|
|
Sites web de pouvoirs publics - Piratage informatique - Chiffres - Sécurisation - Mesures
courrier électronique
administration publique
sécurité des systèmes d'information
piratage informatique
site internet
| 7/3/2023 | Envoi question (Fin du délai de réponse: 6/4/2023) |
| 5/4/2023 | Réponse |
Aussi posée à : question écrite 7-1929
Aussi posée à : question écrite 7-1930
Bien que les pouvoirs publics néerlandais soient régulièrement la cible d'attaques par hameçonnage, l'amélioration de la sécurisation des messageries électroniques et des sites web ne semble pas être une priorité. Il ressort de la dernière mesure de «Forum Standaardisatie» que la moitié des noms de domaine ne répondent toujours pas aux normes de sécurité obligatoires.
En novembre 2022, plus de 2 500 noms de domaine ont été contrôlés en vue de vérifier leur conformité aux normes obligatoires de sécurité de l'information et à l'IPv6. Il s'est avéré que seuls 53 % des sites web des pouvoirs publics répondaient aux normes obligatoires relatives à la sécurité de l'information.
Pour le courrier électronique, le pourcentage est encore plus faible: 44 % seulement sont conformes. Les dates butoirs pour la mise en œuvre des conventions en la matière sont dépassées depuis longtemps.
Une étude similaire réalisée il y a deux ans a montré que des sites belges étaient confrontés à la même problématique. On a constaté qu'il était facile pour des pirates informatiques de s'introduire dans près d'un site web sur cinq d'entreprises et de pouvoirs publics belges. Les sites de pouvoirs publics belges étaient les plus menacés. Sur un site sur quatre appartenant à des communes et des services de la police locale, des criminels sont parvenus à adapter le site web de manière illégale, à avoir accès à des flux financiers, voire à voler des données privées.
Selon le consultant BDO, qui ne fournit lui-même aucune prestation en matière de cybersécurité, la responsabilité en incombe d'abord à la technologie obsolète utilisée par de nombreux sites web en Belgique. Selon un expert, quatre sites web sur dix utilisent encore des adresses http non sécurisées (cf. https://www.demorgen.be/nieuws/een in five Belgian websites vulnerable to cyber attack~b4d7da30/).
Francis Oostvogels de BDO indique: «Dans notre pays, quatre sites web sur dix utilisent encore le protocole FTP. Les pirates peuvent donc facilement intercepter les mots de passe au moyen de cette technologie non cryptée. Et que penser des 15 % de sites web qui continuent à utiliser des adresses http non sécurisées? Enfin, il apparaît aussi qu'un domaine de site web belge sur six est vulnérable au risque d'usurpation d'adresse électronique. Les cybercriminels détournent le nom de domaine et falsifient ainsi facilement des adresses de courrier électronique. Il s'agit d'une technique populaire dans le cadre de la «fraude au CEO», qui consiste pour un pirate informatique à se faire passer pour un CEO dans le but de détourner de l'argent» (traduction) (cf. https://www.bdo.be/nl be/nieuws/2021/liefst 1 op de 5 bedrijfs en overheidswebsites in belgie kwetsbaar voor cybera).
En ce qui concerne le caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une compétence transversale, partagée avec les Régions, ces dernières intervenant surtout dans le volet préventif.
Je souhaiterais dès lors vous soumettre les questions suivantes:
1) Combien de sites de pouvoirs publics belges ont-ils été piratés depuis 2021? Quelles étaient les faiblesses? Quel site de quel service était concerné? Des données sensibles ont-elles été volées (données personnelles, mots de passe, etc.)?
2) Existe-t-il des normes de sécurisation obligatoires pour les sites de pouvoirs publics en Belgique? Si oui, lesquelles? Pourriez-vous également estimer, en pourcentage, le nombre de ces sites qui sont actuellement conformes à ces normes? À défaut, pourriez-vous préciser où en sont les choses pour les sites relevant de votre compétence?
3) Pourriez-vous dire si, à la suite de cette information, des adaptations ont été apportées en matière de sécurisation des sites? La majorité des sites de pouvoirs publics continuent-ils entre-temps à utiliser le cryptage HTTP non sécurisé? Dans l'affirmative, pourquoi? Dans la négative, quelles autres mesures de sécurisation sont prévues?
4) Pourriez-vous dire s'il existe des directives concernant la sécurité des normes de courrier électronique? Si oui, lesquelles et ont-elles déjà été mises en œuvre? Dans la négative, pourquoi?
5) Des mesures ont-elles été prises entre-temps pour améliorer l'approche FTP obsolète? Si oui, quelles mesures ont été prises et comment? Dans la négative, pourquoi?
6) Dans quelle mesure les sites de pouvoirs publics sont-ils vulnérables face aux risques d'usurpation d'adresse électronique? A-t-on connaissance de pareils incidents? Si oui, combien? Des mesures ont-elles déjà été prises pour contrer ces risques de sécurité? Si oui, lesquelles? Si non, pourquoi?
1) Vu qu’il n’y a pas d’obligation de signalement, l’administration ne dispose pas de chiffres. L’obligation de signalement concerne les fournisseurs de services essentiels en vertu de la loi NIS du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information présentant un intérêt général pour la sécurité publique.
2) Actuellement, il n’existe pas de normes de sécurité obligatoires pour les sites gouvernementaux. Dans le cadre de la directive NIS2 sur la sécurité des réseaux et de l’information, qui succédera à la loi NIS, cette question fera partie de l’application de la sécurité des services essentiels des administrations publiques. La directive européenne a été publiée le 14 décembre 2022 et sera transposée dans la législation nationale avant la fin de l’année 2024 sous la coordination du Centre pour la cybersécurité Belgique (CCB). Ce n’est qu’à ce moment-là que ces obligations entreront en vigueur.
3) Le CCB m’informe qu’il ne dispose pas d’informations lui permettant de donner une réponse correcte à cette question.
4) Il n’existe pas de lignes directrices concrètes. Le service public fédéral Stratégie et Appui (SPF BOSA) gère le programme SECaaS dans le cadre duquel les normes de sécurité relatives au courrier électronique (SPF, DMARC, DKIM, solutions anti-malware et anti-spam, etc.) peuvent être mises en œuvre dans les services destinés aux administrations publiques. Chaque administration est responsable de sa propre infrastructure de messagerie.
5) Le CCB déconseille fortement l’utilisation du FTP et recommande de passer à des solutions plus sûres telles que le SFPT (Secure File Transfer). De plus amples informations sont disponibles à l’adresse suivante: https://cyberguide.ccb.belgium.be/fr.
6) Il y a régulièrement des tentatives d’usurpation de domaines Internet fédéraux. La Chancellerie du premier ministre, en concertation avec le CCB, a lancé un projet visant à mettre en œuvre des mesures de protection supplémentaires pour les domaines Internet fédéraux. Chaque administration étant responsable de sa propre infrastructure de messagerie, l’approche doit être bien coordonnée. Concrètement, il s’agit de configurer correctement SPF, DKIM et DMARC. Cette protection permet de rejeter les courriers électroniques provenant d’une adresse IP non autorisée pour le domaine en question.