Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 4-6672

de Bart Tommelein (Open Vld) du 29 janvier 2010

à la ministre des PME, des Indépendants, de l'Agriculture et de la Politique scientifique

Internet - Sites des autorités publiques - Sécurisation

administration publique
ministère
Internet
site internet
criminalité informatique
protection des données
piratage informatique
administration électronique

Chronologie

29/1/2010Envoi question (Fin du délai de réponse: 4/3/2010)
8/3/2010Réponse

Aussi posée à : question écrite 4-6664
Aussi posée à : question écrite 4-6665
Aussi posée à : question écrite 4-6666
Aussi posée à : question écrite 4-6667
Aussi posée à : question écrite 4-6668
Aussi posée à : question écrite 4-6669
Aussi posée à : question écrite 4-6670
Aussi posée à : question écrite 4-6671
Aussi posée à : question écrite 4-6673
Aussi posée à : question écrite 4-6674
Aussi posée à : question écrite 4-6675
Aussi posée à : question écrite 4-6676
Aussi posée à : question écrite 4-6677
Aussi posée à : question écrite 4-6678
Aussi posée à : question écrite 4-6679
Aussi posée à : question écrite 4-6680
Aussi posée à : question écrite 4-6681
Aussi posée à : question écrite 4-6682
Aussi posée à : question écrite 4-6683
Aussi posée à : question écrite 4-6684
Aussi posée à : question écrite 4-6685

Question n° 4-6672 du 29 janvier 2010 : (Question posée en néerlandais)

Le Nederlandse Government Computer Emergency Response Team (GOVCERT), l'organe consultatif de l'État néerlandais en matière informatique, fait état, dans son rapport annuel, d'une augmentation des risques de fraude concernant des données des autorités publiques et des citoyens.

Deux mois après la parution du rapport GOVCERT, la sécurité des sites des autorités publiques néerlandaises a été fortement mise en doute par Networking4all. Cette entreprise amstellodamoise de technologies de l'information et de la communication (TIC) a signalé l'absence de verrou digital sur la plupart des sites des autorités publiques, le certificat SSL (Secure Socket Layer). Ce certificat, reconnaissable au code “https” inséré dans la barre d'adresse sécurise la connexion entre l'ordinateur de l'utilisateur et le serveur des autorités publiques.

Je souhaiterais dès lors vous poser les questions suivantes :

1. Que fait-on pour assurer la protection, contre le piratage, de votre site web ainsi que de ceux des services publics fédéraux ou d'autres services relevant de votre compétence et qui ont leur propre site web?

2. Avez-vous connaissance de cas de vol de données privées sur les sites web de votre cellule stratégique, le vôtre ou ceux des services publics fédéraux et autres services et agences relevant de votre compétence, et combien de données personnelles ou autres ont-elles été dérobées lors de chaque incident?

3. Combien de fois les sites web de votre cellule stratégique, le vôtre ou ceux des services publics fédéraux et autres services relevant de votre compétence ont-ils fait l'objet de tentatives de vol de données privées ou autres? Avez-vous déposé plainte et si non, pourquoi? Si oui, les auteurs ont-ils été arrêtés ?

4. Les sites web de votre cellule stratégique, le vôtre ou ceux des services publics fédéraux et autres services et agences relevant de votre compétence disposent-ils tous d'un certificat SSL ou d'un autre verrou digital? Dans la négative, pourquoi et quand en seront-ils dotés?

5. Croyez-vous en la nécessité de prendre de nouvelles mesures pour renforcer la protection des sites des autorités publiques et si oui, lesquelles?

Réponse reçue le 8 mars 2010 :

En ce qui concerne l' Agence fédérale pour la sécurité de la chaîne alimentaire (AFSCA)

1. L’honorable membre comprendra qu’il n’est pas possible de donner une réponse détaillée. Les sites web de l’AFSCA sont protégés contre des hackers, dans les limites de ce qui est utile et nécessaire.

2. Jusqu’à présent l’AFSCA n’a pas constaté de vols de données privées .

3. Il n’a pas été constaté de tentatives de vol de données privées.

4. À part le site public : www.afsca.be , où ne se trouvent pas de données privées, tous les sites de l’AFSCA sont protégés par un certificat-SSL.

5. Une meilleure protection est toujours possible. Il n’est cependant pas prudent de traiter de moyens de sécurité en public.

En ce qui concerne le Centre d'Étude et de Recherches vétérinaires et agrochiomiques (CERVA):

1) Nous ne disposons à ce jour que d'un seul site public http://www.var.fgov.be. Ce site ne contient aucune donnée sensible et se trouve hébergé sur un serveur Linux situé dans la Demilitarized zone (DMZ) (Zone tampon située entre le réseau local et l'extérieur). Entre cette DMZ et notre réseau interne un firewall a été installé et nous permet la gestion des accès et la protection contre les tentatives d'intrusions. Le site étant la vitrine de notre société, il est destiné à tout public; aucune information publiée n'a un caractère confidentiel ou sensible; une ligne https ne se justifie donc pas. De plus un backup journalier est réalisé, ce qui nous permettrait de rétablir l'environnement complet (application et données comprises) endéans un laps de temps relativement court si un intrus venait à modifier nos pages et données WEB.

D'ici la fin 2011 nous prévoyons de développer un "Extranet Client". Le but sera de leur permettre de consulter en ligne le résultat des analyses vétérinaires et agrochimiques les concernant. La situation sera évidemment différente puisque dans ce cas là les données seront sensibles et confidentielles.

Des mesures de sécurité sont déjà envisagées telles que:

Ce projet est en cours d'étude.

2) - aucun connu à ce jour

3) - pas d'essais détectés depuis mon entrée en service au CERVA (novembre 2005), mais le site était ancien. Notre nouveau site a été mis en production il y a un mois.

4) - Oui, pour le webmail. Il s'agit d'un certificat interne car il est uniquement destiné à nos utilisateurs.

En ce qui concerne le Bureau d’Intervention et de Restitution belge (BIRB)

1. Nous disposons d’une infrastructure sûre (présence d’un certificat SSL, du firewall CheckPoint et du proxy BlueCoat). Les utilisateurs ne peuvent se connecter qu'après avoir introduit un nom d'utilisateur et un mot de passe unique.

2. Aucun(e).

3. Pas de tentative.

4. Notre site web dispose d'un certificat SSL.

5. Pas pour l’instant.

En ce qui concerne le Service public fédéral (SPF) Économie :

Je me réfère à la réponse apportée à la question n° 4-6677 du 29 janvier 2010 par mon collègue le ministre pour l’Entreprise et la Simplification concernant la même matière.

En ce qui concerne l’Institut national assurances sociales pour travailleurs indépendants (INASTI)

1. L'approche en matière de sécurité pour ce qui est des sites web de l'INASTI repose sur la série de normes ISO 27000. Ces normes traitent de mesures de sécurité à tous les niveaux possibles (par exemple protection physique, sécurité d'accès logique, sécurité dans le domaine du développement de systèmes).

Cela résulte notamment dans le déploiement des systèmes de sites web dans différentes zones de sécurité.

Entre ces zones de sécurité, le trafic est limité à ce qui est strictement nécessaire et dans les zones, on contrôle en permanence les accès non autorisés (au moyen d'un Intrusion Detection System).

Par ailleurs, les accès aux sites web (par exemple via Internet), qui visent des informations confidentielles, sont eux aussi soumis à des contrôles spécifiques par l'utilisation de protocoles techniques (ex. secured sockets layer ou SSL) et de moyens d'authentification adéquats (les certificats SSL en sont un élément).

De plus, aucun système informatique de l'INASTI n'est directement accessible depuis l'extérieur. Toutes les communications vers et au départ d'Internet doivent passer par toute une batterie de pare-feu, serveurs mandataires (inversés), détecteurs de virus, systèmes de détection d'intrusion, web content scanners. À cet égard, on fait toujours application de la philosophie trust no one, tout le trafic Internet étant soumis à des contrôles répétés tant par l'INASTI que par les gestionnaires de l'Extranet de la Sécurité sociale.

Enfin, l'ensemble des applications et systèmes d'administration en ligne, que l'on peut atteindre via Internet est régulièrement soumis à un audit de sécurité externe par des auditeurs spécialisés dans le domaine.

2. Nous ne connaissons aucun cas à ce jour.

3. Il arrive que tous les sites web soient attaqués – généralement dans un cadre plus vaste par des organisations ou des individus pour tester les faiblesses de toute une série de sites web, dans l'espoir de tomber sur une lacune en matière de sécurité.

De par l'approche en matière de sécurité précédemment évoquée, le site web de l'INASTI est bien protégé contre ces problèmes.

Jusqu'à présent, nous n'avons pas encore constaté d'attaques spécifiques ou de tentatives de vol et aucune plainte n'a par conséquent été déposée.

4. L'accès, via Internet, au site web de l'INASTI (et aux parties qui permettent l'accès à des informations confidentielles) est toujours protégé au moyen du protocole SSL.

Ainsi, on assure non seulement la confidentialité de la communication, le protocole SSL est également utilisé à d'autres fins comme l'authentification des partenaires en termes de communication.

L'authentification d'un site web pour un utilisateur est réalisée par un système dont fait partie le certificat SSL.

En fonction de l'application, l'authentification de l'utilisateur peut elle aussi être exigée – dans ce cadre, on exige également un certificat SSL de l'utilisateur.

5. La sécurité est un processus permanent. L'évolution des risques en matière de sécurité de l'information et les possibilités de défense bénéficient dès lors d'un suivi permanent. En fonction de cela, on prend, si nécessaire, des mesures de sécurité supplémentaires.

On travaille en concertation avec les partenaires de la sécurité sociale, en tendant vers une synergie maximale par le biais de différentes plates-formes de concertation et de différents canaux d'information, sous les auspices de la BCSS et du comité sectoriel.

En qui concerne la DG Indépendants :

Je ne dispose pas des données demandées pour la DG Indépendants du SPF Sécurité Sociale. En effet, je ne suis compétente que sur le plan de la matière.

Pour toutes les autres questions (personnel, logistique, …) relatives au SPF Sécurité Sociale, et donc aussi pour la DG Indépendants, c’est la Ministre des Affaires Sociales qui est compétente.

En ce qui concerne la Politique scientifique fédérale (PSF):

1. Les sites web de la PSF sont protégés par un firewall destiné à filtrer les entrées. Ce logiciel comporte en outre un système de détection d’attaques (intrusion detection). L’accès aux informations protégées se fait au moyen de mots de passe complexes. En outre, le contrôle des adresses IP permet de rendre certaines données accessibles seulement à certains réseaux.

2. Les sites de la PSF ne contiennent pas de données personnelles.

3. À ce jour, il n’y a pas eu d’intrusion qui aurait permis de voler des informations protégées ou de causer des préjudices au contenu ou au fonctionnement des sites de la PSF.

4. La PSF ne dispose pas pour l’instant de certificat SSL. Ce type d’accès sera mis au point en 2010 pour certains de ses sites.

5. La PSF va procéder dans le courant de cette année à une mise à jour de ses systèmes (Windows 2008 R2) et à la virtualisation de ses serveurs web.

En ce qui concerne mon site :

1. Mon site internet est hébergé sur un serveur sécurisé avec une infrastructure LAMP (Linux/Apache/MySQL/PHP). L’accès au local du serveur est sécurisé. Un pare-feu est mis en place pour filtrer les connexions entrantes. L’accès au module administrateur est protégé par un mot de passe complexe.

2. Mon site internet ne contient pas de données personnelles, excepté la liste d’adresses des abonnés de la newsletter. L’accès à cette liste d’adresses se fait au moyen d’un module administrateur protégé par un mot de passe complexe.

3. À ce jour, il n’y a pas eu d’intrusion dans le module administrateur de mon site internet.

4. Mon site internet ne dispose pas de certificat SSL. Les internautes n’ayant pas la possibilité d’envoyer des informations, il n’est pas nécessaire d’encrypter le trafic.

5. Non, je ne pense pas que d’autres mesures sont à recommander pour mieux protéger les sites des autorités publiques.