Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-7583

de Nele Lijnen (Open Vld) du 13 décembre 2012

au secrétaire d'État à la Fonction publique et à la Modernisation des Services publics, adjoint au ministre des Finances et du Développement durable, chargé de la Fonction publique

Services publics - Cyberattaques - Sécurisation informatique - Logiciels de protection - Formation du personnel

criminalité informatique
protection des données
statistique officielle
virus informatique
Belnet
ministère

Chronologie

13/12/2012 Envoi question
29/1/2013 Réponse

Aussi posée à : question écrite 5-7566
Aussi posée à : question écrite 5-7567
Aussi posée à : question écrite 5-7568
Aussi posée à : question écrite 5-7569
Aussi posée à : question écrite 5-7570
Aussi posée à : question écrite 5-7571
Aussi posée à : question écrite 5-7572
Aussi posée à : question écrite 5-7573
Aussi posée à : question écrite 5-7574
Aussi posée à : question écrite 5-7575
Aussi posée à : question écrite 5-7576
Aussi posée à : question écrite 5-7577
Aussi posée à : question écrite 5-7578
Aussi posée à : question écrite 5-7579
Aussi posée à : question écrite 5-7580
Aussi posée à : question écrite 5-7581
Aussi posée à : question écrite 5-7582
Aussi posée à : question écrite 5-7584

Question n° 5-7583 du 13 décembre 2012 : (Question posée en néerlandais)

De nos jours, l'usage des ordinateurs et d'internet est devenue la norme. L'administration vit avec son temps et emploie divers logiciels pour le traitement et l'échange de données. Il s'agit souvent d'informations confidentielles. Cette évolution vers une administration davantage numérisée représente une menace, car des lacunes dans la sécurité peuvent avoir pour effet de faire aboutir des informations dans de mauvaises mains.

Par exemple, les services de renseignement militaire et la Sûreté de l'État s'inquiètent de la sécurisation informatique de différents services publics. On a dit qu'une fois par semaine en moyenne, les services de renseignement militaire sont confrontés à une cyberattaque ciblée. Les intentions des pirates ou les buts du logiciel illégal varient : faire en sorte qu'un système se plante, recueillir des mots de passe ou d'autres données, etc.

Un premier problème est que la plupart des systèmes des administrations sont protégés par des programmes que le simple particulier peut se procurer. Ces programmes interceptent certaines attaques, genre virus ou logiciel espion, mais pas toutes. Les virus que le programme ne détecte pas peuvent cependant occasionner des dégâts. Un autre facteur possible est que l'utilisateur, à savoir le fonctionnaire, n'est pas conscient des nombreux dangers virtuels. Et lorsque l'utilisateur détecte une pratique répréhensible, il arrive qu'il ne la signale pas, ce qui veut dire que le danger reste invisible.

Je souhaiterais poser quelques questions :

1) Vos services se sont-ils occupés de sécuriser tout le réseau local ? En d'autres termes, tous les PC connectés à internet sont-ils protégés d'une manière ou d'une autre ?

2) Disposez-vous de données chiffrées sur les cyberattaques ou les problèmes causés à vos services par des virus, des logiciels espions, des pirates etc. ? Dans la négative, comment se fait-il qu'on ne récolte pas ces données ?

3) Les données et les ordinateurs qu'utilisent vos services sont-ils protégés par des programmes « ordinaires » qu'emploient aussi les particuliers, ou bénéficient-ils d'une protection supplémentaire ?

4) Les données confidentielles sont-elles échangées par le canal de réseaux particuliers sécurisés, ou bien via la même connexion centrale ?

5) Le personnel de vos services est-il formé à faire face à ces menaces éventuelles ? L'incite-t-on à rapporter ce type de problèmes ? Disposez-vous de chiffres sur les rapports ou plaintes ?

Réponse reçue le 29 janvier 2013 :

1.         Fedict (le Service public fédéral (SPF) Technologie de l'Information et de la Communication) et le SPF P&O (P&O 51, l’IFA et le Selor) disposent d’une politique de sécurité informatique. Les réseaux locaux de Fedict et du SPF P&O sont gérés dans le cadre des Shared Services. La sécurisation informatique au sein des Shared Services porte tant sur le réseau local que sur la communication avec d'autres services publics.

La sécurisation du réseau local a été mise en œuvre à plusieurs niveaux :

•           sur tous les PC et serveurs connectés au réseau, un logiciel antivirus a été installé ;

•           aucun PC n'est directement connecté à Internet ;

•           l'accès physique à Internet est également sécurisé par Belnet au moyen des composants avancés de sécurité du résea FedMAN, le réseau metropolitain du fédéral ;

•           tout le trafic vers Internet est contrôlé par un environnement firewall et proxy professionnel afin que seul le trafic autorisé puisse se dérouler ;

•           le trafic de messagerie entrant et sortant est contrôlé par des solutions antispam et antivirus. 

2.         L'ensemble des incidents, à savoir ceux liés à la sécurisation mais également tous les autres, sont systématiquement tenus à jour et suivis par le système de tickets des Shared Services. Sur la base des données chiffrées des 6 derniers mois, il s'avère qu'en moyenne, un ou deux incidents de sécurité sont constatés et traités tous les mois. Seul l’IFA ne dispose pas encore de cette fonctionnalité technique de monitoring, ce développement est prévu et planifié.

3.         Tous les programmes de sécurisation, qui sont énumérés dans la réponse à la première question, sont les « éditions entreprise » des outils logiciels professionnels assortis des contrats de support et maintenance nécessaires. De cette façon, ils restent en permanence à jour et leur efficacité est garantie contractuellement.

La sécurisation est organisée sur la base d'un concept intégré, avec différents outils logiciels professionnels de diverses entreprises en cascade et répartis en plusieurs zones de sécurisation. En outre, les Shared Services font périodiquement réaliser par des entreprises indépendantes spécialisées des audits de sécurité portant sur l'infrastructure, le réseau et les applications afin de détecter des risques de sécurité potentiels. Sur la base des conclusions des audits, les adaptations nécessaires sont apportées.

4.         L'échange de données avec des destinataires externes à l'Administration fédérale et avec Internet en général se fait par le biais du réseau sécurisé de Belnet. L'échange de données avec des destinataires au sein de l'Administration fédérale se fait par le biais du réseau interne et sécurisé de l'Administration fédérale (FedMan de Fedict), dans lequel chaque composant de l'organisation des Shared Services et du SPF P&O et de Fedict est séparé. Ainsi, en cas de « contamination » locale, on évite que le reste de l'organisation ne soit atteint. L'accès à des informations plus confidentielles, comme l'agenda du Conseil des Ministres, est doté d'une sécurisation supplémentaire par le biais de l'utilisation obligatoire de la carte eID.

Les informations classifiées – au sens de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité ainsi que ses arrêtés d’exécution – sont transmises via des lignes sécurisées distinctes, gérées par le Service général du renseignement et de la sécurité (ACOS-IS). Pour le traitement et la transmission, des logiciels spécifiques sont utilisés. Les équipements terminaux répondent aux strictes exigences de sécurité de la Défense et les informations sont traitées selon les directives du Comité Ministériel du Renseignement et de la Sécurité.

5.         Le personnel IT interne des Shared Services assiste périodiquement à des séminaires et autres formations spécifiques afin de maintenir à niveau leur attention et leurs connaissances dans cette matière en évolution rapide. Les agents des helpdesk locaux du SPF P&0 et de Fedict sont mis au courant par des session d’info ou par des e-mails. Les avertissements des fournisseurs concernant les menace de la sécurité sont évalués sur leurs impact pour l’organisation et ils sont distribués si nécessaire. Les membres du personnel de la société qui assume la responsabilité d'exploitation pour les Shared Services ont suivi une formation afin de pouvoir traiter de manière adéquate ce type de menaces et d'incidents. Enfin, les spécialistes chargés de la gestion technique des solutions de sécurité doivent suivre des formations spécifiques.

Comme mentionné à la réponse à la seconde question, sur la base des données chiffrées des 6 derniers mois, on constate et traite en moyenne un ou deux incidents de sécurité par mois.