Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-8993

de Nele Lijnen (Open Vld) du 13 mai 2013

à la ministre de la Justice

Cybercriminalité - Cyberattaques ciblées - Sites web de l'administration fédérale - Technique du point d'eau (watering hole) – Sécurisation- Restrictions

criminalité informatique
administration électronique
virus informatique
administration centrale
site internet
piratage informatique
protection des données

Chronologie

13/5/2013Envoi question
26/7/2013Réponse

Aussi posée à : question écrite 5-8991
Aussi posée à : question écrite 5-8992
Aussi posée à : question écrite 5-8995

Question n° 5-8993 du 13 mai 2013 : (Question posée en néerlandais)

Dans un rapport récent, l'entreprise américaine Symantec a indiqué que le nombre de cyberattaques ciblées avait augmenté de 42 % en 2012. Ces attaques visent principalement à s'emparer de droits intellectuels et ce sont surtout les petites et moyennes entreprises (PME), les industries et le secteur public qui sont attaqués. Si l'objectif des criminels n'est pas de voler à tout prix les informations de ces entreprises, ces dernières sont utilisées pour permettre aux criminels de s'attaquer à de plus grosses entreprises ou à l'administration et ce, par le biais de la technique du point d'eau. Un cybercriminel implante un agent malicieux dans un site web fréquemment visité par les utilisateurs qu'il veut atteindre. De cette manière, sans se douter de rien, les utilisateurs installent, par exemple, un cheval de Troie ou un logiciel malveillant. Ensuite, le cybercriminel peut s'introduire dans l'ordinateur ou le site web de l'organisation qu'il visait. L'entreprise dont le site web est attaqué n'est donc qu'un intermédiaire ignorant. Il est tout à fait possible que les criminels volent également par la même occasion les données bancaires ou les droits intellectuels des entreprises par exemple . L'objectif n'est donc pas de faire un maximum de victimes mais d'atteindre quelques cibles très spécifiques.

Les entreprises ignorent le rôle qu'elles jouent dans ce processus. Elles pensent que les cybercriminels les laissent tranquilles et s'attaquent plutôt à l'administration ou à des multinationales. Ce n'est donc pas le cas. Aux États-Unis, la première victime ne sont plus les pouvoirs publics mais le secteur industriel. Lorsque des criminels ont besoin de données (par exemple, des données bancaires, des contrats, des données personnelles,...), ils ne s'attaquent pas aux grosses entreprises mieux sécurisées mais à de plus petites qui collaborent étroitement avec elles et disposent donc de nombreuses données à leur sujet. C'est la raison pour laquelle ce ne sont pas les dirigeants de ces entreprises qui sont attaqués mais l'administration qui a accès aux documents.

Je souhaiterais poser au ministre les questions suivantes :

1) Par le passé, des sites web de l'administration fédérale ont-ils déjà été victimes de la technique du point d'eau lors d'infractions dont l'administration était la cible ? Des sites web de l'administration ont-ils déjà été utilisés comme « intermédiaires » ou le ministre a-t-il connaissance de cas où les ordinateurs de l'administration ont été contaminés après avoir visité un site web contaminé ?

2) Dans l'affirmative, la réponse peut-elle être étayée par des chiffres portant sur les cinq dernières années ?

3) Dans la négative, les services chargés de la sécurité de ces sites web sont-ils en mesure de constater des infractions telles que la technique dite du point d'eau ?

4) Est-il très courant au sein de l'administration de limiter le nombre de sites web à visiter ou bien le personnel peut-il couramment visiter à peu près tous les sites ? Le ministre peut-il détailler sa réponse ?

5) Si des restrictions sont imposées, est-ce pour des raisons de cybersécurité ou dans l'intérêt de la productivité ?

6) Est-il courant au sein de l'administration de réinitialiser régulièrement le mot de passe des ordinateurs, ce qui oblige l'utilisateur à en choisir un nouveau ? Les ministres/secrétaires d'État sont-ils partisans de cette pratique ?

7) Lorsque l'on découvre sur un ordinateur de l'administration un cheval de Troie, un logiciel malveillant ... susceptible de révéler des (risques d') infractions, la pratique générale est-elle de créer un nouveau mot de passe pour cet ordinateur ?

Réponse reçue le 26 juillet 2013 :

1) La police fédérale (FCCU) n'a connaissance d'aucun cas où des personnes ont été victimes de la technique du point d'eau dans des services publics ou des entreprises en Belgique. 

Ces cas sont d'ailleurs difficiles à constater vu que la source de l'infection se situe en dehors de l'organisation du poste de travail infecté.

La police fédérale n'a pas connaissance de cas où le site internet d'un service public a été utilisé comme point d'eau. 

2) Aucun chiffre portant sur les cinq dernières années. La technique n'est en vogue que depuis peu comme méthode d'infection. 

3) Pas d’élément de réponse de la FCCU. Le Service public fédéral (SPF) Justice examine actuellement comment gérer les derniers types de menaces, tant au niveau technique, organisationnel que stratégique, dans l'optique de l'établissement éventuel d'un profil de risque pour l'organisation. 

4) Pas d’élément de réponse de la FCCU. Le SPF Justice dispose d'une politique relative à l'utilisation de l'e-mail et d'Internet qui a été validée et communiquée par le comité de direction. La mise en œuvre technique se base sur cinq profils dont relève chaque membre du personnel ou membre de la magistrature. 

5) Pas d’élément de réponse de la FCCU. Au SPF Justice, les lignes de force de la politique internet ont été définies dans le cadre d'une concertation commune entre P&O et le service d'encadrement ICT. Tant la protection réseau interne que le bien-être et la productivité du personnel y occupaient une place centrale. 

6) Cela dépend de chaque service public. 

La protection à l'aide de mots de passe est un système faible car des logiciels malveillants peuvent pendre connaissance de la modification de mots de passe. 

Le fait d'imposer de changer les mots de passe est une bonne chose pour autant qu'il s'agisse d'un nombre limité de mots de passe et que le délai pour ce faire soit adapté au niveau de sécurité.

Le fait qu'un utilisateur final doive retenir un nombre toujours plus grand de mots de passe pour les différents services internes et externes à l'organisation rend la gestion des mots de passe toujours plus compliquée.

Les mêmes mots de passe sont souvent utilisés pour différentes applications. La sécurité de l'ensemble de ces systèmes est donc menacée dès que le mot de passe peut être découvert pour l'une de ces applications.

Il convient de passer à un meilleur système de protection. On peut par exemple penser à l'utilisation de l'eID pour protéger l'accès aux applications et aux systèmes. 

7) Cela dépend de chaque service public. La FCCU constate toutefois qu'une procédure claire de traitement des incidents fait défaut dans de nombreux services publics. Le SPF Justice vient de formaliser une procédure de traitement des incidents de sécurité dans le cadre du développement d'un Information Security Management System. Dans le cadre de ce projet, un certain nombre d'applications stratégiques ont fait l'objet d'un audit à partir du cadre normatif ISO27000, bien entendu dans l'objectif d'améliorer significativement la protection informatique.