Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-10020

de Nele Lijnen (Open Vld) du 4 octobre 2013

à la ministre des Classes moyennes, des PME, des Indépendants et de l'Agriculture

Criminalité informatique - Appareils mobiles - Sécurisation - Tableau général

criminalité informatique
téléphone mobile
protection des données
virus informatique
communication mobile

Chronologie

4/10/2013 Envoi question
28/11/2013 Réponse

Aussi posée à : question écrite 5-10013
Aussi posée à : question écrite 5-10014
Aussi posée à : question écrite 5-10015
Aussi posée à : question écrite 5-10016
Aussi posée à : question écrite 5-10017
Aussi posée à : question écrite 5-10018
Aussi posée à : question écrite 5-10019
Aussi posée à : question écrite 5-10021
Aussi posée à : question écrite 5-10022
Aussi posée à : question écrite 5-10023
Aussi posée à : question écrite 5-10024
Aussi posée à : question écrite 5-10025
Aussi posée à : question écrite 5-10026
Aussi posée à : question écrite 5-10027
Aussi posée à : question écrite 5-10028
Aussi posée à : question écrite 5-10029
Aussi posée à : question écrite 5-10030
Aussi posée à : question écrite 5-10031

Question n° 5-10020 du 4 octobre 2013 : (Question posée en néerlandais)

Depuis ces dernières années, la criminalité informatique progresse dans le monde entier. Les ordinateurs en ont été les premières victimes mais plusieurs experts remarquent que les criminels informatiques déplacent leur activité vers les appareils mobiles (téléphones cellulaires, tablettes,…). Il ressort ainsi du Rapport Norton 2013, un rapport de référence sur la sécurité informatique, que quelque 48 pour cent des utilisateurs de smartphones et de tablettes ne prennent aucune mesure en vue d'assurer la protection de leur appareil mobile. C'est pourtant à conseiller parce que les hackers peuvent y trouver accès à toutes sortes de données personnelles et professionnelles

J'aimerais poser les questions suivantes :

1) A-t-on déjà constaté durant ces trois dernières années des infections de smartphones ou de tablettes par un virus, un maliciel, un logiciel espion, etc. ? Pouvez-vous communiquer le nombre de ces constats ?

2) Avez-vous une idée du nombre de membres du personnel qui ont accès via leur smartphone ou leur tablette à des données professionnelles (par exemple sur le nuage informatique) ? Pouvez-vous communiquer ce nombre ?

3) Si ce n'est pas le cas : estimez-vous nécessaire de mieux cartographier l'usage de smartphones et de tablettes par votre personnel, puisque ces appareils mobiles peuvent donner à des cybercriminels l'accès à des données professionnelles ? Pouvez-vous expliquer votre choix ?

4) Surveille-t-on la connexion des tablettes et des smartphones au système informatique du travail ? Pourquoi le fait-on ou ne le fait-on pas ?

5) Si vos services reçoivent de l'information sur la sécurité informatique et sur les dangers, accorde-t-on aussi de l'attention à la sécurité des appareils mobiles, comme les tablettes et les smartphones ? Si oui, de quelle façon ? Si non, ne pensez-vous pas que cela soit nécessaire ?

6) Connaissez-vous le nombre de membres du personnel qui ont reçu une tablette ou un smartphone de leur employeur ? Pouvez-vous communiquer ces chiffres ?

7) Vos informaticiens sont-ils suffisamment au courant de cette tendance ? Si non, ne pensez-vous pas que ce soit nécessaire ? Si oui, de quelle manière y réagissent-ils ?

Réponse reçue le 28 novembre 2013 :

Pour ce qui concerne l’Agence fédérale pour la Sécurité de la chaîne alimentaire (AFSCA) :

1. Aucun cas n’est connu à l’AFSCA.

2. A l’AFSCA, une quarantaine de membres du personnel sont équipés d’une tablette ou d’un Smartphone de l’AFSCA et peuvent ainsi avoir accès à leurs données professionnelles. Toutefois, via le « webmail » et en utilisant son nom d’utilisateur et son mot de passe, chaque membre du personnel peut accéder à ses données professionnelles depuis un ordinateur, une tablette ou un Smartphone connecté à Internet.

Un membre du personnel pourrait diffuser des données professionnelles via une annexe à un courriel ou via un service Cloud à la Dropbox. C’est pourquoi l’AFSCA a un code de conduite révisé chaque année et que chaque membre du personnel doit respecter.

3. Cfr réponse 2.

4. Provisoirement, seuls les tablettes et Smartphones de l’AFSCA sont autorisés. D’autres appareils ne savent et ne peuvent pas se connecter directement au réseau pour éviter la contamination des réseaux et machines de l’AFSCA par des virus ou autres malwares et éviter que des données professionnelles ne se retrouvent trop facilement sur des appareils non sécurisés. Il existe bien sûr d’autres moyens techniques permettant de placer des données professionnelles sur un appareil portable externe à l’AFSCA, d’où l’importance du code de conduite.

5. L’AFSCA reste vigilante dans tous les domaines de la sécurité. Le cas échéant, les tablettes et Smartphones sont équipés de logiciels de protection de même que tous les ordinateurs connectés au réseau. A côté de cela, l’AFSCA intègre les nouvelles contre-mesures ou dangers dans son code de conduite.

6. Une quarantaine de membres du personnel de l’AFSCA sont équipés d’une tablette ou d’un Smartphone de l’agence.

7. Oui, les techniciens de l’AFSCA se tiennent informés entre autres via des formations, des revues techniques et des informations de la part de fournisseurs. Une réflexion est également en cours à l’AFSCA pour définir comment et quels accès seraient donnés dans le futur aux tablettes ou Smartphones privés des membres du personnel, et ce sans compromettre la sécurité et dans le respect de la réglementation.

Les spécialistes de l’AFSCA travaillent aussi à des moyens techniques plus avancés pour obtenir un meilleur contrôle de chaque appareil qui tente de se connecter à ses réseaux.

Pour ce qui concerne le Bureau d’Intervention et de Restitution belge (BIRB) :

1. Le BIRB n’a pas rencontré à ce jour de problèmes de Smartphones ou de tablettes infectés par un virus, un spyware ou un malware.

2. Il y a plusieurs manières d’accéder aux données professionnelles.

La première, via le « webmail » en https. Dans ce cas, il suffit d’avoir une connexion internet et un navigateur internet pour accéder au compte « e-mail » professionnel (un compte « active directory » valide doit être associé à cet « e-mail »).

Le second moyen pour accéder aux données professionnelles est d’utiliser le client VPN. Pour utiliser cet accès, le membre du personnel doit disposer d’une autorisation spécifique. Il doit avoir une connexion internet et le client VPN doit être installé sur son appareil (Smartphone, tablette, pc).

La troisième manière est de se connecter via un compte « e-mail » de type « ActiveSync » afin de pouvoir faire de la synchronisation de données « mail ». Pour ce faire, il faut un compte « active directory » valide, une boîte e-mail et faire partie d’un groupe spécifique permettant l’accès à cette synchronisation « mail ».

Pour l’accès « webmail », cela peut être le cas pour tous les membres du personnel ayant accès à une boîte mail du BIRB.

Pour l’accès au VPN, cela concerne 69 personnes; il s’agit essentiellement des télétravailleurs.

Pour utiliser la synchronisation du mail, cela concerne 16 personnes (management).

3. Idéalement, le BIRB souhaiterait avoir un meilleur contrôle des connexions distantes et notamment pouvoir vérifier l’état de mise à jour antivirus et de sécurité du système mobile utilisé pour la connexion. Il serait également intéressant d’avoir un contrôle sur ce qui est installé sur le mobile et de pouvoir supprimer les applications indésirables avant d’autoriser la connexion.

4. Le BIRB n’a pas de contrôle sur les Smartphones ou les tablettes qui essaient de se connecter au système. Le firewall a la possibilité soit d’accorder l’accès uniquement à un ensemble restreint d’appareils (via la « Mac address »), soit de laisser la possibilité d’accès à tous les appareils pour peu que l’authentification du compte « active directory » réussisse. La première option, restreindre, a été jugée trop contraignante.

5. Le BIRB a défini des règles de sécurité pour les appareils et les supports mobiles. Ces règles ont été communiquées aux propriétaires d’Ipad et d’IPhone mis à disposition et gérés par le BIRB. Le BIRB a instauré un contrôle de sécurité trimestriel et obligatoire pour tous ces appareils mobiles.

6. Le BIRB a actuellement en fonction 13 IPhone.

Le BIRB a actuellement en fonction 9 Ipads.

7. Les informaticiens du BIRB sont très conscients des avancées technologiques en la matière. Ils suivent ces questions de près. Les IPhone et Ipads sont testés au sein du service informatique du BIRB. Une formation à destination des informaticiens et des utilisateurs classiques portant sur ces nouvelles technologies est prévue dans les semaines qui viennent.

Pour ce qui concerne le Centre d'Étude et de Recherches vétérinaires et agrochimiques (CERVA) :

1. Non.

2. Le CERVA utilise les Smartphones uniquement pour la lecture de mails qui sont “poussés” (PUSH) vers l’appareil mobile (BlackBerry). Actuellement pas de tablettes et pas d’accès réseau pour les appareils mobiles.

3. /

4. A ce jour rien de prévu par le Conseil de Direction. Si tel était le cas Le CERVA équiperait tous les appareils d’un antivirus et reverrait l’architecture du réseau (utilisation de LAN séparés du réseau principal par exemple).

5. Le CERVA n’a à ce jour pas de protection antivirus sur les Smartphones mais cela ne tardera pas étant donné que de plus en plus de ces appareils sont utilisés pour naviguer sur Internet, télécharger... Cependant, le risque réside uniquement au niveau de l’appareil lui-même aujourd’hui puisque ces appareils ne sont pas intégrés dans le LAN du CERVA.

6. Oui. 9 BlackBerry.

7. Le CERVA a deux “Gestionnaire réseau” qui sont aptes à effectuer les installations nécessaires au niveau des appareils mobiles et également aptes à effectuer les modifications au niveau du réseau en cas de besoin (introduction de ces appareils et de tablettes dans le réseau local).

Pour ce qui concerne le Service public fédéral (SPF) Économie :

Je vous renvoie vers la réponse apportée par mon collègue, le vice-premier ministre en charge de l'Économie, des Consommateurs et de la Mer du Nord, Monsieur Johan Vande Lanotte.

En ce qui concerne l’Institut national d’assurances sociales pour travailleurs indépendants (INASTI) :

1. L’INASTI n’a connaissance d’aucun cas de contamination.

2. Une centaine d’agents disposent d’un Smartphone ou d’une tablette mis à disposition par l’INASTI. Un accès direct à des données professionnelles n’est pas possible avec ces outils.

Cependant, tous les agents de l’INASTI peuvent utiliser indirectement les applications et données INASTI par le biais d’un environnement Citrix entièrement protégé et isolé. A cet égard, l’INASTI fait usage du Citrix client sécurisé qui est disponible pour diverses plates-formes comme Windows, Linux, Apple Mac, iOS, Android, Windows Phone, …

3. Puisqu’aucun accès direct à des données professionnelles n’est prévu via des tablettes et des Smartphones, il ne faut pas de mesures de sécurité supplémentaires. (Voir question précédente).

4. Une liaison directe n’est pas possible, seul est prévu un accès indirect via Citrix. (Voir question 2).

5. La protection des appareils mobiles retient une attention toute particulière et l’INASTI s’ efforce de limiter les risques au maximum. C’est d’ailleurs la raison pour laquelle l’INASTI a opté pour un accès indirect et sécurisé au moyen de Citrix. (Voir question 2).

6. 45 Ipads

98 Smartphones

7. Les informaticiens et la conseillère en sécurité de l’INASTI suivent de près toutes les évolutions dans le domaine de la protection, en étroite collaboration avec la BCSS. Si nécessaire, les mesures appropriées sont prises.

En ce qui concerne la DG Indépendants du SPF Sécurité Sociale :

Je ne dispose pas des données demandées pour la DG Indépendants du SPF Sécurité Sociale. En effet, je ne suis compétente que sur le plan de la matière.

Pour toutes les autres questions (personnel, logistique, …) relatives au SPF Sécurité Sociale, et donc aussi pour la DG Indépendants, c’est la vice-première ministre et ministre des Affaires Sociales et de la Santé publique, Madame Onkelinx, qui est compétente.