SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2016-2017 Zitting 2016-2017
________________
15 décembre 2016 15 december 2016
________________
Question écrite n° 6-1187 Schriftelijke vraag nr. 6-1187

de Jean-Jacques De Gucht (Open Vld)
van Jean-Jacques De Gucht (Open Vld)

au ministre de la Défense, chargé de la Fonction publique
aan de minister van Defensie, belast met Ambtenaren-zaken
________________
Sites internet des pouvoirs publics - Sécurité des communications - Fuites - Amélioration de la sécurité - Mesures Overheidswebsites - Veilige communicatie - Lekken - Verbetering van de veiligheid - Maatregelen 
________________
Internet
criminalité informatique
protection des données
Pays-Bas
ministère
administration publique
site internet
 internet
computercriminaliteit
gegevensbescherming
Nederland
ministerie
overheidsadministratie
internetsite
________ ________
15/12/2016Verzending vraag
(Einde van de antwoordtermijn: 19/1/2017)
19/1/2017Antwoord
15/12/2016Verzending vraag
(Einde van de antwoordtermijn: 19/1/2017)
19/1/2017Antwoord
________ ________
Aussi posée à : question écrite 6-1176
Aussi posée à : question écrite 6-1177
Aussi posée à : question écrite 6-1178
Aussi posée à : question écrite 6-1179
Aussi posée à : question écrite 6-1180
Aussi posée à : question écrite 6-1181
Aussi posée à : question écrite 6-1182
Aussi posée à : question écrite 6-1183
Aussi posée à : question écrite 6-1184
Aussi posée à : question écrite 6-1185
Aussi posée à : question écrite 6-1186
Aussi posée à : question écrite 6-1188
Aussi posée à : question écrite 6-1189
Aussi posée à : question écrite 6-1190
Aussi posée à : question écrite 6-1191
Aussi posée à : question écrite 6-1192
Aussi posée à : question écrite 6-1193		 Aussi posée à : question écrite 6-1176
Aussi posée à : question écrite 6-1177
Aussi posée à : question écrite 6-1178
Aussi posée à : question écrite 6-1179
Aussi posée à : question écrite 6-1180
Aussi posée à : question écrite 6-1181
Aussi posée à : question écrite 6-1182
Aussi posée à : question écrite 6-1183
Aussi posée à : question écrite 6-1184
Aussi posée à : question écrite 6-1185
Aussi posée à : question écrite 6-1186
Aussi posée à : question écrite 6-1188
Aussi posée à : question écrite 6-1189
Aussi posée à : question écrite 6-1190
Aussi posée à : question écrite 6-1191
Aussi posée à : question écrite 6-1192
Aussi posée à : question écrite 6-1193
________ ________
Question n° 6-1187 du 15 décembre 2016 : (Question posée en néerlandais) Vraag nr. 6-1187 d.d. 15 december 2016 : (Vraag gesteld in het Nederlands)

Les connexions vers de nombreux sites internet des pouvoirs publics néerlandais ne sont pas bien sécurisées. C'est ce qui ressort de l'étude réalisée par l'Open State Foundation, une organisation non lucrative qui « veut augmenter la transparence en politique ». On peut reconnaître une connexion sécurisée au petit cadenas qui apparaît dans le moteur de recherche.

L'organisation a examiné 1.816 sites internet des pouvoirs publics ; seuls 44 % d'entre eux ont des connexions sécurisées. 6 % ont effectivement une connexion sécurisée mais ne l'ont pas bien configurée, ce qui laisse la porte ouverte à des piratages.

La connexion vers le site internet de la Rijksrecherche n'est pas sécurisée. Cette section de la police néerlandaise mène des enquêtes sur les manquements commis par des fonctionnaires publics, notamment des collaborateurs de police. Jusqu'à la fin du mois de novembre 2016, quiconque dénonçait un manquement sur le site de la Rijksrecherche courait toutefois le risque que son message soit lu par d'autres personnes. Cela pouvait par exemple se faire par des bornes wifi publiques, comme dans le train, dans un hôtel ou dans un restaurant : la connexion était alors facile à intercepter.

Après que le site d'information néerlandais NOS a signalé la chose, le formulaire de dénonciation a été enlevé du site. Un porte-parole a fait savoir qu'il n'était temporairement plus possible de signaler des abus. Les citoyens qui ont des informations à communiquer peuvent encore téléphoner. On examine si des mesures de suivi sont nécessaires.

Même la page d'accueil du site internet de l'administration fiscale n'a pas de connexion sécurisée. L'accès au site de l'administration fiscale est bien sécurisé mais comme la page d'accueil ne l'est pas, un hacker peut forcer une connexion non sécurisée. Cela peut par exemple se faire en créant une fausse borne wifi dans une gare ou un autre endroit très fréquenté.

Ironie de la situation : la connexion du site officiel qui est censé promouvoir une administration consciente des dangers d'internet, n'est pas bien sécurisée.

L'étude concernait les pages d'accueil des sites internet publics ; il est possible que certaines parties des sites soient mieux sécurisées. Les experts en sécurité informatique conseillent toutefois de prévoir une connexion sécurisée pour l'ensemble du site internet. On peut reconnaître les sites non sécurisés à l'absence de cadenas dans le moteur de recherche.

De même, certains sites internet d'ambassades néerlandaises dans des pays où les droits fondamentaux de l'homme sont violés, ne sont pas sécurisés avec une connexion https en bon état de marche.

Une étude menée antérieurement sur les sites des pouvoirs publics dans notre pays a révélé des défauts similaires. Fedict, le service public fédéral Technologie de l'Information et de la Communication, a réagi en indiquant qu'il allait exécuter plus rapidement les mesures prévues pour améliorer le cryptage SSL.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique est l'une des grandes priorités établies. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif.

C'est pourquoi je souhaite vous poser les questions suivantes :

1) N'y a-t-il aucun risque de sécurité pour les sites internet des services publics fédéraux relevant de vos compétences ainsi que pour vos propres sites ? Pouvez-vous dresser la liste des sites dont vous avez la responsabilité ?

2) N'y a-t-il aucun risque, lorsque des utilisateurs se connectent via des bornes wifi, que l'on puisse lire les messages échangés avec des sites de services publics dont vous avez la responsabilité ? Pouvez-vous détailler votre réponse ?

3) Est-il vrai que parmi les sites internet des services publics qui utilisent effectivement une connexion https, il y en a encore un certain nombre qui sont configurés de telle sorte qu'ils présentent également un risque de sécurité ?

4) Pouvez-vous énumérer les sites officiels relevant spécifiquement de vos compétences en y incluant les sites des services publics fédéraux relevant de vos compétences et les sites des services extérieurs ?

5) Les mesures annoncées par le passé pour améliorer le cryptage SSL ont-elles effectivement été réalisées par Fedict sur tous les sites relevant de vos compétences ? Pouvez-vous fournir des explications concrètes à ce sujet ?

6) Pouvez-vous garantir qu'aucun des sites relevant de vos compétences ne travaille plus avec SSL-3 ? Le cas échéant, pouvez-vous expliquer votre réponse ?

7) Pouvez-vous énumérer concrètement les mesures qui ont déjà été prises depuis que l'étude réalisée sur les sites des services publics belges a mis en lumière certains défauts, en vue de sécuriser la connexion avec les sites internet des services publics ?

 

De verbindingen naar veel Nederlandse overheidswebsites zijn niet goed beveiligd. Dat blijkt uit onderzoek van de Open State Foundation, een non-profitorganisatie die « transparantie in de politiek wil vergroten ». Een beveiligde verbinding is te herkennen aan een slotje in de browser.

De organisatie onderzocht 1 816 overheidswebsites ; slechts 44 % daarvan ondersteunt beveiligde verbindingen. Nog eens 6 % heeft wel een beveiligde verbinding, maar heeft hem niet goed ingesteld, waardoor aanvallers alsnog een kans hebben.

Onder meer de verbinding naar de website van de Rijksrecherche is onbeveiligd. Die politie-organisatie doet onderzoek naar misdragingen door overheidsfunctionarissen, waaronder politiemedewerkers. Wie een misstand melde op de site van de Rijksrecherche, liep tot woensdagavond echter het risico dat anderen meelazen. Dat kon bijvoorbeeld bij openbare wifi-hotspots, zoals in de trein, in een hotel of restaurant : de verbinding was dan eenvoudig te onderscheppen.

Na melding van de NOS is dat formulier verwijderd van de site. « Het is tijdelijk niet meer mogelijk om misstanden te melden », laat een woordvoerder weten. Burgers met tips kunnen nog wel bellen. Er wordt onderzocht of « vervolgmaatregelen » nodig zijn.

Ook de voorpagina van de website van de Belastingdienst heeft geen beveiligde verbinding. Het inloggen op de Belastingdienst-site is wel beveiligd, maar doordat de voorpagina dat niet is, kan een hacker een onveilige verbinding afdwingen. Dat kan bijvoorbeeld door een valse wifi-hotspot op te zetten op een station of een andere drukke plek.

Ironisch genoeg is ook de verbinding van de overheidssite die is bedoeld om een « internetbewuste overheid » te promoten niet goed beveiligd.

Het onderzoek betrof de voorpagina's van de overheidssites ; het is mogelijk dat bepaalde onderdelen van de websites beter zijn beveiligd. Beveiligingsexperts raden echter aan om sowieso de volledige website van een veilige verbinding te voorzien. De onbeveiligde sites zijn te herkennen aan het ontbreken van een slotje in de browser.

Ook zijn er een aantal websites van Nederlandse ambassades in landen waar bassale mensenrechten worden geschonden die niet beveiligd zijn met een goed functionerende https-verbinding.

Eerder onderzoek naar de overheidssites in ons land toonde gelijkaardige zwakheden aan. In een reactie stelde Fedict, de federale overheidsdienst Informatie- en Communicatietechnologie, dat het reeds geplande maatregelen om de SSL-encryptie te verbeteren nu versneld zal uitvoeren.

Wat betreft transversaal karakter van de vraag : de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016–2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten is de informaticacriminaliteit. Het betreft aldus een transversale gewestaangelegenheid waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Daarom heb ik volgende vragen voor u :

1) Zijn er geen veiligheidsrisico's voor de websites van de federale overheidsdiensten waarvoor u bevoegd bent, alsook uw eigen sites ? Kunt u de sites waarvoor u instaat oplijsten ?

2) Is er geen risico dat, bij het inloggen van gebruikers via wifi-hotspots, dat de communicatie met de overheidssites waarvoor u instaat kan worden ingelezen ? Kan u dit toelichten ?

3) Is het waar dat van de overheidswebsites die wel een https-verbinding gebruiken er ook nog een aantal websites zijn die zodanig zijn ingesteld dat er ook daar een beveiligingsrisico bestaat ?

4) Kunt u oplijsten voor welke overheidssites u specifiek bevoegd bent en dit inclusief de sites van de federale overheidsdiensten waarvoor u bevoegd bent en de sites van de buitendiensten ?

5) Werden de eerder aangekondigde maatregelen om de SSL-encryptie te verbeteren daadwerkelijk doorgevoerd door Fedict op alle sites waarvoor u bevoegd bent ? Kunt u dit concreet toelichten ?

6) Kunt u garanderen dat geen enkele site waarvoor u bevoegd bent nog werkt met SSL-3 ? Kunt u dit desgevallend toelichten ?

7) Kunt u concreet oplijsten welke maatregelen reeds zijn genomen sinds het onderzoek naar de Belgische overheidssites enkele zwakheden oplijstte om aldus een veilige verbinding met overheidswebsites tot stand te brengen ?

 
Réponse reçue le 19 janvier 2017 : Antwoord ontvangen op 19 januari 2017 :

L’honorable membre est prié de trouver, ci-après, la réponse à ses questions.

En ce qui concerne la Défense :

1-2-4. Au sein de la Défense, il faut faire la distinction entre 2 types de sites web qui peuvent être consultés :

• Le site public de la Défense

Cela concerne le site web www.mil.be. Ce site se trouve en dehors du réseau de la Défense et est protégé par des mesures de protection réseau qui sont d’application auprès du provider externe (Proximus) où le site est hébergé. Ce site contient uniquement de l’information publique de la Défense qui peut être consultée librement par les internautes via une connexion non sécurisée. La connexion d’internautes via wifi-hotspots ne comporte en principe aucun risque.

• Les sites non-publics de la Défense

Ces sites se trouvent dans des zones spécifiquement protégées du réseau de la Défense et ne sont accessibles via l’internet que par des personnes autorisées par la Défense via une liaison sécurisée. Diverses mesures de protection sont prises pour limiter les risques liés à la sécurité de ces sites. Pour des raisons de sécurité, il n’est pas opportun de mentionner les mesures de sécurités spécifiques.

3. Les connexions https vers les sites gouvernementaux peuvent être basées sur le protocole SSL sujet à vulnérabilités ou sur le protocole plus sécurisé TLS. En plus, les sites gouvernementaux peuvent, au niveau applicatif, encore être sujets à des attaques d’applications web suite aux vulnérabilités qui sont présentes dans l’application web elle-même. La Défense prend les mesures de protection nécessaires afin de limiter les risques de sécurité. Pour des raisons de sécurité, il n’est pas opportun de mentionner ces mesures de sécurités spécifiques.

5 - 6. Pour ses sites non-publics accessibles de l’internet par des personnes autorisées par la Défense, la Défense fait usage de certificats pour serveurs web délivrés par FedICT.

7. Les mesures suivantes ont été prises :

• Pour établir une connexion, les sites de la Défense qui exigent une connexion sécurisée font usage d’un protocole adapté et plus sécurisé.

• Les sites non-publics de la Défense sont uniquement accessibles aux personnes autorisées par la Défense. Cela implique que l’utilisateur doit d’abord s’authentifier avant qu’il ne puisse avoir accès au site.

• Les sites non-publics de la Défense sont protégés au niveau applicatif de façon complémentaire par un Web Application Firewall spécifique.

• Pour d’autres mesures prises par la Défense dans le domaine de la sécurité informatique et plus spécifiquement la cyber défense, permettez-moi de référer à la réponse qui a été formulée à la Chambre à la question n° 535 du 7 janvier 2016.

En ce qui concerne l’Institut géographique national (IGN) :

1. Les sites ngi.be et ign.be utilisent une technologie obsolète qui ne répond plus aux normes de sécurité. Un projet pour un site entièrement renouvelé qui répond à ces normes est en cours d’exécution.

Geo.be est en phase de développement mais n’est pas encore en ligne. Il répondra aux normes de sécurité quand il sera en ligne.

Cartesius.be répond aux normes de sécurité.

2. Il existe un risque avec le site ngi.be/ign.be. Toutefois, les informations transmises au site via internet sont limitées. Un client peut envoyer ses données de contact à l’IGN via un formulaire web. Ces données de contact sont : Prénom, Nom, E-mail, Téléphone, Rue, Numéro, Code postal, Commune et Pays du client.

Il n’y a pas de risque avec les sites www.geo.be et www.cartesius.be.

Le site ngi.be/ign.be a été développé avec une technologie obsolète, qui pourrait éventuellement permettre l’interception de communications avec ce site.

3. Aucun problème n’a été constaté à ce jour sur les sites gérés par l’IGN.

4. www.ngi.be

www.ign.be

www.geo.be (en phase de développement)

www.cartesius.be.

5. Non.

Le nouveau site ngi.be/ign.be sera doté d’un cryptage SSL performant.

6. Aucun site géré par l’IGN n’utilise SSL-3.

Le site actuel ngi.be/ign.be n’a pas de cryptage SSL. Étant donné le peu d’informations transmises par internet (voir la question 2), il a été estimé que cela n’était pas nécessaire. L’IGN préfère utiliser ses ressources limitées pour la construction du nouveau site web, plutôt que pour l’adaptation de l’ancien site web qui est condamné à disparaître à court terme.

7. L’IGN est en train de construire un tout nouveau site qui tiendra compte, entre autres, des risques de sécurité.

En ce qui concerne l’Office Central d’Action Sociale et Culturelle (OCASC) :

1. Site : portal.ocasc.be :

  • connexion au Data Center (type Citrix) derrière le Gateway de la Défense et derrière une solution Netscaler.

  • via Smart Card uniquement sur des appareils gérés par l’institution.

Ces précautions vont au-delà des recommandations et des Best Practices.

Site : ocasc-cdsca.be : hébergé au FedICT.

2. Non.

L’authentification sur portal.ocasc.be se fait via SmartCard et uniquement à partir d’appareils gérés par l’institution.

3. Pas en ce qui concerne les sites de l’OCASC.

4. Portal.ocasc.be et ocasc-cdsca.be.

5. Le FedICT gère le site client ocasc-cdsca.be. Il a été demandé que ce site ne soit accessible qu’en https. Ils ont un Certificat émis par QuoVadis.

6. Portal.ocasc.be utilise un wildcard Certificate émit par GlobalSign.

7. Le site portal.ocasc.be n’est accessible que depuis l’enquête sur les sites fédéraux publics. Des leçons ont étés tirées.

En ce qui concerne le Musée Royal de l’Armée et d’Histoire militaire (MRA) :

1. Le site du Musée royal de L’armée et d’Histoire militaire (MRA) (www.klm-mra.be) est un site “statique” hébergé chez un hébergeur américain (Maven Hosting). Il n’y a aucune liaison permanente entre le site et les réseaux de la Défense ou des institutions fédérales. Le risque évoqué par l’honorable membre est, en l’espèce, nul.

2. Pas d’application (voir point 1).

3. Pas d’application.

4. Voir point 1 : www.klm-mra.be qui est le seul site du MRA.

5. Pas d’application.

6. La réponse est positive.

7. Pas d’application.

En ce qui concerne l’Institut des Vétérans – Institut national des Invalides de Guerre (IV-INIG) :

1. Le risque est limité aux seuls sites https://appsoc.warveterans.be, https://owncloud.warveterans.be et https://webmail.warveterans.be qui permettent aux agents de l’Institut de se connecter via une authentification à une application qui leur est réservée.

Liste des sites :

2. Il n’existe pas à la connaissance de l’Institut, de risques que la communication avec les sites publics de l’Institut soit lue. Les seuls sites de l’Institut contenant des données confidentielles transmises sont protégés par une connexion HTTPS TLS.

3. Le risque zéro n’existe pas. Néanmoins l’Institut a pris toutes les mesures nécessaires pour avoir une connexion sécurisée sur les sites qui transmettent des données confidentielles en utilisant le meilleur protocole sécurité en HTTPS possible (TLS) et une demande d’authentification.

4. Voir liste sous 1.

5. Les seuls sites de l’Institut qui sont hébergés par le FedICT http://wardeadregister.be et http://www.traindes1000.be/fr ne transmettent pas de données confidentielles.

6. Tous les sites de l’Institut qui transmettent des données confidentielles sont en TLS, l’Institut n’a jamais utilisé SSL-3 car il a été déclaré obsolète depuis fin 2014 et n’est plus supporté par les navigateurs récents.

7. Tous les sites de l’Institut qui transmettent des données confidentielles sont en HTTPS TLS et nécessitent une connexion authentifiée avant la transmission de données. Il n’y a pas de liens entre les sites publics de l’Institut et les sites en HTTPS de l’Institut.

En ce qui concerne la fonction publique:

1. et 4.

Le SPF P&O est conscient que le risque zéro n’existe pas mais nous essayons de réduire au maximum les risques pour la sécurité. Concrètement, nous nous chargeons des sites suivants.

2.

Rien que par leur nature, les hotspots wi-fi sont vulnérables. La technologie SSL est utilisée par les applications web pour sécuriser internet, y compris les inscriptions en ligne, l'envoi d'informations personnelles, etc. Cette information reste confidentielle pendant la transmission et n’est pas accessible par une tierce partie.

3.

N’autoriser l’accès que via une connexion https n’est qu’une partie des diverses sécurités. Le service ICT entreprend les tâches nécessaires pour maintenir à niveau l’infrastructure IT, compte tenu de l’évolution du hardware et du software, afin d’être protégés contre les attaques externes.

5.

https://ecampus.ofoifa.be

La plateforme est actuellement hostée par un prestataire de services externe qui assume la responsabilité de ses obligations en matière de gestion de la sécurité, lesquelles ont été fixées dans le marché public qui lui a été attribué. Pour le cryptage, nous n’utilisons plus le protocole SSL mais le protocole TLS.

6.

Aucun site web ne supporte SSL3. Pour tous les sites web https, on utilise des certificats numériques qui sont délivrés par une autorité de certification internationalement reconnue.

7.

Modification des certificats : cryptage plus long, version SSL.

Limitation de l’accès à certains sites et si possible l’installation d’un firewall local.

Het geachte lid, gelieve hierna het antwoord te willen vinden op de door hem gestelde vragen.

Voor wat Defensie betreft:

1-2-4 Bij Defensie dienen 2 types websites onderscheiden te worden die via het internet bereikt kunnen worden:

• Publieke site van Defensie

Het betreft hier de website www.mil.be. Deze site bevindt zich buiten het netwerk van Defensie en wordt beschermd door de netwerkbeschermingsmaatregelen die van toepassing zijn bij de externe provider (Proximus) waar de site gehost is. Deze site bevat enkel publieke informatie van Defensie die door de internetgemeenschap vrij kan geconsulteerd worden via een niet beveiligde verbinding. Het inloggen van internetgebruikers via wifi-hotspots houdt in principe geen risico’s in.

• Niet-publieke sites van Defensie

Deze sites bevinden zich in specifiek beschermde zones van het netwerk van Defensie en zijn via het internet enkel toegankelijk voor door Defensie geautoriseerde personen via een beveiligde verbinding. Er worden verschillende beschermingsmaatregelen genomen om de veiligheidsrisico’s te beperken. Om veiligheidsredenen is het hierbij niet opportuun om deze sites en de specifieke beschermingsmaatregelen te vermelden.

3. De https-verbindingen naar overheidswebsites kunnen gebaseerd zijn op het aan zwakheden onderhevige SSL-protocol of het veiligere TLS-protocol. Daarnaast kunnen overheidswebsites op het applicatievlak nog onderhevig zijn aan ‘web application’ aanvallen door zwakheden die in de applicatie zelf aanwezig zijn. Defensie neemt de nodige beschermingsmaatregelen om deze veiligheidsrisico’s te beperken. Om veiligheidsredenen is het hierbij niet opportuun om deze beschermingsmaatregelen te vermelden.

5-6. Defensie maakt voor zijn niet-publieke sites, die vanuit het internet toegankelijk zijn voor door geautoriseerde personen van Defensie, gebruik van door FedICT geleverde webserver certificaten. 

7. De volgende maatregelen werden genomen:

• De sites van Defensie die een beveiligde verbinding vereisen, maken voor het opzetten van de verbinding gebruik van een aangepast en veiliger protocol.

• De niet-publieke sites van Defensie zijn enkel toegankelijk voor door Defensie geautoriseerde personen. Dit vereist dat de gebruiker zich eerst dient te authentiseren vooraleer deze toegang kan krijgen tot een site.

• De niet-publieke sites van Defensie worden op het applicatievlak bijkomend beschermd door een specifieke Web Application Firewall.

• Voor andere door Defensie genomen maatregelen in het domein van computerbeveiliging en meer specifiek cyberdefence, graag verwijs ik naar het antwoord dat geformuleerd werd op de vraag in de Kamer nr. 535 van 7 januari 2016.

Voor wat het Nationaal Geografisch Instituut (NGI) betreft:

1. De sites ngi.be en ign.be gebruiken een verouderde technologie die niet meer voldoet aan de veiligheidsnormen. Om die redenen is een project in uitvoering om een volledig nieuwe site op te zetten die wel aan deze normen zal voldoen.

Geo.be is in ontwikkelingsfase maar is nog niet online. Wanneer deze online zal zijn, zal deze site de nodige veiligheidsnormen respecteren.

Cartesius.be voldoet aan de nodige veiligheidsnormen.

2. Er is een risico met de site ngi.be/ign.be, maar de informatie die wordt doorgestuurd, via het internet, naar de site is beperkt. Een klant heeft de mogelijkheid om zijn contactgegevens via een webformulier naar het NGI door te sturen. Deze contactgegevens zijn de Voornaam, Naam, E-Mail, Telefoon, Straat, Nummer, Postcode, Gemeente en Land van de klant.

Er is geen risico met de sites www.geo.be en www.cartesius.be.

De site ngi.be/ign.be is ontwikkeld met een verouderde technologie die misschien de mogelijkheid zou kunnen geven om communicaties met deze site te kunnen onderscheppen.

3. Er werden tot op vandaag geen veiligheidsincidenten waargenomen. 

4. www.ngi.be

www.ign.be

www.geo.be (in ontwikkelingsfase)

www.cartesius.be.

5. Nee.

Met de nieuwe ngi.be/ign.be website zal er een performante SSL-encryptie aanwezig zijn.

6. Geen enkele site waarvoor het NGI bevoegd is, werkt met SSL-3.

De huidige site ngi.be/ign.be heeft geen SSL encryptie omdat dit niet nodig werd geacht ten aanzien van de beperkte informatie die, via het internet, wordt doorgestuurd (zie vraag 2). Het NGI verkiest om onze beperkte resources in de opbouw van onze nieuwe website te zetten eerder dan deze in te zetten voor de aanpassing van de oude website die toch op korte termijn zal verdwijnen.

7. Het NGI werkt aan een volledige nieuwe website die, onder andere, de veiligheidsrisico’s zal aanpakken.

Voor wat de Centrale Dienst voor Sociale en Culturele Actie (CDSCA) betreft:

1. Site : portal.ocasc.be :

  • voor de aansluiting op Data Center (type Citrix) achter de Gateway van Defensie en achter de oplossing Netscaler.

  • via Smart Card enkel op toestellen beheerd door de instelling.

Deze voorzorgsmaatregelen gaan verder dan de aanbevelingen en de Best Practices.

De site ocasc-cdsca.be wordt gehost door FedICT.

2. Neen.

De authentificatie op portal.ocasc.be gebeurt via SmartCard en enkel via toestellen die door de instelling worden beheerd.

3. Niet voor wat betreft onze sites.

4. portal.ocasc.be en ocasc-cdsca.be.

5. FedICT beheert de klantensite ocasc-cdsca.be. Deze site is enkel toegankelijk via https. Ze hebben een Certificaat uitgegeven door QuoVadis.

6. Portal.ocasc.be gebruikt een wildcard Certificate uitgegeven door GlobalSign.

7. De site portal.ocasc.be is slechts toegankelijk sinds de enquête over de sites van de federale overheidsdiensten.

Lessen werden derhalve getrokken.

Voor wat het Koninklijk Museum van het Leger en de Krijgsgeschiedenis (KLM) betreft:

1. De site van het Koninklijk Legermuseum (KLM) (www.klm-mra.be) is een “statische” site, gehost door een Amerikaans bedrijf (Maven Hosting). Er is geen permanente verbinding tussen onze site en het netwerk van Defensie of de federale instellingen. Het risico dat het geachte lid vermeldt, is dus onbestaande.

2. Niet van toepassing (zie punt 1).

3. Niet van toepassing.

4. Zie punt 1, www.klm-mra.be die de enige site van het Museum is.

5. Niet van toepassing.

6. Het antwoord is positief.

7. Niet van toepassing.

Voor wat het Instituut voor Veteranen – Nationaal Instituut voor Oorlogsinvaliden, Oud-strijders en oorlogsslachtoffers (IV-NIOOO) betreft:

1. Het risico is beperkt tot de sites https://appsoc.warveterans.be, https://owncloud.warveterans.be en https://webmail.warveterans.be waar de medewerkers van het Instituut via een authenticatie kunnen inloggen in een toepassing die enkel door hen wordt gebruikt.

Lijst:

2. Het Instituut heeft geen weet van risico’s dat de communicatie met overheidswebsites kan worden ingelezen. De enige sites van het Instituut die vertrouwelijke gegevens doorgeven worden beschermd door een HTTPS TLS verbinding.

3. Een nulrisico bestaat niet. Toch heeft het Instituut alle nodige maatregelen genomen om een beveiligde verbinding te maken op de sites die vertrouwelijke gegevens doorgeven door gebruik te maken van het best mogelijke veiligheidsprotocol in HTTPS (TLS) en een authenticatieverzoek.

4. Zie lijst bij vraag 1.

5. De enige sites van het Instituut die door FedICT worden gehost, http://wardeadregister.be en http://www.treinder1000.be, geven geen vertrouwelijke gegevens door.

6. Alle sites van het Instituut die vertrouwelijke gegevens doorgeven zijn in TLS. Het Instituut heeft nooit gebruik gemaakt van SSL-3, omdat dit sinds eind 2014 verouderd werd verklaard en niet meer ondersteund wordt door de recente browsers.

7. Alle sites van het Instituut die vertrouwelijke gegevens doorgeven zijn in HTTPS TLS en vereisen een geauthentiseerde verbinding voordat de gegevens worden doorgegeven. Er zijn geen links tussen de publieke sites van het Instituut en de sites in HTTPS van het Instituut.

Voor wat Ambtenarenzaken betreft:

1. en 4.

De Federale Overheidsdienst (FOD) P&O is er zich van bewust dat een nulrisico niet bestaat, maar probeert een maximum van deze veiligheidsrisico’s te beperken. Concreet staat P&O in voor volgende sites:

2.

Alleen al door hun aard zijn wifi-hotspots kwetsbaar. De SSL-technologie wordt door de webapplicaties gebruikt om de internetverbinding te beveiligen, inclusief de online inschrijvingen, de verzending van persoonlijke gegevens etc. Deze informatie blijft vertrouwelijk tijdens de overdracht en is niet toegankelijk voor derden.

3

Beveiliging door enkel toegang via https toe te laten is maar één onderdeel van alle beveiligingselementen. De ICT-dienst verricht de nodige taken om de IT-infrastructuur up-to-date te houden.

5.

https://ecampus.ofoifa.be

Het platform wordt momenteel gehost door een externe dienstverlener die de verantwoordelijkheid draagt voor zijn verplichtingen op het vlak van het veiligheidsbeheer, die werden vastgesteld in de overheidsopdracht die hem werd gegund. Voor de encryptie gebruiken we niet langer het SSL-protocol, maar het TLS-protocol.

6.

Geen enkele website ondersteunt SSL3. Voor alle https-websites worden digitale certificaten gebruikt die uitgereikt worden door een international erkende Certificate Autority.

7.

Modificatie van de certificaten: langere encryptie, SSL Versie.

Het beperken van de toegang tot bepaalde sites en indien mogelijk het instellen van een lokale firewall.