SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
4 octobre 2013 4 oktober 2013
________________
Question écrite n° 5-10025 Schriftelijke vraag nr. 5-10025

de Nele Lijnen (Open Vld)

van Nele Lijnen (Open Vld)

au ministre des Finances, chargé de la Fonction publique

aan de minister van Financiën, belast met Ambtenarenzaken
________________
Criminalité informatique - Appareils mobiles - Sécurisation - Tableau général Cybercrime - Mobiele toestellen - Beveiliging - Overzicht 
________________
criminalité informatique
téléphone mobile
protection des données
virus informatique
communication mobile
computercriminaliteit
mobiele telefoon
gegevensbescherming
computervirus
mobiele communicatie
________ ________
4/10/2013 Verzending vraag
8/11/2013 Antwoord
4/10/2013 Verzending vraag
8/11/2013 Antwoord
________ ________
Aussi posée à : question écrite 5-10013
Aussi posée à : question écrite 5-10014
Aussi posée à : question écrite 5-10015
Aussi posée à : question écrite 5-10016
Aussi posée à : question écrite 5-10017
Aussi posée à : question écrite 5-10018
Aussi posée à : question écrite 5-10019
Aussi posée à : question écrite 5-10020
Aussi posée à : question écrite 5-10021
Aussi posée à : question écrite 5-10022
Aussi posée à : question écrite 5-10023
Aussi posée à : question écrite 5-10024
Aussi posée à : question écrite 5-10026
Aussi posée à : question écrite 5-10027
Aussi posée à : question écrite 5-10028
Aussi posée à : question écrite 5-10029
Aussi posée à : question écrite 5-10030
Aussi posée à : question écrite 5-10031
Aussi posée à : question écrite 5-10013
Aussi posée à : question écrite 5-10014
Aussi posée à : question écrite 5-10015
Aussi posée à : question écrite 5-10016
Aussi posée à : question écrite 5-10017
Aussi posée à : question écrite 5-10018
Aussi posée à : question écrite 5-10019
Aussi posée à : question écrite 5-10020
Aussi posée à : question écrite 5-10021
Aussi posée à : question écrite 5-10022
Aussi posée à : question écrite 5-10023
Aussi posée à : question écrite 5-10024
Aussi posée à : question écrite 5-10026
Aussi posée à : question écrite 5-10027
Aussi posée à : question écrite 5-10028
Aussi posée à : question écrite 5-10029
Aussi posée à : question écrite 5-10030
Aussi posée à : question écrite 5-10031
________ ________
Question n° 5-10025 du 4 octobre 2013 : (Question posée en néerlandais) Vraag nr. 5-10025 d.d. 4 oktober 2013 : (Vraag gesteld in het Nederlands)

Depuis ces dernières années, la criminalité informatique progresse dans le monde entier. Les ordinateurs en ont été les premières victimes mais plusieurs experts remarquent que les criminels informatiques déplacent leur activité vers les appareils mobiles (téléphones cellulaires, tablettes,…). Il ressort ainsi du Rapport Norton 2013, un rapport de référence sur la sécurité informatique, que quelque 48 pour cent des utilisateurs de smartphones et de tablettes ne prennent aucune mesure en vue d'assurer la protection de leur appareil mobile. C'est pourtant à conseiller parce que les hackers peuvent y trouver accès à toutes sortes de données personnelles et professionnelles

J'aimerais poser les questions suivantes :

1) A-t-on déjà constaté durant ces trois dernières années des infections de smartphones ou de tablettes par un virus, un maliciel, un logiciel espion, etc. ? Pouvez-vous communiquer le nombre de ces constats ?

2) Avez-vous une idée du nombre de membres du personnel qui ont accès via leur smartphone ou leur tablette à des données professionnelles (par exemple sur le nuage informatique) ? Pouvez-vous communiquer ce nombre ?

3) Si ce n'est pas le cas : estimez-vous nécessaire de mieux cartographier l'usage de smartphones et de tablettes par votre personnel, puisque ces appareils mobiles peuvent donner à des cybercriminels l'accès à des données professionnelles ? Pouvez-vous expliquer votre choix ?

4) Surveille-t-on la connexion des tablettes et des smartphones au système informatique du travail ? Pourquoi le fait-on ou ne le fait-on pas ?

5) Si vos services reçoivent de l'information sur la sécurité informatique et sur les dangers, accorde-t-on aussi de l'attention à la sécurité des appareils mobiles, comme les tablettes et les smartphones ? Si oui, de quelle façon ? Si non, ne pensez-vous pas que cela soit nécessaire ?

6) Connaissez-vous le nombre de membres du personnel qui ont reçu une tablette ou un smartphone de leur employeur ? Pouvez-vous communiquer ces chiffres ?

7) Vos informaticiens sont-ils suffisamment au courant de cette tendance ? Si non, ne pensez-vous pas que ce soit nécessaire ? Si oui, de quelle manière y réagissent-ils ?

 

De jongste jaren is cybercrime aan een ware opmars bezig over de hele wereld. Daar waar voorheen vooral computers het primaire slachtoffer van deze criminelen waren, merken verschillende experts op dat cybercriminelen hun activiteit ook naar de mobiele toestellen (gsm , tablet, …) verplaatsen. Uit het zogenaamde Norton Report 2013, een toonaangevend rapport inzake cyberbeveiliging, blijkt dat zo'n 48 % van de smartphone- en tabletgebruikers geen maatregelen neemt om hun mobiele toestellen te beveiligen. Dit valt toch aan te raden, omdat hackers mogelijk hierdoor toegang hebben tot allerlei persoonlijke en professionele data.

Graag had ik volgende vragen gesteld:

1) Zijn er de jongste drie jaar reeds vaststellingen gedaan met betrekking tot besmette smartphones of tablets door een virus/malware/spyware/enz.? Kunt u deze cijfers meedelen?

2) Hebt u een beeld van het aantal personeelsleden die via hun smartphone of tablet toegang hebben tot professionele data (bijvoorbeeld via cloud computing)? Kunt u deze cijfers meedelen?

3) Indien neen op de vorige vraag: acht u het nodig om het gebruik van smartphones en tablets door uw personeel beter in kaart te brengen, aangezien hun toestellen mogelijk een toegangspoort voor cybercriminelen kunnen zijn naar professionele gegevens? Kunt u toelichten waarom wel of niet?

4) Wordt er toegezien op de koppeling van tablets of smartphones met de informatica van op het werk? Waarom wel of niet?

5) Indien uw diensten informatie krijgen over het beveiligen van de informatica en de gevaren hieromtrent, is er dan ook aandacht voor de beveiliging van mobiele apparaten, zoals tablets of smartphones? Indien ja, op welke manier? Indien neen, acht u dit nodig?

6) Hebt u cijfers over het aantal personeelsleden die een smartphone of tablet gekregen hebben van hun werkgever, en kunt u deze cijfers meedelen?

7) Zijn uw informatici voldoende op de hoogte van deze trend? Indien neen, is dit volgens u noodzakelijk? Indien ja, op welke manier spelen zij hierop in?

 
Réponse reçue le 8 novembre 2013 : Antwoord ontvangen op 8 november 2013 :

1) Au cours des trois dernières années, le Service public fédéral (SPF) Finances n'a pas recensé de cas d’infection de ce type.

2 à 4) L’accès via à l’infrastructure informatique à partir de tablettes est sécurisé. Il y a deux cas de figure.

Les utilisateurs de tablettes et smartphones ont automatiquement un droit d’accès sécurisé (login/password) au réseau interne, via connexion mobile data ou WiFi interne, qui leur permet de consulter essentiellement leurs mails.

L’accès direct à d’autres données est également possible (dossiers partagés, .. ) en utilisant une application gestionnaire de fichier et à condition de rentrer manuellement de nouveau les données d’authentification. Cette application est installée à la demande de certains utilisateurs.

Les accès mobiles à l’infrastructure du SPF Finances sont autorisés des deux manières suivantes :

  • l’accès via une connexion mobile Data (APN) définie : chaque utilisateur autorisé ne peut accéder qu’après identification (login/password) via le serveur de contrôle d’accès à distance (Radius).

  • l’accès via une connexion WiFi sécurisé interne : l’utilisateur doit se trouver physiquement dans un des bâtiments équipés du Wifi. Il doit néanmoins être identifié par un login/pasword.

La mise en place d’une couche de sécurité supplémentaire (projet NAC : Network Access Control) est en cours. Elle permettra un contrôle supplémentaire des équipements ayant accès via WiFi. Ainsi seuls les équipements expressément autorisés pourront accéder au réseau interne, quel qu’en soit l’utilisateur.

5) En plus des mesures prises au niveau central par la division « Security » du Service d’encadrement ICT, il existe au sein de l’organisation un « code déontologie » qui est communiqué à tout le personnel. Cette charte a pour objectif de rappeler à tous que les outils et services informatiques (y compris tablettes et smartphones) fournis par le SPF à ses agents doivent être utilisés de manière professionnelle. Ce qui signifie par exemple éviter de surfer sur des sites web suspects, ou de télécharger des applications dont l’utilisation n’est pas justifiable dans le cadre de ses fonctions. Chaque agent du SPF est censé en avoir pris connaissance et s’être engagé à en respecter les principes lors de leur utilisation au quotidien.

6) Les chiffres sont les suivants: 667 smartphones, 95 tablettes.

7) Le département ICT est tout à fait conscient des dangers de la cybercriminalité en général et de cette nouvelle tendance (mobile security). Compte tenu de l’importance croissante du nombre d’utilisateurs et de la demande en matière d’appareils mobiles au sein de l’organisation, le SPF Finances a adapté sa stratégie.

Conformément à la décision du gouvernement de lutter contre ce nouveau type de criminalité, le Service d’Encadrement ICT introduira un projet relatif à la sécurité dans le cadre du Plan Coperfin 2014, en parfaite intégration avec les initiatives qui seront prises au niveau fédéral.

1) De Federale Overheidsdienst (FOD) Financiën heeft in de laatste drie jaar geen infecties van dit type vastgesteld.

2 tot 4) De toegang tot de IT-infrastructuur via tablet is beveiligd. Er zijn twee mogelijkheden.

De gebruikers van tablets en smartphones krijgen automatisch een beveiligd toegangsrecht (login/password) voor het interne netwerk, via een mobiele dataverbinding of interne WiFi, dat hen voornamelijk toelaat om hun mails te lezen.

De directe toegang tot andere gegevens is eveneens mogelijk (gedeelde mappen, .. ) via een bestandsbeheersapplicatie en op voorwaarde dat de authenticatiegegevens opnieuw manueel worden ingegeven. Deze applicatie werd geïnstalleerd op verzoek van bepaalde gebruikers.

De mobiele toegang tot de infrastructuur van de FOD Financiën wordt op de twee volgende manieren geautoriseerd:

  • Toegang via een specifieke mobiele dataverbinding (APN): elke geautoriseerde gebruiker krijgt pas na identificatie (login/password) toegang via de server voor toegangscontrole op afstand (Radius).

  • Toegang via een beveiligde interne WiFi-verbinding: de gebruiker moet zich fysisch in een van de gebouwen bevinden die zijn uitgerust met Wifi. Hij moet zich niettemin identificeren met een login/pasword.

Momenteel wordt er een bijkomende beveiligingslaag geïnstalleerd (NAC-project: Network Access Control). Ze zal een bijkomende controle mogelijk maken van de apparatuur die toegang heeft via WiFi. Alleen de apparatuur die uitdrukkelijk is geautoriseerd zal dus toegang krijgen tot het interne netwerk, ongeacht wie de gebruiker is.

5) Naast de maatregelen die op centraal niveau worden genomen door de divisie “Security” van de stafdienst ICT, bestaat er binnen de organisatie een “deontologische code” die aan alle personeelsleden wordt meegedeeld. Dit charter heeft tot doel om iedereen eraan te herinneren dat alle informaticatools en –diensten (inclusief tablets en smartphones) die de FOD haar ambtenaren ter beschikking stelt, op een professionele manier moeten worden gebruikt. Dit betekent bijvoorbeeld niet surfen naar verdachte websites en geen applicaties downloaden waarvan het gebruik niet gerechtvaardigd is in het kader van zijn taken. Alle ambtenaren van de FOD worden geacht kennis te hebben genomen van het charter en zich ertoe verbonden te hebben de principes ervan na te leven in hun dagelijkse werkzaamheden.

6) De cijfers zijn de volgende: 667 smartphones, 95 tablets.

7) Het departement ICT is zich volledig bewust van de gevaren van cybercriminaliteit in het algemeen en van deze nieuwe trend (mobile security). De FOD heeft haar strategie aangepast, rekening houdend met het groeiende belang van het aantal gebruikers en de vraag naar mobiele apparaten binnen de organisatie.

In overeenstemming met de beslissing van de Regering om dit nieuwe type criminaliteit te bestrijden, zal de stafdienst ICT een project lanceren voor de veiligheid in het kader van het Plan Coperfin 2014 dat perfect is geïntegreerd met de initiatieven die op federaal niveau zullen worden genomen.