Depuis ces dernières années, la criminalité informatique progresse dans le monde entier. Les ordinateurs en ont été les premières victimes mais plusieurs experts remarquent que les criminels informatiques déplacent leur activité vers les appareils mobiles (téléphones cellulaires, tablettes,…). Il ressort ainsi du Rapport Norton 2013, un rapport de référence sur la sécurité informatique, que quelque 48 pour cent des utilisateurs de smartphones et de tablettes ne prennent aucune mesure en vue d'assurer la protection de leur appareil mobile. C'est pourtant à conseiller parce que les hackers peuvent y trouver accès à toutes sortes de données personnelles et professionnelles

J'aimerais poser les questions suivantes :

1) A-t-on déjà constaté durant ces trois dernières années des infections de smartphones ou de tablettes par un virus, un maliciel, un logiciel espion, etc. ? Pouvez-vous communiquer le nombre de ces constats ?

2) Avez-vous une idée du nombre de membres du personnel qui ont accès via leur smartphone ou leur tablette à des données professionnelles (par exemple sur le nuage informatique) ? Pouvez-vous communiquer ce nombre ?

3) Si ce n'est pas le cas : estimez-vous nécessaire de mieux cartographier l'usage de smartphones et de tablettes par votre personnel, puisque ces appareils mobiles peuvent donner à des cybercriminels l'accès à des données professionnelles ? Pouvez-vous expliquer votre choix ?

4) Surveille-t-on la connexion des tablettes et des smartphones au système informatique du travail ? Pourquoi le fait-on ou ne le fait-on pas ?

5) Si vos services reçoivent de l'information sur la sécurité informatique et sur les dangers, accorde-t-on aussi de l'attention à la sécurité des appareils mobiles, comme les tablettes et les smartphones ? Si oui, de quelle façon ? Si non, ne pensez-vous pas que cela soit nécessaire ?

6) Connaissez-vous le nombre de membres du personnel qui ont reçu une tablette ou un smartphone de leur employeur ? Pouvez-vous communiquer ces chiffres ?

7) Vos informaticiens sont-ils suffisamment au courant de cette tendance ? Si non, ne pensez-vous pas que ce soit nécessaire ? Si oui, de quelle manière y réagissent-ils ?

1) Au cours des trois dernières années, le Service public fédéral (SPF) Finances n'a pas recensé de cas d’infection de ce type.

2 à 4) L’accès via à l’infrastructure informatique à partir de tablettes est sécurisé. Il y a deux cas de figure.

Les utilisateurs de tablettes et smartphones ont automatiquement un droit d’accès sécurisé (login/password) au réseau interne, via connexion mobile data ou WiFi interne, qui leur permet de consulter essentiellement leurs mails.

L’accès direct à d’autres données est également possible (dossiers partagés, .. ) en utilisant une application gestionnaire de fichier et à condition de rentrer manuellement de nouveau les données d’authentification. Cette application est installée à la demande de certains utilisateurs.

Les accès mobiles à l’infrastructure du SPF Finances sont autorisés des deux manières suivantes :

• l’accès via une connexion mobile Data (APN) définie : chaque utilisateur autorisé ne peut accéder qu’après identification (login/password) via le serveur de contrôle d’accès à distance (Radius).

• l’accès via une connexion WiFi sécurisé interne : l’utilisateur doit se trouver physiquement dans un des bâtiments équipés du Wifi. Il doit néanmoins être identifié par un login/pasword.

La mise en place d’une couche de sécurité supplémentaire (projet NAC : Network Access Control) est en cours. Elle permettra un contrôle supplémentaire des équipements ayant accès via WiFi. Ainsi seuls les équipements expressément autorisés pourront accéder au réseau interne, quel qu’en soit l’utilisateur.

5) En plus des mesures prises au niveau central par la division « Security » du Service d’encadrement ICT, il existe au sein de l’organisation un « code déontologie » qui est communiqué à tout le personnel. Cette charte a pour objectif de rappeler à tous que les outils et services informatiques (y compris tablettes et smartphones) fournis par le SPF à ses agents doivent être utilisés de manière professionnelle. Ce qui signifie par exemple éviter de surfer sur des sites web suspects, ou de télécharger des applications dont l’utilisation n’est pas justifiable dans le cadre de ses fonctions. Chaque agent du SPF est censé en avoir pris connaissance et s’être engagé à en respecter les principes lors de leur utilisation au quotidien.

6) Les chiffres sont les suivants: 667 smartphones, 95 tablettes.

7) Le département ICT est tout à fait conscient des dangers de la cybercriminalité en général et de cette nouvelle tendance (mobile security). Compte tenu de l’importance croissante du nombre d’utilisateurs et de la demande en matière d’appareils mobiles au sein de l’organisation, le SPF Finances a adapté sa stratégie.

Conformément à la décision du gouvernement de lutter contre ce nouveau type de criminalité, le Service d’Encadrement ICT introduira un projet relatif à la sécurité dans le cadre du Plan Coperfin 2014, en parfaite intégration avec les initiatives qui seront prises au niveau fédéral.