...

Question et réponse écrite n° : 0760 - Législature : 54


Auteur Jean-Marc Nollet, Ecolo-Groen
Département Ministre des Classes moyennes, des Indépendants, des PME, de l'Agriculture, et de l'Intégration sociale
Sous-département Classes moyennes, Indépendants, PME, Agriculture et Intégration sociale
Titre Cyberattaque WannaCry.
Date de dépôt22/05/2017
Langue F
Statut questionRéponses reçues
Date de délai27/06/2017

 
Question

Le 12 mai 2017, des dizaines de milliers d'ordinateurs dans le monde ont été infectés par un logiciel bloquant leur utilisation. En outre, ce logiciel prend en otage les usagers des ordinateurs concernés en exigeant un paiement de 300 dollars afin que les fichiers soient préservés. D'après les premières constatations des experts, ce logiciel tire parti d'une faille de sécurité informatique. Cette faille a été corrigée par Microsoft mais les ordinateurs dont le système d'exploitation n'est pas à jour restent vulnérables. Il semble encore que les ordinateurs équipés de Windows XP, produit pour lequel Microsoft ne propose plus aucune mise à jour, sont particulièrement vulnérables face à ce type d'attaque. 1. Pourriez-vous indiquer si votre administration a été touchée par cette attaque ainsi que les éventuels détails de l'ampleur des dégâts causés? 2. Pourriez-vous indiquer quelques informations sur le nombre et la proportion d'ordinateurs équipés de ces licences au sein de votre administration, ainsi que les mesures que vous avez mises en place suite à l'attaque susmentionnée?


 
Statut 1 réponse normale - normaal antwoord - Réponse publiée
Publication réponse     B123
Date publication 27/06/2017, 20162017
Réponse

Agence fédérale pour la sécurité de la chaîne alimentaire (AFSCA) 1. Aucun des ordinateurs de l'AFSCA n'a été victime du ransomware évoqué dans votre question, ceci notamment grâce aux efforts fournis par l'AFSCA pour doter l'ensemble de ses ordinateurs des dernières mises à jour du système d'exploitation et pour suivre de près les recommandations de la Computer Emergency Response Team (CERT) ainsi que les recommandations et mises à jour du fournisseur d'antivirus de l'AFSCA. Une telle mise à jour a encore eu lieu au cours du week-end du 13 au 14 mai 2017. 2. Tous les ordinateurs accessibles via le réseau de l'AFSCA disposent d'un système d'exploitation moderne. Cependant, l'AFSCA possède encore quelques ordinateurs tournant sous le système d'exploitation XP. Ces ordinateurs plus anciens ne sont pas reliés au réseau et représentent moins de 1 % du parc total d'ordinateurs. Les machines concernées sont couplées à des appareils de laboratoires spécifiques. Le renouvellement des logiciels sur de telles machines est très onéreux et nécessite très souvent l'achat d'un nouvel appareil de laboratoire. Afin d'exploiter les ressources financières de la manière la plus efficiente possible, tous les ordinateurs utilisés dans les laboratoires de l'AFSCA et couplés à des appareils de laboratoire sont placés sur un réseau fermé. Ceci a pour conséquence que ces ordinateurs ne peuvent pas établir de connexion avec internet et qu'ils ne sont pas équipés d'une application de messagerie. L'installation de patchs supplémentaires qui seraient fournis par Microsoft n'est effectuée sur ce type d'ordinateurs que lorsque le fournisseur de l'appareil de laboratoire garantit que cela ne risque pas d'entraver le fonctionnement de l'appareil, ni son contrôle depuis l'ordinateur. Le risque qu'un tel ordinateur tournant sous le système d'exploitation Windows XP se retrouve infecté par un ransomware tel que celui évoqué dans votre question, est dès lors quasiment exclu. Centre d'Étude et de Recherches Vétérinaires et Agrochimiques (CERVA) 1. Le CERVA n'a pas été victime de cyber-attaques via WannaCry. Ces dernières années, différentes mesures ont été prises contre des "variantes" de ransomware où, dans certains services, un nombre de fichiers étaient endommagés sans finalement de dégâts grâce aux solutions intégrées back up et disaster recovery. 2. L'organisation dispose d'un nombre de PC scientifiques sur lesquels sont encore installés des systèmes d'exploitation qui datent d'avant windows 7; il y a actuellement encore 44 postes de travail. Ces exceptions seront traitées au cas par cas. Le remplacement et/ou l'upgrade du logiciel ainsi que des instruments/appareils scientifiques liés aux PC concernés entameraient des frais considérables, une approche big bang ne sera donc pas possible vu l'impact financier. Dans le cadre de la lutte contre d'éventuelles attaques ransomware, les mesures suivantes ont été prises, mesures qui font partie du trajet de sécurité prévu dans le plan opérationnel ICT; a) installation des patchs et updates nécessaires et application des recommandations CERT; b) configuration supplémentaire de solutions anti-virus et extension vers des systèmes de fichiers en instaurant un plus haut degré de sécurité/protection; c) quarantaine / environnement non-réseau isolé pour les anciens PC à plus haut risque; d) contrôles de sécurité internes via logiciel reconnu ethical hacking software et implémentation de codes avec rapportage. Exécution des plans d'action basés sur l'output du security scan. SPF Économie - DG Politique des PME En ce qui concerne le SPF Économie, P.M.E., Classes moyennes et Énergie, je vous renvoie vers la réponse apportée par mon collègue, le vice-premier ministre et ministre de l'Emploi, de l'Économie et des Consommateurs. Institut national d'assurances sociales pour travailleurs indépendants (INASTI) 1. Jusqu'à présent, on n'a constaté aucune infection des systèmes et applications de l'INASTI par le ransomware WannaCry, ni par un quelconque autre logiciel malveillant. 2. Actuellement, l'INASTI utilise encore 11 ordinateurs dotés de Windows XP. Étant donné que Windows XP n'est plus soutenu par Microsoft depuis quelques temps déjà, plus aucune mise à jour (de securité) n'est développée par Microsoft. Une exception a été faite pour le ransomware WannaCry et un patch spécifique a été développé (KB4012598). Ce patch a été installé sur tous les ordinateurs Windows XP de l'INASTI. Il convient également de signaler que les Institutions Publiques de Sécurité Sociale (IPSS) utilisent une infrastructure de communication commune (backbone): l'Extranet de la sécurité sociale. Toutes les cyberattaques visant un IPSS doivent d'abord passer via BELNET, FEDMAN et ensuite EXTRANET. Sur ces trois niveaux, il existe des procédures d'escalade et des mesures de sécurité y sont implémentées. Au niveau de l'Extranet, il existe des systèmes de monitorage (IDS + SIEM) et tant une équipe interne qu'une équipe externe analysent en permanence les données de ces systèmes de monitorage (interne: Smals; externe: firme externe). Lorsqu'on soupçonne une attaque, les procédures d'escalade sont activées. La Smals dispose de personnes de contact auprès de Fedict et Belnet et de procédures pour mettre en place une approche commune en cas d'attaques. Si nécessaire, on implique des tiers (les fournisseurs CERT/Federal Computer Crime Unit (FCCU), etc.). Au niveau de l'Extranet et au niveau d'une IPSS, des mesures sont prises afin d'éviter des incidents liés à la sécurité (protection logiciel malveillant, IDS SIEM, pare-feu, DMZ, application pare-feu, etc.). S'il y a quand même des cyberattaques très élaborées du type malware infection (logiciel malveillant complexe, détection logiciel d'espionnage, etc.), les mêmes procédures d'escalade que celles mentionnées ci-dessus sont d'application. Si une IPSS constate elle-même ce type d'attaque/infection, elle doit contacter la Banque Carrefour de la Sécurité Sociale (BCSS) et la Smals (security et supervision Smals). Ces dernières analyseront s'il y a un impact sur l'Extranet et sur les autres IPSS et prendront les mesures adéquates (et lanceront, si nécessaire, une procédure d'escalade). S'il s'agit d'un problème local (donc limité à une IPSS), l'IPSS doit examiner s'il y a lieu d'avertir des tiers (FCCU, parquet, CERT, etc.). Tout dépend toutefois du type d'incident et du cadre juridique (par exemple loi en matière de criminalité informatique). En plus de ces importantes mesures de sécurité mises en place au sein de l'Extranet de la sécurité sociale, l'INASTI a pris plusieurs mesures complémentaires, entre autres l'utilisation de logiciels anti-virus / anti-malware pour les postes de travail et les principaux serveurs tels que les serveurs mail, WinCitrix, etc. En outre, plusieurs autres systèmes de protection sont mis en oeuvre, entre autres pare-feu, Websense (contrôle d'accès aux sites Internet), serveurs mandataires (inversés), etc. On utilise également des desktops et laptops fortement sécurisés et standardisés, basés sur WinCitrix et une image standard, ce qui permet de réduire considérablement le risque d'infection par logiciel malveillant. Enfin, les dernières tendances en matière de sécurité font l'objet d'un suivi attentif et nos systèmes de sécurité sont régulièrement mis à niveau et développés. SPF Sécurité sociale - DG Indépendants Je ne dispose pas des données demandées pour la DG Indépendants du SPF Sécurité Sociale. En effet, je ne suis compétent que sur le plan de la matière. Pour toutes les autres questions (personnel, logistique, budget, ict, etc.) relatives au SPF Sécurité Sociale, et donc aussi pour la DG Indépendants, c'est la ministre des Affaires Sociales qui est compétente. SPP Intégration sociale 1. Le SPP Intégration Sociale n'a pas été touché par la cyberattaque du 12 mai 2017. 2. Sur recommandation de ses partenaires ICT - les Shared Services IT du SPF Chancellerie et Smals - et sur injonction de la BCSS dans laquelle le SPP Intégration sociale est gestionnaire du réseau secondaire des CPAS tous les postes de travail de l'organisation ont été migrés en 2014/2015 vers des versions de Windows supérieures à Windows XP (Windows 7 et maintenant Windows 10). Il n'y a donc plus d'ordinateurs sous Windows XP au SPP Intégration sociale. Par ailleurs, vu l'imminence et le degré très élevé du risque de contamination, le SPP Intégration sociale a organisé en urgence des formations internes pour sensibiliser les utilisateurs de son réseau informatique à la menace, les former à éviter les risques et à prendre les mesures adéquates en cas d'attaque. Régulation ferroviaire Aucun des trois organismes ferroviaires sous ma tutelle n'a été touché par cette cyberattaque. Pour ce qui concerne les mesures prises, je vous renvoie vers la réponse du ministre de la Mobilité.

 
Descripteurs EurovocADMINISTRATION PUBLIQUE | INFORMATIQUE | LOGICIEL | CRIMINALITE INFORMATIQUE