|
|
Sites web de pouvoirs publics - Piratage informatique - Chiffres - Sécurisation - Mesures
site internet
piratage informatique
administration publique
courrier électronique
sécurité des systèmes d'information
| 7/3/2023 | Envoi question (Fin du délai de réponse: 6/4/2023) |
| 31/3/2023 | Réponse |
Aussi posée à : question écrite 7-1930
Aussi posée à : question écrite 7-1931
Bien que les pouvoirs publics néerlandais soient régulièrement la cible d'attaques par hameçonnage, l'amélioration de la sécurisation des messageries électroniques et des sites web ne semble pas être une priorité. Il ressort de la dernière mesure de «Forum Standaardisatie» que la moitié des noms de domaine ne répondent toujours pas aux normes de sécurité obligatoires.
En novembre 2022, plus de 2 500 noms de domaine ont été contrôlés en vue de vérifier leur conformité aux normes obligatoires de sécurité de l'information et à l'IPv6. Il s'est avéré que seuls 53 % des sites web des pouvoirs publics répondaient aux normes obligatoires relatives à la sécurité de l'information.
Pour le courrier électronique, le pourcentage est encore plus faible: 44 % seulement sont conformes. Les dates butoirs pour la mise en œuvre des conventions en la matière sont dépassées depuis longtemps.
Une étude similaire réalisée il y a deux ans a montré que des sites belges étaient confrontés à la même problématique. On a constaté qu'il était facile pour des pirates informatiques de s'introduire dans près d'un site web sur cinq d'entreprises et de pouvoirs publics belges. Les sites de pouvoirs publics belges étaient les plus menacés. Sur un site sur quatre appartenant à des communes et des services de la police locale, des criminels sont parvenus à adapter le site web de manière illégale, à avoir accès à des flux financiers, voire à voler des données privées.
Selon le consultant BDO, qui ne fournit lui-même aucune prestation en matière de cybersécurité, la responsabilité en incombe d'abord à la technologie obsolète utilisée par de nombreux sites web en Belgique. Selon un expert, quatre sites web sur dix utilisent encore des adresses http non sécurisées (cf. https://www.demorgen.be/nieuws/een in five Belgian websites vulnerable to cyber attack~b4d7da30/).
Francis Oostvogels de BDO indique: «Dans notre pays, quatre sites web sur dix utilisent encore le protocole FTP. Les pirates peuvent donc facilement intercepter les mots de passe au moyen de cette technologie non cryptée. Et que penser des 15 % de sites web qui continuent à utiliser des adresses http non sécurisées? Enfin, il apparaît aussi qu'un domaine de site web belge sur six est vulnérable au risque d'usurpation d'adresse électronique. Les cybercriminels détournent le nom de domaine et falsifient ainsi facilement des adresses de courrier électronique. Il s'agit d'une technique populaire dans le cadre de la «fraude au CEO», qui consiste pour un pirate informatique à se faire passer pour un CEO dans le but de détourner de l'argent» (traduction) (cf. https://www.bdo.be/nl be/nieuws/2021/liefst 1 op de 5 bedrijfs en overheidswebsites in belgie kwetsbaar voor cybera).
En ce qui concerne le caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une compétence transversale, partagée avec les Régions, ces dernières intervenant surtout dans le volet préventif.
Je souhaiterais dès lors vous soumettre les questions suivantes:
1) Combien de sites de pouvoirs publics belges ont-ils été piratés depuis 2021? Quelles étaient les faiblesses? Quel site de quel service était concerné? Des données sensibles ont-elles été volées (données personnelles, mots de passe, etc.)?
2) Existe-t-il des normes de sécurisation obligatoires pour les sites de pouvoirs publics en Belgique? Si oui, lesquelles? Pourriez-vous également estimer, en pourcentage, le nombre de ces sites qui sont actuellement conformes à ces normes? À défaut, pourriez-vous préciser où en sont les choses pour les sites relevant de votre compétence?
3) Pourriez-vous dire si, à la suite de cette information, des adaptations ont été apportées en matière de sécurisation des sites? La majorité des sites de pouvoirs publics continuent-ils entre-temps à utiliser le cryptage HTTP non sécurisé? Dans l'affirmative, pourquoi? Dans la négative, quelles autres mesures de sécurisation sont prévues?
4) Pourriez-vous dire s'il existe des directives concernant la sécurité des normes de courrier électronique? Si oui, lesquelles et ont-elles déjà été mises en œuvre? Dans la négative, pourquoi?
5) Des mesures ont-elles été prises entre-temps pour améliorer l'approche FTP obsolète? Si oui, quelles mesures ont été prises et comment? Dans la négative, pourquoi?
6) Dans quelle mesure les sites de pouvoirs publics sont-ils vulnérables face aux risques d'usurpation d'adresse électronique? A-t-on connaissance de pareils incidents? Si oui, combien? Des mesures ont-elles déjà été prises pour contrer ces risques de sécurité? Si oui, lesquelles? Si non, pourquoi?
La question 1) relève de la compétence de ma collègue Annelies Verlinden, ministre de l’Intérieur, des Réformes institutionnelles et du Renouveau démocratique.
Les questions 2) à 6) relèvent de la compétence de mon collègue Alexander De Croo, premier ministre en tant que vice-ministre au Centre pour la cybersécurité Belgique (CCB).