...

Bulletin n° : B063 - Question et réponse écrite n° : 0104 - Législature : 54


Auteur Nele Lijnen, Open Vld
Département Ministre des Pensions
Sous-département Pensions
Titre Cybercriminalité.
Date de dépôt14/01/2016
Langue N
Publication question     B063
Date publication 23/02/2016, 20152016
Statut questionRéponses reçues
Date de délai19/02/2016

 
Question

La cybercriminalité reste d'actualité. 1. a) Combien de fois vos services et/ou administrations ont-ils été victimes de hackers ou de cybercriminels en 2015? b) Dans quelle mesure le nombre de cyberattaques ciblant vos services a-t-il augmenté ou baissé par rapport à la période 2010-2014? 2. Quels étaient la nature et les effets de chaque incident? Par exemple, a-t-on dérobé des informations, attaqué un serveur ou un pc, saboté une infrastructure, etc.? Quels types d'attaques (attaques DDoS, notamment) sont les plus fréquents? Combien d'attaques ou d'incidents de ces types ont annuellement été enregistrés au cours de la période 2010-2015? 3. Qu'en est-il de l'évolution de ces attaques du point de vue de leur complexité, de leur degré de professionalisme, etc.? 4. Quelles mesures vos services et/ou administrations ont-ils prises pour se protéger des cyberattaques? 5. a) À combien de reprises vos services ou administrations ont-ils intenté des actions en justice en 2015 à la suite d'une cyberattaque? b) Quel suivi est réservé à ces actions en justice? 6. Estimez-vous vraisemblable que vos services aient déjà été attaqués par des cybercriminels, mais que ces attaques soient passées inaperçues en raison de techniques flexibles et faisant appel à des technologies avancées? 7. Vos services ont-ils déjà pris des initiatives dans le cadre de la mise en place du nouveau Centre pour la Cybersécurité Belgique? Les activités de ce centre ont-elles déjà eu une incidence sur vos services durant cette phase de démarrage? Dans l'affirmative, dans quelle mesure?


 
Statut 1 réponse normale - normaal antwoord - Réponse publiée
Publication réponse     B064
Date publication 29/02/2016, 20152016
Réponse

1. a) Je vous informe que l'Office national des Pensions (ONP) n'a à ce jour pas détecté d'attaques réussies de hackers ou de cybercriminels, à l'exception de deux cas de Cryptolocker (logiciel malveillant de type "cheval de Troie"). Le Service des Pensions du Secteur Public (SdPSP) a été victime d'une attaque réussie de cybercriminalité en 2015. b) Pour l'ONP, seuls les chiffres relatifs à des tentatives d'attaques qui ont été détectées et bloquées m'ont été communiqués. Ces chiffres peuvent également contenir de fausses alarmes. Les chiffres ne sont pas normalisés (une attaque peut consister en plusieurs incidents ou plusieurs infrastructures, une attaque peut survenir simultanément à partir de diverses localisations géographiques, les différents évènements ne sont pas mis en corrélation, il existe différentes interprétations de la notion d'"incident" selon l'outil de rapportage, etc.). L'ONP n'est pas en mesure de donner une évolution de la régularité ou une tendance à la hausse ou à la baisse. Les chiffres suivants sont donnés pour les quatre derniers mois de l'année 2015, à partir du 1er septembre 2015 jusqu'au 31 décembre 2015 inclus: ONP - tentatives d'attaques détectées et bloquées: septembre 2015: 162.326 octobre 2015: 203.296 novembre 2015: 187.845 décembre 2015: 154.700. Pour le SdPSP, je répète qu'une seule attaque de cybercriminalité a été enregistrée en 2015. Le SdPSP constate toutefois une augmentation du nombre de tentatives d'envoi de mails contenant des virus. 2. Au cours de ces dernières années, l'ONP n'a relevé que deux incidents (de type malware Cryptolocker) d'envergure qui se sont produits en 2015 et qui ont occasionné des dégâts. Dans les deux cas de figure, un disque de groupe d'un serveur de fichiers a été crypté. Les dégâts ont toutefois pu être limités grâce à une restauration des données. Les autres incidents ont pu être maitrisés assez rapidement sans qu'il y ait eu un vol d'informations ou une attaque de serveur. L'ONP n'a constaté aucune attaque du type DDOS. Pour autant qu'il s'agisse de fausses alarmes, les incidents sont généralement des bugs informatiques dans 75 % des cas. Dans les autres cas, il s'agit de scannages automatiques visant à rassembler des informations relatives à l'infrastructure de l'ONP. Concernant les éventuels chiffres, je vous renvoie à ceux qui vous ont été communiqués au point 1.b). En ce qui concerne le SdPSP, suite à la réception d'un mail contenant un virus, une série de fichiers d'un répertoire avaient été encryptés et dès lors rendus inaccessibles pour les utilisateurs. La situation a été régularisée après avoir éliminé la menace informatique et restauré un backup des fichiers concernés. 3. Les incidents constatés restent du même type que ceux de ces dernières années. Le hacker fait probablement usage d'outils automatisés pour essayer d'explorer l'environnement ICT. Les mails contenant des fichiers attachés infectés sont de plus en plus difficiles à intercepter par les firewall et antivirus traditionnels. 4. Par le passé, l'ONP appliquait des mesures classiques de sécurité: firewall, IPDS, anti-virus, web application firewall, vpn, strong authentication et proxy. Les mesures classiques de sécurité nécessitaient parfois de mobiliser un certain nombre de ressources en vue d'atteindre un niveau de sécurité performant et impliquaient une probabilité plus élevée d'alarmes, fausses ou réelles. Sur le plan de la sécurité du contenu, les mesures de sécurité sont basées sur des signatures (c'est-à-dire des problèmes de sécurité connus) mais l'objectif est d'arriver à approfondir l'analyse du modus operandi du malware tout en établissant une meilleure corrélation entre les différents incidents sur l'infrastructure de sécurité. La politique de sécurité de l'ONP a été en partie adaptée en 2015, compte tenu des menaces potentielles et des incidents qui se sont produits dans d'autres services publics. De nouvelles technologies telles que Advanced Persistent Threat Prevention, Intrusion Deception, Next Generation Firewall, Security Incident Event Monitoring (SIEM) ou Database Activity Monitoring (DAM) ont été évaluées et testées sur l'infrastructure de l'ONP. Au cours de l'année 2015, l'ONP a implémenté un Next Generation Firewall qui permet de mieux détecter les virus et les menaces (advanced persistent threats). L'Office a également déployé une nouvelle plateforme visant à mieux protéger les applications web externes. L'ONP a également amélioré son système de rapportage des données au sein de son réseau de sécurité. En ce qui concerne le SdPSP, je vous informe que tous les ordinateurs de l'Administration sont dotés du programme anti-virus Microsoft Forefront. Les bases de données des virus sont journalièrement mises à jour. Les dispositifs de sécurité mis en place permettent de filtrer la quasi-totalité des problèmes majeurs. Le programme anti-spam permet de filtrer plus de 90 % des courriers indésirables. Les accès Internet des utilisateurs du SdPSP se font exclusivement au travers des Firewall et Reverse Proxy de l'extranet de la Sécurité Sociale. Ces dispositifs techniques permettent d'éviter que la plupart des problèmes informatiques (virus, malwares, spams) n'atteignent les postes de travail des agents. Les problèmes résiduels éventuels sont traités par l'anti-virus de chaque ordinateur. En ce qui concerne la protection des données des sites web contenant exclusivement des informations à caractère public et général, les "best practices" classiques sont d'application: utilisation des versions récentes des programmes, installation régulière des patchs de sécurité, pas d'accès direct aux banques de données. Les données qui nécessitent compte tenu de leur nature confidentielle des protections complémentaires sont protégées au moyen de certificats, de techniques d'encryptage et via l'accès par carte d'identité électronique. De plus, les serveurs sont, en fonction de leur contenu, soumis à des audits réguliers de sécurité réalisés par des sociétés spécialisées en la matière. Les échanges de données entre organismes de sécurité sociale se font exclusivement au sein de l'extranet de la sécurité sociale, qui est totalement isolé du monde extérieur. Les serveurs accessibles de l'extérieur sont isolés au sein d'une zone démilitarisée (DMZ) permettant de réaliser un filtrage complémentaire des accès aux informations stockées au sein du SdPSP. 5. a) et b) L'ONP et le SdPSP n'ont pas encore constaté d'incidents suffisamment graves (vol de toutes les données confidentielles de la banque centrale de données ou graves atteintes au fonctionnement de l'organisme, par exemple) qui justifieraient des démarches judiciaires. 6. L'ONP estime réaliste qu'un certain nombre de cyberattaques puissent rester inaperçues. Selon le SdPSP, il est improbable que les attaques cybercriminelles n'aient pas pu être détectées. 7. En cas de situation de crise, l'ONP collabore étroitement avec la Banque-carrefour de la sécurité sociale (BCSS) et la Smals. L'ONP ne signale pas directement une attaque au Centre pour la Cybersécurité (CCB) mais bien à la BCSS et à la Smals. Le SdPSPest connecté au réseau internet via l'Extranet de la sécurité sociale. La Smals, gestionnaire de l'Extranet, garantit la sécurisation des accès. Le SdPSP doit signaler tout problème éventuel de sécurité à la Smals. Sachez enfin que le lancement du nouveau Centre pour la Cybersécurité n'a pas encore eu d'impact sur la politique de sécurité de l'ONP et du SdPSP.

 
Desc. Eurovoc principalPOUVOIRS PUBLICS
Descripteurs EurovocADMINISTRATION PUBLIQUE | POUVOIRS PUBLICS | CRIMINALITE INFORMATIQUE