|
|
la cybercriminalité
criminalité informatique
protection des données
ministère
| 26/2/2014 | Envoi question |
| 8/4/2014 | Réponse |
Requalification de : demande d'explications 5-4717
Eu égard à la cybercriminalité actuelle, je souhaiterais une réponse aux questions suivantes :
1. Pouvez-vous me décrire la situation présente dans vos services ? Ont-ils déjà été la victime de pirates ou de cybercriminels, et dans l'affirmative, combien de fois ?
2. Le nombre de cyberattaques contre vos services a-t-il augmenté ces dernières années ? Pouvez-vous préciser, le cas échéant en donnant des chiffres ?
3. Si vos services ont déjà été la cible d'attaques, quels étaient la nature et les effets de chaque incident ? Par exemple, a-t-on dérobé des informations, attaqué un serveur ou un PC ou saboté une infrastructure ? Pouvez-vous fournir des détails ?
4. Compte tenu des cyberattaques dirigées contre certains services publics, avez-vous pris des mesures en vue de renforcer la sécurité de vos services ? Si oui, lesquelles ? Si non, pourquoi pas ?
5. S'il est ou s'il devait être question d'une cyberattaque sur vos services, quelle est la procédure standard de traitement ?
6. Vos services ont-ils déjà dû s'adresser au parquet à la suite de faits de cybercriminalité, et à combien de reprises ? Pouvez-vous préciser ?
7. Vos services ou votre administration sont-ils tenus de signaler de telles attaques à FEDICT ou à CERT ? Pourquoi (pas) ?
8. Estimez-vous vraisemblable que vos services aient déjà été attaqués par des cybercriminels, mais que ces attaques soient passées inaperçues en raison de techniques flexibles faisant appel à des technologies avancées ?
En ce qui concerne le Service public fédéral (SPF) Mobilité:
Comme vous vous référez à l'actualité récente, le mot « cybercriminalité », dans les présentes questions, est interprété comme des attaques ciblées contre nos services et non comme les menaces générales (virus, logiciels malveillants, espiogiciels, etc.). Pour ces dernières, je vous renvoie à notre réponse à vos questions posées le 13 décembre 2012.
1) Jusqu'à présent, nous n'avons encore détecté aucune attaque (de cybercriminalité) contre nos services.
2) Non. (Voir aussi question 1.) Les chiffres ne sont pas encore disponibles.
3) Pas d’application.
4) Nos règles sont basées sur l'approche ISO 27002. Ce paquet de mesures a pour but de garantir la sécurité de l'information. À côté de cela, nous essayons aussi de détecter des comportements aberrants sur le réseau afin de repérer d'éventuelles attaques non encore identifiées.
5) Nous parlons dans ce cas d'une procédure d'urgence au lieu d'une procédure standard. Lorsqu'une application est compromise, les étapes principales de la procédure sont les suivantes :
L'application sera placée le plus vite possible sous quarantaine et il sera interdit d'apporter une quelconque modification à la configuration ou à l'application tant que l'enquête n'est pas clôturée.
Le parquet, le Computer Emergency Response Team (CERT) et Service public fédéral Technologie de l'information et de la communication (FEDICT) seront avertis.
Dans le cas où cela concerne une application critique au niveau opérationnel, une nouvelle installation sera prévue pour garantir la continuité du service pendant la durée de l'enquête.
6) Non. (Voir réponse 1.)
7) Chaque détection d'attaque ciblée contre nos services sera signalée à
Fedict en CERT pour avertir d'une part d'autres services et pour demander d'autre part une éventuelle aide si cela s'avère nécessaire.
Le parquet.
8) Le risque est réel et dépend notamment de la valeur des données qu'on voudrait s'approprier de cette manière.
Pour ce qui concerne le SPF Santé Publique et Environnement:
1) Le réseau local est protégé par un pare-feu qui régule les connexions réseau depuis et vers l'internet. L'accès aux sites internet est filtré par un proxy de manière à bloquer l'accès à des sites « dangereux » connus. Seules des connexions VPN sont autorisées via SSLVPN pour autant que le PC soit pourvu d'un scanner antivirus actif actualisé. Nos serveurs offrant des services au public/externes (site web public, messagerie, appplications telles que Portahealth et Absentéisme, ...) sont protégés par un "reverse proxy". Toutes les machines Windows sont équipées de McAfee Antivirus et McAfee SiteAdvisor .
Aucune trace d'attaque ciblée contre nous n'a jamais été observée.
2) Le nombre de détections du scanner antivirus a augmenté. Aucune information historique n'est disponible à ce sujet. Aucune statistique des attaques constatées par les systèmes de protection du réseau (pare-feu, reverse proxy) n'est disponible.
3) Aucun incident n'est connu.
4) On s'efforce toujours d'actualiser les logiciels présents sur les différents appareils. En outre, sur chaque PC, l'antivirus est actualisé autant que possible, tant la version du logiciel que les définitions de virus.
En réponse aux cas signalés dans la presse d'attaques récentes et de menaces au sein d'autres instances, diverses mesures à court terme ont été prises au niveau du réseau:
Les systèmes majeurs de protection du réseau ont été actualisés, certains réglages de sécurité ont été vérifiés.
Le DNS externe a été transformé en DNS sur autorisation.
Une nouvelle règle d'accès a été configurée sur le pare-feu et les systèmes « edge ». Cette règle peut être activée en cas d'attaque en cours. Lorsqu'elle est activée, cette règle bloque la toute grande majorité des adresses IP situées à l'étranger.
Une liste a été établie reprenant les coordonnées d'instances pouvant être consultées en cas d'attaque (Fedict, Rapid Response Team Checkpoint et CERT.be).
À plus long terme, d'autres actions seront entreprises et l'implémentation d'une sécurisation supplémentaire du réseau sera examinée.
Mises à jour non courantes de l'appareillage réseau
Meilleure connexion avec analyse de l'activité réseau
Recherche de modules de sécurisation supplémentaires (comme AFM et ASM pour le reverse proxy (F5 BIG-IP))
Recherche d'une solution IPS/IDS
Recherche d’une solution d’accès pour les terminaux mobiles
En fonction du temps et des moyens disponibles, ces mesures entraîneront une meilleure protection du réseau.
5) L'attaque sera atténuée aussi bien que possible à l'aide des moyens disponibles. Le service chargé de la sécurité au SPF, de même que Fedict, seront informés et sollicités pour fournir aide et conseils.
Une procédure de gestion d’incidents de sécurité est en cours de développement (selon les principes d’ITIL V3) impliquant des procédures d’escalade, des schémas standards de résolution, l’appel à un IRT (incident response team)
6) Non.
7) Le conseiller en sécurité de notre SPF demande de signaler tout incident de sécurité. Ce service se charge de la suite du traitement.
Le SPF n’est pas obligé de communiquer les incidents de sécurité à FedICT ou au CERT, aucune loi contraignante n’existe.
Par contre, les législations Registre National, BCSS, e-Health et FediCT imposent un rapportage au Comité de Direction du SPF de la part du Conseiller en Sécurité
Les incidents qui touchent les données tombant sous l’application des légilsations bcss, e-health, reach et biocides sont, par application de normes de sécurité spécifiques, communiquées aux organismes centralisateurs correspondants (BCSS/e-Health ou ECHA)
De façon plus générale, et en application des principes de bonne gestion de la sécurité de l’information (normes ISO 27xxx), les incidents de sécurité futurs devraient être communiqués systématiquement aux partenaires concernés.
8) Il est possible que des attaques ou tentatives d'attaque aient eu lieu contre nos services. Aucune panne, aucun dysfonctionnement n'ont toutefois été constatés ni signalés, ni par les administrateurs de systèmes ni par les utilisateurs.
Pour ce qui concerne le SPF Économie :
En ce qui concerne le SPF Économie, PME., Classes moyennes et Énergie, je renvoie l’honorable membre vers la réponse apportée par mon collègue, le vice-premier ministre et ministre de l'Économie, des Consommateurs et de la mer du Nord, à la question n° 5-9900.