT ou à CERT ? Pourquoi (pas) ?

8. Estimez-vous vraisemblable que vos services aient déjà été attaqués par des cybercriminels, mais que ces attaques soient passées inaperçues en raison de techniques flexibles faisant appel à des technologies avancées ?

1. et 3. En février 2012, le Service public fédéral (SPF) Finances a été victime d'une infection par le virus de Sality.Gen, qui a eu un impact sur un certain nombre de postes de travail sans paralyser le fonctionnement du Département.

Avec l'aide de spécialistes externes, en particulier de la société McAfee, le SPF Finances a assaini l’entièreté de sa flotte de PC et adapté son organisation et ses procédures internes, en tenant compte des recommandations de l'audit de sécurité qui a été réalisé suite à cet incident.

Entretemps, un nouveau système antivirus a été installé depuis juin 2012. Ce système comporte de nouvelles fonctionnalités pour surveiller le parc de PC en temps réel, maintenir la sécurité des postes de travail à jour de façon permanente et augmenter la réactivité à travers un système décentralisé pour la distribution des correctifs de sécurité.

2. Deux cas de tentative de « SQL-Injection » ont été constatés, en mars 2013 (application « Tarweb » - Tarif douanier) et en octobre 2013. Les systèmes de sécurité ont correctement rempli leur rôle, et aucun dégât ou vol d'information n'a été constaté.

Le nombre de situations suspectes constatées étant très limité, on ne peut pas parler d'augmentation.

Dans le domaine des virus, on détecte un nombre constant d'alerte de détection de virus sur les postes de travail des fonctionnaires. Ce nombre de détection est de l'ordre de 2 000 à 3 000 par mois, pour un parc de 25 000 postes de travail. Ces détections signifient que les protections ont fonctionné.

4. Lors de l'installation des nouveaux systèmes Antivirus 2012, l’administration a acheté les licences et services (pour les postes de travail et les serveurs) pour un montant de 249 429 euros TVA comprise.

Le SPF Finances dispose d'une infrastructure de sécurité importante et de l'organisation pour sa mise en œuvre. Cette infrastructure évolue dans l’optique de nouveaux dangers.

Le SPF Finances est ainsi occupé à installer un « pare-feu d'applications Web ».

Une procédure analyse régulièrement le code des « applications e-gov » (applications qui fournissent des services aux citoyens et aux entreprises) pour y détecter les maillons faibles de la sécurité.

En outre, le SPF Finances est en contact avec diverses institutions publiques (CERT, Fedict…) afin de tirer les leçons des problèmes informatiques auxquels elles ont été confrontées.

5. Dès que le SPF Finances a connaissance d'une attaque constatée ou présumée ou d'un risque d'attaque spécifique, il procède comme suit :

• déterminer la nature de l'attaque,

• identifier la cible de l'attaque,

• évaluer la gravité de l'attaque,

• rechercher les moyens d'identifier l'attaquant, ou l’origine de l'attaque,

• chercher à neutraliser l'accès, par l'attaquant, à la ressource visée,

• au besoin, suspendre le service visé, le temps de trouver une solution.

En cas d'interruption de service, ou d'un autre impact significatif, le SPF Finances informe les utilisateurs (fonctionnaires ou citoyens), via sa cellule de Communication, ou via ses sites Intranet ou Internet.

Dès que le risque immédiat est écarté, les actions suivantes sont prises :

• rechercher la faille du système qui a rendu l'attaque possible,

• prendre des mesures pour éliminer cette vulnérabilité.

Une fois la situation sous contrôle, les services qui ont été suspendus sont rétablis. Un rapport d'incident est établi.

Dès la constatation d'un problème significatif, le coordinateur de sécurité ICT est informé afin de permettre une action coordonnée des différentes équipes concernées.

6. Dans quelques cas, et en particulier dans les cas de phishing, des contacts ont été pris avec la police fédérale pour signaler le fait observé. Ces contacts ont eu lieu suivant divers moyens

• via le site web "www.ecops.be".

• par contact direct avec des agents de la FCCU.

Il est rare que le fait donne lieu à une plainte judiciaire. Cette démarche n'est envisagée que si on dispose de suffisamment d'informations pour envisager une action utile. Dans le cas contraire, on se contente d'informer la police, laquelle peut prendre des actions en cas d'accumulation de faits similaires.

7. Les échanges d'informations ont eu lieu avec le CERT, à l'initiative du CERT ou à l'initiative du SPF Finances. La nature de ces contacts concerne, soit un simple échange d'informations, soit une demande d'actions concrètes : dans le cas des tentatives de phishing où il a été possible d'identifier le site de collecte des informations volées, il a été demandé au CERT de prendre des mesures pour en bloquer l'accès. Ce type de mesure concerne le réseau mondial : elle ne se limite pas à l'infrastructure du SPF Finances.

8. Le SPF Finances prends un ensemble de mesures de sécurité et dispose d'une infrastructure de sécurité qui permet de protéger son infrastructure informatique contre les attaques connues ou raisonnablement prévisibles. Ces mesures et cette infrastructure de sécurité évoluent en fonction des menaces, soit par la mise à jour des patches de sécurité, des antivirus…, soit par la réalisation de nouveaux investissements si de nouvelles menaces apparaissent. Néanmoins, les hackers peuvent toujours développer de nouvelles techniques d'attaques qui ne sont pas prévues et contre lesquelles les moyens de réponse ne sont pas immédiatement disponibles. Les techniques de défense ne sont disponibles qu'avec un retard par rapport aux nouvelles techniques d'attaque. Il n'en reste pas moins vrai que l'attaquant doit toujours franchir plusieurs obstacles mis sur sa route, ce qui nécessite une grande expertise.