SÉNAT DE BELGIQUE
________
Session 2012-2013
________
24 septembre 2013
________
SÉNAT Question écrite n° 5-9914

de Nele Lijnen (Open Vld)

au secrétaire d'État à la Fonction publique et à la Modernisation des Services publics, adjoint au ministre des Finances et du Développement durable, chargé de la Fonction publique
________
Cybercriminalité - Chiffres - Hacking
________
criminalité informatique
ministère
protection des données
________
24/9/2013Envoi question
12/11/2013Rappel
13/11/2013Réponse
________
Aussi posée à : question écrite 5-9897
Aussi posée à : question écrite 5-9898
Aussi posée à : question écrite 5-9899
Aussi posée à : question écrite 5-9900
Aussi posée à : question écrite 5-9901
Aussi posée à : question écrite 5-9902
Aussi posée à : question écrite 5-9903
Aussi posée à : question écrite 5-9904
Aussi posée à : question écrite 5-9905
Aussi posée à : question écrite 5-9906
Aussi posée à : question écrite 5-9907
Aussi posée à : question écrite 5-9908
Aussi posée à : question écrite 5-9909
Aussi posée à : question écrite 5-9910
Aussi posée à : question écrite 5-9911
Aussi posée à : question écrite 5-9912
Aussi posée à : question écrite 5-9913
Aussi posée à : question écrite 5-9915
________
SÉNAT Question écrite n° 5-9914 du 24 septembre 2013 : (Question posée en néerlandais)

Eu égard à la cybercriminalité actuelle, je souhaiterais une réponse aux questions suivantes :

1. Pouvez-vous me décrire la situation présente dans vos services ? Ont-ils déjà été la victime de pirates ou de cybercriminels, et dans l'affirmative, combien de fois ?

2. Le nombre de cyberattaques contre vos services a-t-il augmenté ces dernières années ? Pouvez-vous préciser, le cas échéant en donnant des chiffres ?

3. Si vos services ont déjà été la cible d'attaques, quels étaient la nature et les effets de chaque incident ? Par exemple, a-t-on dérobé des informations, attaqué un serveur ou un PC ou saboté une infrastructure ? Pouvez-vous fournir des détails ?

4. Compte tenu des cyberattaques dirigées contre certains services publics, avez-vous pris des mesures en vue de renforcer la sécurité de vos services ? Si oui, lesquelles ? Si non, pourquoi pas ?

5. S'il est ou s'il devait être question d'une cyberattaque sur vos services, quelle est la procédure standard de traitement ?

6. Vos services ont-ils déjà dû s'adresser au parquet à la suite de faits de cybercriminalité, et à combien de reprises ? Pouvez-vous préciser ?

7. Vos services ou votre administration sont-ils tenus de signaler de telles attaques à FEDICT ou à CERT ? Pourquoi (pas) ?

8. Estimez-vous vraisemblable que vos services aient déjà été attaqués par des cybercriminels, mais que ces attaques soient passées inaperçues en raison de techniques flexibles faisant appel à des technologies avancées ?

Réponse reçue le 13 novembre 2013 :

Ci-dessous je tiens à vous communiquer les données concernant le Service public fédéral (SPF) P&O et le Service public fédéral Technologie de l'information et de la communication (FEDICT).

1) et 2) En 2012, Fedict a dû contrer sept tentatives d'attaque par déni de service et n'a dû en contrer aucune en 2013. Aucun autre type d’attaque ou de « cybercrime » n’a été détecté. Cela ne signifie cependant pas que le nombre de tentatives d’attaques a diminué. Fedict a renforcé son infrastructure, des tentatives d’attaque ont eu lieu, mais elles n’ont pas donné lieu à une augmentation effective du risque pour Fedict. La seule constatation fut que le trafic réseau avait largement dépassé le volume normal. Avant 2012, aucune statistique n'a été tenue quant au nombre d'attaques sur les systèmes de Fedict.

Au niveau de P&O, seul le Selor a détecté par le passé des tentatives avortées de cyberattaques. Celles-ci n’ont eu aucun impact sur l’intégrité des données ni pour les utilisateurs; des améliorations continues à l’infrastructure ICT ont été menées depuis lors et aucun cas n’a plus été signalé. P&O ne dispose d’aucun chiffre à ce sujet, aucun incident de ce type n’est survenu. Il est toutefois possible d’interroger les systèmes de Firewall en cas d’incident avéré.

3) Fedict a dû contrer plusieurs attaques qui visaient à perturber certains de ses services. Jusqu'à présent, aucune attaque visant à voler des informations n'a été établie. En ce qui concerne P&O, comme répondu en question 1, jusqu’à présent, les tentatives d’attaque n’ont eu aucun impact sur les systèmes, ni sur l’intégrité des données.

4) Les systèmes de Fedict sont protégés sur la base des « best practices » et donc aussi sur la base d'une évaluation des risques. Ces systèmes sont surveillés en permanence. Actuellement, cela signifie que des scans de vulnérabilité technique sont régulièrement menés et que des systèmes de détection d'intrusion et des firewalls d'application web sont mis en place. En outre, les applications, l'infrastructure serveur et le réseau sont gérés séparément (ce que l'on appelle la « segregation of duties »). Dans le cadre du renouvellement de l'infrastructure du centre de données prévu pour 2014, l'accent est particulièrement mis sur la détection, la classification et le filtrage des motifs suspects, tant au niveau du réseau que des systèmes. En outre, une meilleure « segregation of duties » est en cours d’élaboration. L'infrastructure bureautique est gérée par Fedict Shared Services. Cette infrastructure est systématiquement renouvelée en tenant compte des limites budgétaires. Parallèlement à cela, et sur la base de l'évolution de la nature des menaces, la politique de sécurité et le contrôle des anomalies dans les flux de données sont corrigés si nécessaire et le rapport est affiné. Tout cela se fait en collaboration avec les experts, internes et externes, de la sécurité.

Les systèmes de P&O sont régulièrement mis à jour : infrastructure (certificats web SSL de Fedict, DMZ, pare-feu, proxy, serveur SFTP) et logiciels (pare-feu, MailRelay, reverse-proxy,…). Comme chez Fedict, les infrastructures font l’objet d’un monitoring continu.

5) Lors d'une cyberattaque, une analyse est tout d'abord menée afin de déterminer le type d'attaque. Sur la base de cette analyse, les éléments nécessaires, tels que le moment de l'attaque et les « logs », sont collectés. Entre-temps, les mesures nécessaires sont prises afin de bloquer l'attaque.

6) Pour six des douze attaques décelées en 2012, Fedict a déposé un dossier auprès de la Federal Computer Crime Unit (FCCU). Pour les six autres attaques, aucune plainte n'a été déposée car il n'existait pas de risque effectif pour Fedict. La seule constatation fut que le trafic réseau avait largement dépassé le volume normal. P&O n’a pas encore constaté de fait de cybercriminalité.

7) Il n'y a aucune obligation d'informer Cert.be de cyberattaques. En tant que coordinateur de Cert.be, Fedict contacte toujours ce site dans le cas d'une attaque.

8) Toutes nos infrastructures font l’objet d’un suivi continu, et les outils sont mis à jour en fonction des dernières technologies. De plus, au niveau du contenu, Fedict et P&O ne traitent que peu d'informations sensibles. Dans ce contexte, je puis affirmer qu'il existe assez peu de risques que nos services aient déjà été attaqués, sans que l'on s'en rende compte, par des cybercriminels, au moyen de techniques flexibles et technologiquement avancées. Je ne peux cependant pas complètement écarter ce risque.