|
|
Services publics - Cyberattaques - Sécurisation informatique - Logiciels de protection - Formation du personnel
criminalité informatique
protection des données
statistique officielle
virus informatique
Belnet
ministère
| 13/12/2012 | Envoi question |
| 25/9/2013 | Rappel |
| 29/10/2013 | Rappel |
| 3/12/2013 | Requalification |
| 18/12/2013 | Réponse |
Aussi posée à : question écrite 5-7566
Aussi posée à : question écrite 5-7567
Aussi posée à : question écrite 5-7568
Aussi posée à : question écrite 5-7569
Aussi posée à : question écrite 5-7570
Aussi posée à : question écrite 5-7571
Aussi posée à : question écrite 5-7573
Aussi posée à : question écrite 5-7574
Aussi posée à : question écrite 5-7575
Aussi posée à : question écrite 5-7576
Aussi posée à : question écrite 5-7577
Aussi posée à : question écrite 5-7578
Aussi posée à : question écrite 5-7579
Aussi posée à : question écrite 5-7580
Aussi posée à : question écrite 5-7581
Aussi posée à : question écrite 5-7582
Aussi posée à : question écrite 5-7583
Aussi posée à : question écrite 5-7584
Requalifiée en : demande d'explications 5-4358
De nos jours, l'usage des ordinateurs et d'internet est devenue la norme. L'administration vit avec son temps et emploie divers logiciels pour le traitement et l'échange de données. Il s'agit souvent d'informations confidentielles. Cette évolution vers une administration davantage numérisée représente une menace, car des lacunes dans la sécurité peuvent avoir pour effet de faire aboutir des informations dans de mauvaises mains.
Par exemple, les services de renseignement militaire et la Sûreté de l'État s'inquiètent de la sécurisation informatique de différents services publics. On a dit qu'une fois par semaine en moyenne, les services de renseignement militaire sont confrontés à une cyberattaque ciblée. Les intentions des pirates ou les buts du logiciel illégal varient : faire en sorte qu'un système se plante, recueillir des mots de passe ou d'autres données, etc.
Un premier problème est que la plupart des systèmes des administrations sont protégés par des programmes que le simple particulier peut se procurer. Ces programmes interceptent certaines attaques, genre virus ou logiciel espion, mais pas toutes. Les virus que le programme ne détecte pas peuvent cependant occasionner des dégâts. Un autre facteur possible est que l'utilisateur, à savoir le fonctionnaire, n'est pas conscient des nombreux dangers virtuels. Et lorsque l'utilisateur détecte une pratique répréhensible, il arrive qu'il ne la signale pas, ce qui veut dire que le danger reste invisible.
Je souhaiterais poser quelques questions :
1) Vos services se sont-ils occupés de sécuriser tout le réseau local ? En d'autres termes, tous les PC connectés à internet sont-ils protégés d'une manière ou d'une autre ?
2) Disposez-vous de données chiffrées sur les cyberattaques ou les problèmes causés à vos services par des virus, des logiciels espions, des pirates etc. ? Dans la négative, comment se fait-il qu'on ne récolte pas ces données ?
3) Les données et les ordinateurs qu'utilisent vos services sont-ils protégés par des programmes « ordinaires » qu'emploient aussi les particuliers, ou bénéficient-ils d'une protection supplémentaire ?
4) Les données confidentielles sont-elles échangées par le canal de réseaux particuliers sécurisés, ou bien via la même connexion centrale ?
5) Le personnel de vos services est-il formé à faire face à ces menaces éventuelles ? L'incite-t-on à rapporter ce type de problèmes ? Disposez-vous de chiffres sur les rapports ou plaintes ?
1) Sur toutes les machines Windows (tant les serveurs que les postes de travail/ configurations d'utilisateur final) du domaine du Service public fédéral (SPF) Santé publique, un agent McAfee est automatiquement installé. Ce programme installe McAfee VirusScan Enterprise 8.8 et SiteAdvisor Enterprise 3.5, et en assure les mises à jour.
Le réseau local est protégé par un pare-feu qui régule les connexions réseau depuis et à destination de l'internet. L'accès aux sites internet est filtré au moyen d'un proxy de façon à bloquer les accès à des sites connus comme "dangereux". L'application SSLVPN autorise uniquement des connexions VPN à condition de disposer d'un scanner antivirus actualisé actif installé sur le PC. Nos serveurs offrant des services au public/services externes (site web public, e-mail, applications telles que Portahealth et Absentéisme, etc.) sont protégés par un "reverse proxy".
2) Une surveillance permanente est assurée sur le scanner antivirus: les problèmes sont portés à l'attention des administrateurs système par des alertes, les menaces détectées sont traitées: suppression de fichiers ou de programmes ou nettoyage au moyen de l'antivirus. Des rapports à ce sujet sont disponibles (nombre de virus, nombre de programmes indésirables, logiciels espions et nombre de problèmes impossibles à préciser qui ont été détruits, etc.). Ces chiffres sont conservés pendant 3 mois, puis remplacés par d'autres.
Le SPF Santé publique ne dispose pas d'autres statistiques en matière de piratage ou de cyber-attaques, etc. Il n'existe aucun IDS ou IPS. Aucuns chiffres ne sont connus en matière de cyber-attaques.
3) Le SPF Santé publique installe McAfee VirusScan Enterprise 8.8 et SiteAdvisor Enterprise 3.5. Cette version est constamment mise à jour. Un contrat de support existe auquel il peut être fait appel en cas de problèmes. Le service comprend également une fonction d'alerte qui envoie des avertissements dès que des menaces sont connues quelque part. Il n'y a pas de modules supplémentaires.
Pour le réseau, il existe un Cisco ASA 5550 pour le pare-feu, ainsi que le proxy BlueCoat ProxySG Model 810-5. La fonction Reverse Proxy est assurée par F5 BIG-IP 3900 LTM et pour la connexion au réseau interne depuis l'extérieur (fonction SSLVPN), il est fait appel à Juniper Secure Access SA-4500. Tous ces outils sont couverts par des contrats de maintenance et les abonnements correspondants pour l'actualisation des check-lists.
4) Les applications assorties d'exigences de sécurité accrues telles que REACH disposent de liaisons cryptées pour l'échange de données, les données sont également cryptées sur les configurations d'utilisateur final.
5) Le personnel est sensibilisé à cette problématique. Les problèmes doivent être signalés au Security Officer par des messages internes. ICT ne dispose pas de chiffres concernant les problèmes signalés ou les plaintes.
Le SPF Sécurité Sociale
1. a) Oui,
b) Oui.
2. Oui. (absence de virus, de spyware et de « hackers »).
3. Le SPF Sécurité sociale utilise des versions professionnelles “Enterprise” des matériels et logiciels de sécurisation. Il s’agit donc de protection informatique supplémentaire.
4. Le SPF Sécurité sociale est connecté à l’Extranet de la Sécurité Sociale. L’échange de données confidentielles avec d’autres organismes de la Sécurité Sociale s’effectue via ce réseau distinct et sécurisé. Toutes les données sont toutefois échangées via une même liaison centrale sécurisée dédoublée vers l’Extranet.
5. a) Le personnel IT, responsable de la sécurité informatique, est spécialement formé pour gérer ces menaces. Les utilisateurs finaux sont informés des menaces potentielles.
b) Oui, au helpdesk central.
c) Oui, pas de signalements de virus, de spyware ou de « hackers ».
En ce qui concerne les institutions publiques de sécurité sociale placées sous ma tutelle.
Institut national d’assurance maladie-invalidité
1.) L’INAMI a construit sa sécurité sur tous les composants de son réseau.
Tout d'abord, le réseau de l'INAMI est intégré dans l'extranet de la sécurité sociale, géré par la BCSS-Smals. L'extranet utilise un modèle de sécurité multicouche et protège les réseaux des IPSS par des pare-feu, des IPS (Intrusion Prevention System), DMZ, serveurs proxy, anti-malware, etc.
D'autre part, le réseau de l'INAMI est protégé d'une manière équivalente à celle de l'extranet par un modèle de sécurité multicouche (avec 2 niveaux de pare-feu, IPS, DMZ, serveurs proxy, anti-malware, etc.) Les logiciels anti-malware de l'INAMI et de l'extranet viennent de deux fournisseurs différents.
L'accès à Internet n'est possible que via l'extranet qui à son tour, utilise FedMAN pour l'accès Internet.
Afin de répondre à des besoins de sécurité encore plus élevée l’INAMI implémente une nouvelle architecture réseau et ce, afin de se préparer aux nouvelles technologies et aux tendances comme BYOD et le Cloud. Ce modèle de sécurité est un modèle de «trusted zone» (zone de confiance) dans lequel toutes les communications entre les serveurs se font de point-à-point et protégées par un pare-feu. De plus, tous les serveurs sont "hardenés" (suppression des fonctionnalités qui ne sont pas nécessaires mais qui pourraient être utilisées par des pirates informatiques ou des logiciels malveillants).
Sur les P.C. et les ordinateurs portables, différentes fonctionnalités de sécurité sont installées telles que: anti-malware, un logiciel pare-feu, antivol de sécurité, une sécurité d'accès niveau du BIOS, le disque dur et le système d'exploitation, la protection contre la connexion des mémoires USB, cryptage des informations sur le disque dur, les certificats machine et utilisateur et polices de groupe Active Directory.
2) Les rapports des logiciels anti-malware (virus, spyware, ...) sont analysés, et envoyés au consultant en sécurité. L’INAMI veut atteindre une approche préventive maximale dans le domaine de la sécurité. Depuis l'installation du logiciel interdisant la connexion des clés USB personnelles, nous constatons une réduction spectaculaire du nombre de virus détectés.
Les cyber-attaques sont décelées et détectées sur 2 niveaux. Les systèmes de prévention des intrusions (IPS) sur l'extranet sont gérés par les Smals et les alertes concernant l'INAMI sont redirigées vers l'INAMI pour analyse. Nos propres systèmes IPS détectent également les alertes et dans certains cas, bloquent la communication. Nous n'avons pas de chiffres de cyber-attaques, car toutes les alertes étaient jusqu'à présent, "faux positifs" (alertes qui après analyse ne semble pas avoir de raison malveillante).
Dans le passé, nous avons plusieurs fois été informés par les administrateurs de l'extranet de la circulation de virus dangereux ou de nouvelles cyber-attaques qui ont essayé de s’introduire sur le réseau de la sécurité sociale. Indépendamment de l'avertissement, une action appropriée a été mise en place (par exemple des contrôles supplémentaires sur les logfiles IPS, messages de mise en garde vers les utilisateurs finaux, etc.).
3.) L’INAMI utilise des versions "Enterprise" des produits de sécurité. Le logiciel antivirus et le pare-feu personnel viennent d’un vendeur qui offre également des produits de sécurité aux particuliers.
De plus, dans le contexte professionnel, plusieurs mesures de sécurité sont implémentées comme l'architecture réseau spécifique avec pare-feu, le « hardening », la sécurité point-à-point, les systèmes IPS et au niveau des PC une protection contre la connexion des mémoires USB, l’encryption des informations sur le disque dur par des certificats machine et utilisateur, des polices de groupe Active Directory pour minimiser l'impact sur les systèmes, etc.
Toutes les mesures de sécurité et des actions d'amélioration sont gérées par un processus continu de gestion des risques basée sur la norme ISO 27001 (voir la réponse au point 5 de la question).
4.) Les échanges entre les IPSS se font via l'extranet de la sécurité sociale. Les échanges avec d'autres organismes fédéraux se font via FedMAN, et les échanges avec les partenaires externes se font via l'Internet.
L'échange de données personnelles est strictement réglementé par la BCSS et se fait via des services Web sur l'extranet. e-Heath est utilisé pour l'échange avec les partenaires du secteur de la santé. Les échanges de données entre l'INAMI et les unions nationales (mutualités) se font via Carenet, une communication sécurisée et cryptée sur Internet. De plus, pour les échanges d'informations confidentielles sur les réseaux externes, les technologies telles que SSL, SFTP et VPN sont utilisées.
Les échanges via un support USB sont seulement autorisés sur les mémoires USB fournies par l’INAMI qui ont une encryption hardware. De cette façon, en cas de perte ou de vol, les données ne pourront pas être lues.
A l'INAMI, la politique d’échange d'informations est décrite dans des directives dans le cadre du projet SafeInfo, un processus continu d'amélioration de la sécurité des informations, basée sur la norme ISO 27001.
5.) A l'INAMI un projet d’amélioration continue de la sécurité de l'information est en cours, basé sur la norme ISO 27001. L'organisation de ce projet est sous la responsabilité du consultant en sécurité, qui pour chaque service, est soutenu par un coordinateur de la sécurité de l'information. Ces personnes se réunissent au moins une fois par mois dans un groupe de travail responsable de la mise en place des processus de base nécessaires pour réussir et améliorer la sécurité de l'information et de faire rapport à la direction.
La politique de sécurité de l'information est principalement basée sur un processus continu de gestion des risques qui conduit à des actions correctives, y compris de sécurité spécifique aux processus et systèmes, mais aussi à la sensibilisation des employés par groupes cibles spécifiques. Les employés qui sont directement liés à l'amélioration de l'organisation et de la sécurité reçoivent une formation spécifique.
Cette politique est appuyée par un certain nombre de consignes de sécurité qui sont communiquées à tous les employés. La constatation d’infractions à ces lignes directrices peut être signalée par les employés à un service desk central, où le processus de gestion des incidents sera démarré. Une moyenne de cinq incidents est enregistrée par mois.
Office national de sécurité sociale
L’Office national de sécurité sociale se rallie à la réponse donnée par la Banque-carrefour de la sécurité sociale en la matière.
L’Office utilise en effet les réseaux mis à sa disposition par la Banque-carrefour et applique dès lors les mêmes règles et normes de sécurité.
Caisse auxiliaire d'assurance maladie-invalidité
1.) Tous les ordinateurs disposent d’une protection (antivirus, filtrage proxy, etc.)
2.) Le nombre d’attaques, d’incidents constatés est de l’ordre de 40 par mois.
3.) La CAAMI utilise aussi bien des solutions disponibles pour les particuliers que pour les professionnels (symantec antivirus, iptables firewall, etc.).
4.) Les échanges s’effectuent via un réseau séparé et sécurisé pour certains partenaires, et pour d’autres via des tunnels sécurisés via l’internet.
5.) Le personnel est sensibilisé à ce genre de menaces. Le règlement du travail stipule qu’ils doivent rapporter tout incident ou événement suspect lié à la sécurité informatique. Le nombre d’incidents est en moyenne 1 incident par mois.
Office national de sécurité sociale des administrations provinciales et locales
1.) L’ONSSAPL, conformément à la loi sur la BCSS, a mis en place un service de sécurité de l’information, dont un conseiller en sécurité de l’information.
Dans ce même cadre, comme prescrit depuis toujours par les normes minimales de sécurité informatiques de la Sécurité Sociale de Belgique, l’ONSSAPL a progressivement mis en place divers composants sécuritaires tant au niveau des serveurs de chaque station de travail qu’au niveau du réseau local.
Le réseau local de l’ONSSAPL est connecté à l’extérieur exclusivement à travers des réseaux de la Sécurité Sociale (réseau BCSS et Extranet de la Sécurité sociale), lesquels sont également protégés par plusieurs dispositifs adéquats.
2.) Les divers systèmes en place permettent de disposer tant de traces que de chiffres quant aux agressions et autres activités suspectes.
Vu, pour la plupart, la rareté de problèmes relevants, ces chiffres ne sont toutefois actuellement ni concentrés ni consolidés mais il est prévu de réaliser ces opérations.
3.) Contrairement aux applications utilisées par le grand public, les logiciels de protection de l’ONSSAPL sont des versions professionnelles de ces outils comportant notamment une administration centralisée.
Sur tout matériel pouvant se connecter au réseau de l’ONSSAPL, les dispositifs de sécurité standards ou validés sont mis en place et leur niveau vérifié.
Jusqu’à présent, sauf à de rares exceptions près, connues et gérées, la règle générale est que tout le matériel qui peut se connecter à l’ONSSAPL est propriété de l’Institution et est géré par celle-ci. Ce matériel n’est utilisable que dans le cadre professionnel ou dans les limites autorisées et contrôlées par l’ONSSAPL (filtrage des accès web par exemple).
4.) Tous les échanges d’informations, et éventuellement en fonction du type de données, se font exclusivement à travers les canaux sécurisés de la Sécurité Sociale et dans le respect le plus strict tant des règles de sécurité en vigueur dans ce cadre que dans le respect des lois de protection de la vie privée. Si un cas spécifique devait se présenter et nécessiter un traitement particulier il serait résolu dans le respect des procédures de dérogation en place.
5.) Le personnel impliqué est compétent sur ce terrain et ferait éventuellement appel à des compétences externes adéquates, si besoin en était. La survenance d’événements de sécurité est , autant que techniquement possible, signalé de manière automatique aux intéressés.
Comme déjà précisé, des chiffres sont disponibles et consultés périodiquement par, notamment, le service interne de sécurité et les responsables des systèmes mais la rareté des événements n’a jusqu’à présent pas justifié de mettre en place des procédures d’examen plus pointues. Le risque individuel de chaque IPSS est considérablement réduit et contenu par le respect des normes minimales de sécurité et les importants moyens en place dans les réseaux communs (BCSS et Extranet).
Caisse de secours et de prévoyance en faveur des marins
1.) L’ensemble du réseau local de la CSPM est protégé du web par un Firewall.
2.) Les fichiers de consignation du Firewall contiennent déjà ces informations.
3.) Au niveau du Firewall, des programmes spécifiques assurent la protection du réseau interne. Chaque ordinateur est en outre équipé d’un programme de sécurisation propre.
4.) L’échange de données confidentielles est réalisé via un Secure File Transfer Protocol (SFTP).
5.) Les membres du personnel de la CSPM ne sont pas spécialement formés pour faire face à d’éventuelles menaces. Etant donné qu’il s’agit d’une très petite IPSS (23 collaborateurs), les irrégularités constatées sont rapidement connues de l’ensemble du personnel. La CSPM ne tient pas à jour de données chiffrées relatives aux signalements de problèmes ou de plaintes émanant du personnel.
Office de sécurité sociale d’outre-mer
1.) Tout le réseau local est sécurisé : un logiciel antivirus est installé sur tous les pc et serveurs.
2.) Le consultant en sécurité de l’information de l’OSSOM enregistre toutes les attaques dirigées contre l’Office.
3.) Les programmes de sécurité que l’OSSOM utilisés peuvent aussi être utilisés par des particuliers. Il y a cependant une protection supplémentaire : l’OSSOM appartient en effet à l’Extranet de la sécurité sociale, où une protection supplémentaire est présente.
4.) L’échange des données se déroule par le biais d’un réseau sécurisé, à savoir l’Extranet de la sécurité sociale.
5.) Le personnel reçoit des informations concernant les menaces potentielles par courriel interne. Il est demandé d’être toujours vigilant.
Il est aussi demandé au personnel de signaler les problèmes constatés au service CTI et au consultant en sécurité de l’information.
Le consultant en sécurité de l’information tient à jour le nombre de problèmes signalés et de plaintes.
Office de contrôle des mutualités et des unions nationales de mutualités
1.) Seuls quelques ordinateurs de l'Office de contrôle sont connectés à l'Internet et ceux-ci sont protégés par divers firewalls et par un serveur proxy. En outre, il est à noter que le site Internet de l'Office est hébergé localement et que l'Office ne dispose pas actuellement d'une adresse Internet fixe.
2.) Un rapport des détections et du statut des anti-virus (anti malware, anti spyware, firewall, etc.) est établi quotidiennement par le service informatique.
3.) Les données et ordinateurs avec lesquels l'Office travaille sont protégés par un logiciel professionnel avec distribution par le réseau des installations et des mises à jour et aperçu global de la protection des postes de travail.
4.) La transmission à l'Office de contrôle par les entités mutualistes qu'il contrôle de certaines données (tableaux de cotisations et comptes annuels) a lieu par le biais d'un réseau spécifique et selon un système de "call-back". L'échange des autres données a lieu par le biais de la connexion centrale.
5.) Seuls les membres du service informatique sont formés pour faire face à d'éventuelles cyber attaques. En ce qui concerne les autres membres du personnel, ceux-ci sont invités à informer le service informatique en cas de problème. L'Office ne dispose pas de statistiques quant à ces communications ou plaintes.
Banque-carrefour de la sécurité sociale+ Plate-forme eHealth
Il y a lieu d’opérer une distinction entre, d’une part, le LAN de la Banque-carrefour de la sécurité sociale (le réseau informatique local avec les ordinateurs personnels des agents et les divers outils bureautiques dont les serveurs de messagerie, les serveurs de fichiers et les serveurs d’impression) et, d'autre part, les systèmes informatiques qui gèrent l'échange de données à caractère personnel au sein du réseau de la sécurité sociale (cet échange de données à caractère personnel intervient au moyen d’une architecture orientée services, aussi appelée "architecture SOA").
Pour la protection du réseau local et des systèmes informatiques précités, la Banque-carrefour a recours à des solutions qui sont fournies et maintenues par des entreprises spécialisées à forte réputation dans le monde des entreprises. Pour certains systèmes, elle utilise la version "enterprise" de ressources auxquelles les particuliers peuvent aussi avoir recours, alors que pour d’autres systèmes elle utilise des ressources qui sont uniquement disponibles pour le monde des entreprises.
La Banque-carrefour de la sécurité sociale gère donc un réseau d'échanges électroniques sécurisés de données à caractère personnel entre les acteurs du secteur social. L’infrastructure informatique sous-jacente (backbone) de ce réseau est l’Extranet de la sécurité sociale.
Ce réseau sécurisé qui relie les différents acteurs du secteur social offre plusieurs services communs, tels la connexion sécurisée de réseaux hétérogènes, la mise à la disposition de proxies (HTTP/HTTPS/S-FTP, etc.), l'échange sécurisé de données à caractère personnel, le scannage d'échanges via web, mail, etc. quant à la présence de logiciels malveillants, la gestion et la maintenance de noms de domaine et l'octroi d'accès aux réseaux internes au moyen d'une connexion sécurisée (VPN). Il offre également aux acteurs du secteur social un accès sécurisé à l'internet pour l’ensemble des transactions qui sont réalisées à partir du portail de la sécurité sociale. L'accès aux applications qui sont disponibles sur le portail de la sécurité sociale est protégé par une gestion granulaire des utilisateurs et des accès.
L'infrastructure informatique redondante (répartie sur plusieurs sites) qui est basée sur une protection en couches, est protégée par des pare-feux (firewalls) au niveau de la connexion entrante entre l'acteur de la sécurité sociale et le backbone, d'une part, et entre le backbone et l'internet ou les réseaux privés, d'autre part. C'est également à cet endroit qu'a lieu la gestion centrale des logiciels anti-malveillants.
L'extranet de la sécurité sociale est équipé d'un système IDS/IPS (Intrusion Detection/Prevention System) et est complété par un système d’analyse permanente des événements afin de détecter et corriger les incidents. Des audits de l’infrastructure et de ses composants sont réalisés périodiquement.
L'organisation de la politique en matière de sécurité de l'information au sein du réseau de la Banque Carrefour de la sécurité sociale est basée sur l'application obligatoire des normes minimales de sécurité par ses partenaires. Ces normes doivent obligatoirement être respectées par les acteurs du secteur social s’ils souhaitent établir et conserver un accès au réseau de la Banque-carrefour de la sécurité sociale. Le contrôle du respect des normes par le Comité sectoriel de la sécurité sociale et de la santé, institué au sein de la Commission de la protection de la vie privée, est basé sur un questionnaire transmis annuellement par l’intermédiaire de la Banque-carrefour de la sécurité sociale. En cas de non-respect de ces normes minimales, les acteurs du secteur social concernés, après mise en demeure, peuvent se voir interdire l'accès au réseau de la sécurité sociale. Les normes minimales qui sont consultables sur le site web de la Banque-carrefour de la sécurité sociale sont révisables et sont donc adaptées en fonction des évolutions légales, techniques ou autres.
L’approche commune du secteur de la sécurité sociale en matière de sécurité de l’information a été déterminée par le Comité général de coordination de la Banque-carrefour de la sécurité sociale à travers un ensemble de directives générales. La méthodologie utilisée pour parvenir à une sécurité maximale de l’information est un Information Security Management System (ISMS). De façon générale, ce système est basé sur la série de normes internationales ISO 2700X (voir notamment http://www.27000.org/).