Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-10019

de Nele Lijnen (Open Vld) du 4 octobre 2013

à la vice-première ministre et ministre des Affaires sociales et de la Santé publique, chargée de Beliris et des Institutions culturelles fédérales

Criminalité informatique - Appareils mobiles - Sécurisation - Tableau général

criminalité informatique
téléphone mobile
protection des données
virus informatique
communication mobile

Chronologie

4/10/2013 Envoi question
18/12/2013 Rappel
30/1/2014 Rappel
5/3/2014 Requalification
21/3/2014 Réponse

Aussi posée à : question écrite 5-10013
Aussi posée à : question écrite 5-10014
Aussi posée à : question écrite 5-10015
Aussi posée à : question écrite 5-10016
Aussi posée à : question écrite 5-10017
Aussi posée à : question écrite 5-10018
Aussi posée à : question écrite 5-10020
Aussi posée à : question écrite 5-10021
Aussi posée à : question écrite 5-10022
Aussi posée à : question écrite 5-10023
Aussi posée à : question écrite 5-10024
Aussi posée à : question écrite 5-10025
Aussi posée à : question écrite 5-10026
Aussi posée à : question écrite 5-10027
Aussi posée à : question écrite 5-10028
Aussi posée à : question écrite 5-10029
Aussi posée à : question écrite 5-10030
Aussi posée à : question écrite 5-10031
Requalifiée en : demande d'explications 5-4865

Question n° 5-10019 du 4 octobre 2013 : (Question posée en néerlandais)

Depuis ces dernières années, la criminalité informatique progresse dans le monde entier. Les ordinateurs en ont été les premières victimes mais plusieurs experts remarquent que les criminels informatiques déplacent leur activité vers les appareils mobiles (téléphones cellulaires, tablettes,…). Il ressort ainsi du Rapport Norton 2013, un rapport de référence sur la sécurité informatique, que quelque 48 pour cent des utilisateurs de smartphones et de tablettes ne prennent aucune mesure en vue d'assurer la protection de leur appareil mobile. C'est pourtant à conseiller parce que les hackers peuvent y trouver accès à toutes sortes de données personnelles et professionnelles

J'aimerais poser les questions suivantes :

1) A-t-on déjà constaté durant ces trois dernières années des infections de smartphones ou de tablettes par un virus, un maliciel, un logiciel espion, etc. ? Pouvez-vous communiquer le nombre de ces constats ?

2) Avez-vous une idée du nombre de membres du personnel qui ont accès via leur smartphone ou leur tablette à des données professionnelles (par exemple sur le nuage informatique) ? Pouvez-vous communiquer ce nombre ?

3) Si ce n'est pas le cas : estimez-vous nécessaire de mieux cartographier l'usage de smartphones et de tablettes par votre personnel, puisque ces appareils mobiles peuvent donner à des cybercriminels l'accès à des données professionnelles ? Pouvez-vous expliquer votre choix ?

4) Surveille-t-on la connexion des tablettes et des smartphones au système informatique du travail ? Pourquoi le fait-on ou ne le fait-on pas ?

5) Si vos services reçoivent de l'information sur la sécurité informatique et sur les dangers, accorde-t-on aussi de l'attention à la sécurité des appareils mobiles, comme les tablettes et les smartphones ? Si oui, de quelle façon ? Si non, ne pensez-vous pas que cela soit nécessaire ?

6) Connaissez-vous le nombre de membres du personnel qui ont reçu une tablette ou un smartphone de leur employeur ? Pouvez-vous communiquer ces chiffres ?

7) Vos informaticiens sont-ils suffisamment au courant de cette tendance ? Si non, ne pensez-vous pas que ce soit nécessaire ? Si oui, de quelle manière y réagissent-ils ?

Réponse reçue le 21 mars 2014 :

1) Aucune panne, aucun dysfonctionnement liés à une possible cyber-attaque via mobile n'ont jamais été constatés ni signalés, ni par les administrateurs de systèmes ni par les utilisateurs

2) Les polices de sécurité actuelles ne permettent pas l’accès à des données professionnelles dans des systèmes ‘cloud’ non autorisés. L’accès aux systèmes internes est réalisé pour 207 comptes de messagerie différents.

3) Depuis 2011, le service ActiveSync d’Exchange est activé et utilisable par tout agent possédant un terminal mobile (smartphone ou tablette) pour se connecter à sa messagerie électronique professionnelle.

4) Un accès limité est prévu via Wi-Fi et SSLVPN pour les tablettes et smartphones. Le Wi-Fi permet la synchronisation d'e-mails et SSLVPN permet d'accéder au site intranet et aux disques partagés. Tous les appareils mobiles et externes obtiennent l'accès au niveau limité à condition de respecter un certain nombre (restreint) de règles de sécurité et pour autant que leur système d'exploitation soit supporté par le Service public fédéral (SPF). Les appareils sont isolés par un pare-feu du reste du réseau interne. L'intention est, à l'avenir, d'augmenter fortement à la fois le niveau de sécurité et les services offerts par l'utilisation de Netwerk Access Control (NAC) et de Mobile Device Management (MDM).

5) Les services techniques du SPF pratiquent la veille technologique, et sont sensibilisés aux risques liés aux nouvelles technologies. Différentes sources d’informations techniques à caractère sécuritaire sont suivies en permanence, et en cas d’alerte, les recommandations sont appliquées d’urgence.

6) Les profils de communication officiels du service logistique ont dénombré 184 agents ayant un profil doté de smartphone ou de tablette. 384 terminaux mobiles différents ont été connectés depuis 2011, dont 297 encore actifs en 2013, représentant en réalité environ 200 agents.

7) Le travail mobile est devenu une nécessité sociétale, en particulier pour les fonctions nécessitant une connexion permanente (top managers, communication, inspection, gestion des crises et gardes, etc.). Les risques sont en cours d’évaluation et des solutions techniques de contrôle à distance des appareils mobiles vont être évaluées prochainement.

Les techniciens des services de supports devront également être formés aux nouveaux produits et techniques afin d’assurer le niveau de qualité du service et la sécurité optimale des données embarquées dans les terminaux. 

SPF Sécurité Sociale. 

1)  À notre connaissance, il n’y a eu, durant ces trois dernières années, aucun constat.

2)  Oui. 165 membres du personnel du SPF ont accès via leur smartphone ou leur tablette à des données professionnelles qui se trouvent sur le mailserver : messages électroniques, contacts et calendrier.

En outre, le SPF offre le même service au Service de médiation Pensions et aux collaborateurs du Cabinet du ministre des Pensions et du Secrétaire d’État aux Affaires sociales, aux Familles et aux Personnes handicapées : 39 personnes 

3)  Pas d’application 

4)  Oui. Le SPF autorise la connexion des tablettes et des smartphones au mailserver interne. La surveillance de cette connexion permet, entre autres, de faire appliquer certaines politiques telles que l’obligation d’utiliser un mot de passe sur l’appareil mobile. De même, il est possible, en cas d’incident (perte, vol, etc.), d’interrompre la connexion et d’effacer à distance des données sur l’appareil mobile. 

5)  Oui. La sécurité des appareils mobiles fait l’objet d’une attention. Ces appareils ne peuvent établir une connexion qu’avec le mailserver, ils n’ont pas accès au réseau interne du SPF, pas plus qu’aux application et aux données. 

6)  Oui. Il s’agit de 150 membres du personnel. 

7)  Oui. Les informaticiens du SPF sont bien au courant de cette tendance. Différents séminaires ont été organisés à cet effet. De la sorte, en matière de sécurisation, les possibilités des matériels et logiciels existants sont exploitées au maximum. De plus, une étude a été réalisée concernant le « mobile device management ». 

Institut national d’assurance maladie-invalidité (INAMI)

1.) Aucune constatation de ce type n’a été faite. 

2.) Il n’y a aucun accès direct possible vers les services Cloud à partir du réseau de l’INAMI. Les filtres Internet bloquent l’accès vers des sites tels que DropBox, en plus, le transfert automatique des messages électroniques des boîtes de messagerie professionnelles vers les boîtes de messagerie privées est également bloqué. Néanmoins, un utilisateur peut contourner ces mesures et mettre des fichiers professionnels dans le Cloud public.

Afin de conscientiser le personnel sur ces risques, l’INAMI a implémenté un code de bonne conduite pour l’usage du Cloud.

Un nombre limité de smartphone a un accès au mail professionnel.

3.) En prévision de la disparition de la plateforme BlackBerry, l’INAMI ai préparé une nouvelle politique d’accès pour les appareils mobiles qui fixe les modalités à suivre pour accéder aux systèmes professionnels à partir de ces appareils. 

4) Il n’y aucun accès direct sur le réseau de l’INAMI à partir des tablettes et smartphones. Toutefois, on peut accéder à l’Internet via le réseau sans-fils de l’INAMI, sans pour autant accéder aux systèmes du réseau de l’INAMI. 

Un groupe cible restreint peut accéder au système email professionnel via la plateforme MobileIron de la Smals. Les règles suivantes sont imposées au niveau des smartphones et tablettes :

5.) Oui, voir point 4 de la question.

Le service informatique assure  une veille technologique continue en collaboration avec la Smals. 

6. Il y a une cinquantaine de BlackBerries en utilisation

Une dizaine de tablettes iPads

Puis il y a 5 iPad et smartphones Android confondus propres aux utilisateurs (BYOD) qui ont accès aux mails professionnelsvia la plateforme MobileIron de la Smals (voir point 4 de la question) 

7.) Le service informatique assure une veille technologique et suit les tendances de l’informatique « mobile » en collaboration avec la Smals.

Une nouvelle politique d’accès pour les appareils mobiles est en préparation. Elle fixera les modalités à suivre pour accéder aux systèmes professionnels à partir de ces appareils 

Office national de sécurité sociale (ONSS) 

1.) À ce jour, l’ONSS n’a constaté aucune contamination de quelque nature que ce soit de ses smartphones/tablettes. 2.) 16 utilisateurs  ont actuellement, uniquement accès à leur courriels professionnels par le biais d’un Blackberry et/ou d’un Ipad. Cet accès s’obtient sur des serveurs sécurisés par la Smals. Le trafic de données entre la Smals et l’ONSS s’effectue sur une ligne  Belgacom.

En raison de réunions externes, un utilisateur a recours au cloudservice “Dropbox” sur un Ipad. Les fichiers ne sont enregistrés sur ce compte que le temps nécessaire à son travail, de sorte que le risque d’exposition est minimal.

Dès que la Smals mettra son propre sharepoint en production, l’Office passera dans son environnement. 

3.) Pas d’application suite à la réponse au point 2 de la question. 

4.) La connexion de tablettes ou de smartphones au réseau informatique de l’ONSS est très réglementée. A ce jour, la politique de l’ONSS n’est pas celle du “bring your own device” de sorte qu’en tant qu’institution, l’Office garde le contrôle sur la nature des smartphones/tablettes qui obtiennent un accès. Ceci permet l’Office d’exclure déjà de l’analyse des risques les appareils affichant un profil à risque élevé.

Tout utilisateur de cette technologie est par ailleurs tenu de respecter un code déontologique qui est adapté, le cas échéant. 

5.) La presse quotidienne et les sites spécialisés sont régulièrement consultés.

La Smals avertit l’ONSS de certaines situations à risque. Ceci concerne également la sécurité des appareils mobiles (par exemple: le risque de sécurité lié à la consultation de documents PDF par le biais de l’application Adobe prévue à cet effet sur les Blackberry, les risques de sécurité inhérents à une mise à jour immédiate en IOS 7.0 sur les ipads).

Voici les mesures mises en oeuvre:

6.) 16 utilisateurs disposent d’un smartphone de type Blackberry et 8 d’entre eux disposent également d’une tablette de type Ipad. 

7.) Oui, ils réagissent de la façon suivante:

Caisse auxiliaire d'assurance maladie-invalidité (CAAMI) 

1). Non, il n’y pas eu de cas constaté. 

2.) Il y a 1 personne qui a accès à des données professionnelles en utilisant un smartphone ou tablette. 

3.) Pas d’application suite à la réponse au point 2 de la question. 

4.) Non. La politique de sécurité interdit ce genre de pratique. Les postes de travail sont déjà protégés par un antivirus. 

5.) Les appareils dont la CAAMI dispose actuellement ont des sécurités intégrées. Cependant lors du renouvellement de ces appareils une attention particulière devra être apportée pour leur sécurisation. 

6.) 42  membres du personnel ont reçu une tablette ou un smartphone de la CAAMI. 

7.) Non, la Caisse  trouve que ses informaticiens ne sont pas suffisamment au courant de cette tendance. L’organisme est d’avis qu’il est effectivement nécessaire de sensibiliser davantage ses informaticiens  à cette problématique. 

Office national de sécurité sociale des administrations provinciales et locales (ONSSAPL) 

1.) Aucune panne, aucun dysfonctionnement liés à une possible cyber-attaque via mobile n'ont jamais été constatés ni signalés, ni par les administrateurs de systèmes ni par les utilisateurs 

2. L’ONSSAPL n’utilise pas le Cloud Computing, Certains utilisateurs accèdent à leurs Emails via Blackberry. 

3.) Non, les Blackberry n’ont aucun d’accès direct au le réseau de l’ONSSAPL 

4.) L’ONSSAPL dispose d’un serveur Blackberry connecté au réseau. C’est uniquement par ce serveur dédicacé Blacberry que l’utilisateur peut accéder à ses E-mails via Blackberry. 

5.) Les services techniques de l’ONSSAPL pratiquent la veille technologique, et sont sensibilisés aux risques liés aux nouvelles technologies.Différentes sources d’informations techniques à caractère sécuritaire sont suivies en permanence, et en cas d’alerte, les recommandations sont appliquées d’urgence. 

6.) L’ONSSAPL dispose de 26 smartphones Blackberry. 

7.) Le travail mobile est devenu une réalité pour bon nombre d’agents, en particulier pour les fonctions nécessitant une connexion permanente (top managers, gestion des crises et gardes, etc.).Les techniciens des services de supports devront également être formés aux nouveaux produits et techniques afin d’assurer le niveau de qualité du service et la sécurité optimale des données embarquées dans les terminaux. 

Caisse de secours et de prévoyance en faveur des marins (CSPM) 

1.) La CSPM n'utilise pas de smartphones ou de tablettes.

2.) Les membres du personnel n'ont pas accès aux données professionnelles au moyen de leur propre smartphone.  

3.) Pas d’application suite à la réponse au point 2 de la question. 

4.) La connexion des tablettes et des smartphones au système informatique n'est pas spécifiquement surveillée étant donné que la CSPM n'en utilise pas. Si le service de sécurité agréé de la CSPM formulait des avis afin de mieux sécuriser l'utilisation des smartphones ou des tablettes, la CSPM teindra compte de ces avis.  

5.) La CSPM est affiliée auprès du service de sécurité agréé de la Smals. Les avis de ce service de sécurité agréé sont mis en œuvre.  

6.) Aucun membre du personnel n'a reçu un smartphone ou une tablette. 

7.) La CSPM a 1 collaborateur ICT interne et 1 externe. Ils sont au courant des nouvelles tendances. Ils sont toujours associés aux procédures de sécurité ICT. 

Office du sécurité sociale d’outre-mer (OSSOM)

 1.) L’OSSOM ne dispose ni de smartphones ni de tablettes.

2.) Les membres du personnel de l’OSSOM n’ont pas accès à des informations professionnelles via leur smartphone ou leur tablette. 

3.) Il pourrait être utile d’inventorier l’usage des smartphones et tablettes. 

4.) Un scan régulier du réseau LAN interne permet de vérifier si des smartphones ou des tablettes y sont connectés. 

5.) Oui, le contrôle est opéré via le consultant en sécurité de l’information de l’OSSOM qui veille au respect des normes minimales en matière de sécurité de l’information (imposées par la BCSS). 

6.) Aucun membre du personnel n’a reçu de smartphone ou de tablette du travail. 

7.) Oui, les informaticiens de l’OSSOM sont suffisamment au courant de cette tendance, la problématique du BYOD (Bring Your Own Device) est bien connue.

Un scan régulier du réseau LAN interne est réalisé pour détecter éventuellement ces appareils et ensuite les déconnecter. 

Office de contrôle des mutualités et des unions nationales de mutualités (OCM) 

1.) Aucun membre du personnel de l'Office de contrôle des mutualités et des unions nationales de mutualités n'utilise de smartphone ou de tablette à des fins professionnelles.

2 et 4.) L'accès au réseau informatique de l'Office de contrôle est sécurisé par la biais d'un système d'authentification qui empêche tout accès audit réseau via une tablette ou un smartphone. 

3.) Pas d’application suite à la réponse au point 2 de la question. 

5.) L'Office de contrôle n'a jusqu'à présent pas reçu d'information spécifique concernant la protection des appareils mobiles tels que les tablettes ou smartphones. Une telle information n'est pour le moment pas nécessaire dans la mesure où aucun membre du personnel de l'Office utilise un smartphone ou une tablette à des fins professionnelles. Toutefois, si à l'avenir des tablettes ou smartphones devaient être mis à disposition de tout ou partie des membres du personnel, il va de soi que l'attention nécessaire sera portée à la sécurisation desdits tablettes et smartphones. 

6.) Aucun membre du personnel n'a reçu un smartphone ou une tablette.  

7.) Oui. Afin de tenir compte du danger accru de contamination par le biais, entre autres, d'une tablette ou d'un smartphone, un inventaire permanent des logiciels présents sur tous les ordinateurs, ainsi qu'un contrôle permanent des mises à jour des antivirus et des détecteurs d'attaques ont été mis en place. 

Banque-carrefour de la sécurité sociale + Plate-forme eHealth 

1.) La Banque-carrefour de la sécurité sociale et la plate-forme eHealth ne mettent, pour l’instant, ni smartphones ni tablettes à la disposition de ses collaborateurs, dans le cadre de l'accomplissement de leurs tâches professionnelles. 2.) Les collaborateurs de la BCSS ne peuvent pas avoir accès au réseau professionnel interne de la BCSS via leur smartphone privé ou leur tablette privée. Cet accès n’est rendu possible que par des moyens techniques appropriés (système de gestion des accès). 

3 et 4.) Pas d’application, compte tenu de la réponse donnée à la question 2. 

5 et 7.) Dans le cadre de l’ISMS (Information Security Management System) de la sécurité sociale, le groupe de travail « sécurité de l’information », créé au sein du Comité Général de Coordination de la BCSS, a déjà mis en place une politique (la politique ISMS.046 ), laquelle inclut des directives pour l’utilisation d’appareils mobiles au sein des institutions de sécurité sociale, et ce à des fins professionnelles. Cette politique s’applique tant aux appareils mobiles mis à disposition par l’institution qu’aux appareils mobiles privés. 

6.) Aucun membre du personnel n’a reçu un smartphone ou une tablette de l’employeur.