SÉNAT Question écrite n° 7-1930 - SENAAT Schriftelijke vraag nr. 7-1930

SÉNAT DE BELGIQUE

BELGISCHE SENAAT

________

Session 2022-2023

Zitting 2022-2023

________

7 mars 2023

7 maart 2023

________

Question écrite n° 7-1930

Schriftelijke vraag nr. 7-1930

de Tom Ongena (Open Vld)

van Tom Ongena (Open Vld)

à la ministre de l'Intérieur, des Réformes institutionnelles et du Renouveau démocratique

aan de minister van Binnenlandse Zaken, Institutionele Hervormingen en Democratische Vernieuwing

________

Sites web de pouvoirs publics - Piratage informatique - Chiffres - Sécurisation - Mesures

Overheidssites - Hacking - Cijfers - Beveiliging - Maatregelen

________

site internet
piratage informatique
administration publique
courrier électronique
sécurité des systèmes d'information

internetsite
computerpiraterij
overheidsadministratie
elektronische post
informatiebeveiliging

________

7/3/2023	Verzending vraag (Einde van de antwoordtermijn: 6/4/2023)
6/4/2023	Antwoord

7/3/2023	Verzending vraag (Einde van de antwoordtermijn: 6/4/2023)
6/4/2023	Antwoord

________

Ook gesteld aan : schriftelijke vraag 7-1929
Ook gesteld aan : schriftelijke vraag 7-1931

________

Question n° 7-1930 du 7 mars 2023 : (Question posée en néerlandais)

Vraag nr. 7-1930 d.d. 7 maart 2023 : (Vraag gesteld in het Nederlands)

Bien que les pouvoirs publics néerlandais soient régulièrement la cible d'attaques par hameçonnage, l'amélioration de la sécurisation des messageries électroniques et des sites web ne semble pas être une priorité. Il ressort de la dernière mesure de «Forum Standaardisatie» que la moitié des noms de domaine ne répondent toujours pas aux normes de sécurité obligatoires.

En novembre 2022, plus de 2 500 noms de domaine ont été contrôlés en vue de vérifier leur conformité aux normes obligatoires de sécurité de l'information et à l'IPv6. Il s'est avéré que seuls 53 % des sites web des pouvoirs publics répondaient aux normes obligatoires relatives à la sécurité de l'information.

Pour le courrier électronique, le pourcentage est encore plus faible: 44 % seulement sont conformes. Les dates butoirs pour la mise en œuvre des conventions en la matière sont dépassées depuis longtemps.

Une étude similaire réalisée il y a deux ans a montré que des sites belges étaient confrontés à la même problématique. On a constaté qu'il était facile pour des pirates informatiques de s'introduire dans près d'un site web sur cinq d'entreprises et de pouvoirs publics belges. Les sites de pouvoirs publics belges étaient les plus menacés. Sur un site sur quatre appartenant à des communes et des services de la police locale, des criminels sont parvenus à adapter le site web de manière illégale, à avoir accès à des flux financiers, voire à voler des données privées.

Selon le consultant BDO, qui ne fournit lui-même aucune prestation en matière de cybersécurité, la responsabilité en incombe d'abord à la technologie obsolète utilisée par de nombreux sites web en Belgique. Selon un expert, quatre sites web sur dix utilisent encore des adresses http non sécurisées (cf. https://www.demorgen.be/nieuws/een in five Belgian websites vulnerable to cyber attack~b4d7da30/).

Francis Oostvogels de BDO indique: «Dans notre pays, quatre sites web sur dix utilisent encore le protocole FTP. Les pirates peuvent donc facilement intercepter les mots de passe au moyen de cette technologie non cryptée. Et que penser des 15 % de sites web qui continuent à utiliser des adresses http non sécurisées? Enfin, il apparaît aussi qu'un domaine de site web belge sur six est vulnérable au risque d'usurpation d'adresse électronique. Les cybercriminels détournent le nom de domaine et falsifient ainsi facilement des adresses de courrier électronique. Il s'agit d'une technique populaire dans le cadre de la «fraude au CEO», qui consiste pour un pirate informatique à se faire passer pour un CEO dans le but de détourner de l'argent» (traduction) (cf. https://www.bdo.be/nl be/nieuws/2021/liefst 1 op de 5 bedrijfs en overheidswebsites in belgie kwetsbaar voor cybera).

En ce qui concerne le caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une compétence transversale, partagée avec les Régions, ces dernières intervenant surtout dans le volet préventif.

Je souhaiterais dès lors vous soumettre les questions suivantes:

1) Combien de sites de pouvoirs publics belges ont-ils été piratés depuis 2021? Quelles étaient les faiblesses? Quel site de quel service était concerné? Des données sensibles ont-elles été volées (données personnelles, mots de passe, etc.)?

2) Existe-t-il des normes de sécurisation obligatoires pour les sites de pouvoirs publics en Belgique? Si oui, lesquelles? Pourriez-vous également estimer, en pourcentage, le nombre de ces sites qui sont actuellement conformes à ces normes? À défaut, pourriez-vous préciser où en sont les choses pour les sites relevant de votre compétence?

3) Pourriez-vous dire si, à la suite de cette information, des adaptations ont été apportées en matière de sécurisation des sites? La majorité des sites de pouvoirs publics continuent-ils entre-temps à utiliser le cryptage HTTP non sécurisé? Dans l'affirmative, pourquoi? Dans la négative, quelles autres mesures de sécurisation sont prévues?

4) Pourriez-vous dire s'il existe des directives concernant la sécurité des normes de courrier électronique? Si oui, lesquelles et ont-elles déjà été mises en œuvre? Dans la négative, pourquoi?

5) Des mesures ont-elles été prises entre-temps pour améliorer l'approche FTP obsolète? Si oui, quelles mesures ont été prises et comment? Dans la négative, pourquoi?

6) Dans quelle mesure les sites de pouvoirs publics sont-ils vulnérables face aux risques d'usurpation d'adresse électronique? A-t-on connaissance de pareils incidents? Si oui, combien? Des mesures ont-elles déjà été prises pour contrer ces risques de sécurité? Si oui, lesquelles? Si non, pourquoi?

Hoewel de Nederlandse overheid regelmatig getroffen wordt door phishing-aanvallen, toch lijkt de verbetering van de beveiliging van e-mail en websites geen prioriteit te zijn. Uit de laatste meting van Forum Standaardisatie blijkt dat de helft van alle domeinnamen nog steeds niet voldoet aan verplichte security-standaarden.

In november 2022 werden er meer dan 2 500 domeinnamen gecontroleerd op het naleven van verplichte informatieveiligheidstandaarden en IPv6. Slechts 53 % van de overheidswebsites voldoet aan alle verplichte standaarden voor informatieveiligheid.

Voor e-mail is dat percentage nog lager: slechts 44 % voldoet aan de afspraken. De «deadlines» voor het nakomen van de afspraken hierover zijn inmiddels al lang verstreken.

Uit een soortgelijk onderzoek van twee jaar geleden bleek dat Belgische sites met eenzelfde problematiek kampten. Uit onderzoek bleek dat hackers gemakkelijk konden binnendringen in bijna een op de vijf websites van Belgische bedrijven en overheden. De Belgische overheidswebsites liepen het grootste risico. Criminelen konden bij een op de vier sites van gemeenten en lokale politiediensten illegaal de website aanpassen, zich eventueel toegang verlenen tot financiële stromen of zelfs privédata stelen.

De grootste boosdoener is volgens de consultant BDO, dat zelf geen cyberbeveiliging aanbiedt, de verouderde technologie die veel websites in België gebruiken. «Vier op de tien websites maken nog gebruik van onbeveiligde http-adressen», legt een expert uit (cf. https://www.demorgen.be/nieuws/een-op-de-vijf-belgische-websites-kwetsbaar-voor-cyberaanval~b4d7da30/).

Francis Oostvogels van BDO: «Vier op de tien websites in ons land maken nog gebruik van FTP. Hackers kunnen via die niet-geëncrypteerde technologie eenvoudig paswoorden onderscheppen. En wat te denken van de 15 % websites die nog steeds onbeveiligde http-adressen gebruiken? Tot slot blijkt ook dat een op de zes van de Belgische websitedomeinen kwetsbaar zijn voor e-mailspoofing. Cybercriminelen kapen de domeinnaam en maken zo eenvoudig e-mailadressen na. Het is een populaire techniek bij «CEO fraude», waarbij een hacker zich voordoet als CEO om geld te verduisteren» (cf. https://www.bdo.be/nl-be/nieuws/2021/liefst-1-op-de-5-bedrijfs-en-overheidswebsites-in-belgie-kwetsbaar-voor-cybera).

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) Hoeveel van de Belgische overheidssites zijn gehackt sinds 2021? Wat waren de zwakheden? Welke site van welke dienst betrof het? Werden er gevoelige data gestolen (persoonsgegevens, paswoorden, enz.)?

2) Zijn er in België voor overheidssites verplichte beveiligingsstandaarden? Zo ja, welke? Kan u ook procentueel inschatten hoeveel van dergelijke sites op dit ogenblik voldoen aan deze richtlijnen? Zo niet, zou u kunnen meedelen in hoeverre men is wat betreft de sites die onder uw bevoegdheid vallen?

3) Kan u meedelen of er sinds het bericht hierover aanpassingen zijn gedaan omtrent de beveiliging van de sites? Wordt er voor het merendeel van de overheidssites intussen nog steeds gebruik gemaakt van de onveilige HTTP-encryptie? Zo ja, waarom? Zo neen, welke andere maatregelen wat betreft beveiliging staan er nog in de steigers?

4) Zou u kunnen zeggen of er richtlijnen bestaan over de beveiliging rond e-mailstandaarden? Zo ja, welke en zijn ze reeds geïmplementeerd? Zo neen, waarom niet?

5) Zijn er ondertussen maatregelen getroffen die respectievelijk de verouderde FTP-aanpak verbeteren? Zo ja, welke maatregelen werden er getroffen en hoe? Zo neen, waarom niet?

6) In hoeverre zijn de overheidssites kwetsbaar voor zogenaamde «e-mailspoofing»? Zijn hier reeds voorvallen rond bekend? Zo ja, hoeveel? Werden er reeds maatregelen getroffen om deze veiligheidsrisico's tegen te gaan? Zo ja, welke? Zo neen, waarom niet?

Réponse reçue le 6 avril 2023 :

Antwoord ontvangen op 6 april 2023 :

1) La Banque de données nationale générale (BNG) est une base de données policières dans laquelle sont enregistrés les faits sur base de procès-verbaux résultant des missions de police judiciaire et administrative. Elle permet de réaliser des comptages sur différentes variables statistiques telles que le nombre de faits enregistrés, les modus operandi, les objets utilisés lors de l’infraction, les moyens de transport utilisés, les destinations de lieu, etc.

Le tableau ci-dessous reprend le nombre de faits enregistrés par les services de police en matière de «hacking» couplés à une destination de lieu «bâtiment administratif», tels que ces faits sont enregistrés dans la BNG sur base des procès-verbaux, pour la période 2018-2021 et le premier semestre 2022, et ce au niveau national.

Ces données proviennent de la banque de données clôturée à la date du 18 novembre 2022. Les chiffres pour le second semestre 2022 ne sont pas encore disponibles à l’heure actuelle.

Tableau: nombre de faits enregistrés en matière de «hacking» couplés à une destination-lieu «bâtiment administratif»

		2018	2019	2020	2021	SEM1 2022
Bâtiment administratif	Ambassade/chancellerie/consulat	1
	Bâtiment de l’Union européenne			3	1
	Commune	6	10	9	8
	Ministère		3	1	1	1
	Non spécifié	4	3	3	4	2
	Total:	11	16	16	14	3

Source: police fédérale.

2), 3), 4), 5) & 6) Cette question parlementaire ne relève pas de mes compétences mais de la compétence du premier ministre dont dépend le Centre for Cyber Security Belgium (CCB).

1) De Algemene Nationale Gegevensbank (ANG) is een politiedatabank waarin feiten geregistreerd worden op basis van processen-verbaal die voortvloeien uit de missies van de gerechtelijke en bestuurlijke politie. Zij laat toe om tellingen uit te voeren op verschillende statistische variabelen, zoals het aantal geregistreerde feiten, de modi operandi, de voorwerpen gehanteerd bij het misdrijf, de gebruikte vervoermiddelen, de plaatsbestemming, enz.

De onderstaande tabel bevat het aantal door de politiediensten geregistreerde feiten inzake «hacking» met als plaatsbestemming «bestuurlijk gebouw», zoals geregistreerd in de ANG op basis van de processen-verbaal, voor de periode 2018-2021 alsook het eerste semester van 2022 en dit op het nationale niveau.

Deze gegevens zijn afkomstig van de databankafsluiting van 18 november 2022. De cijfers voor het tweede semester van 2022 zijn momenteel nog niet beschikbaar.

Tabel: aantal geregistreerde feiten inzake «hacking» met als plaatsbestemming «bestuurlijk gebouw»

		2018	2019	2020	2021	SEM1 2022
Bestuurlijk gebouw	Ambassade/kanselarij/consulaat	1
	Gebouw Europese Unie			3	1
	Gemeente	6	10	9	8
	Ministerie		3	1	1	1
	Niet nader bepaald	4	3	3	4	2
	Totaal:	11	16	16	14	3

Bron: federale politie.

2), 3), 4), 5) & 6) Deze parlementaire vraag valt niet onder mijn bevoegdheden maar behoort tot die van de eerste minister, aan wie het Centre for Cyber Security Belgium (CCB) rapporteert.