SÉNAT DE BELGIQUE
________
Session 2012-2013
________
19 juillet 2013
________
SÉNAT Question écrite n° 5-9608

de Bert Anciaux (sp.a)

au vice-premier ministre et ministre de la Défense
________
les conséquences d'une fuite de données à la Défense
________
armée
informatique
protection des données
________
19/7/2013 Envoi question
23/8/2013 Réponse
________
Requalification de : demande d'explications 5-2884
________
SÉNAT Question écrite n° 5-9608 du 19 juillet 2013 : (Question posée en néerlandais)

La presse a récemment mentionné un problème dans les banques de données de la SNCB. Les données personnelles de quasi un million et demi de clients se sont retrouvées sur internet sans protection. Le même article renvoie à un problème similaire à la Défense où un annuaire téléphonique du département des Ressources humaines aurait fait l'objet d'une fuite.

Les problèmes informatiques ne datent pas d'hier et sont manifestement une constante, malgré l'expérience accumulée en la matière en un peu plus de deux décennies. En outre, la fourniture et l'entretien des systèmes informatiques de la Défense, tant du point de vue des logiciels que du matériel, sont confiés en sous-traitance à des entreprises et des experts sélectionnés avec circonspection, très onéreux et par conséquent, n'en doutons pas, hautement compétents. A fortiori à la Défense, on peut espérer que ces données informatiques sont protégées de manière particulièrement adéquate.

Une bévue comme cette fuite de données de clients du département Ressources humaines de la Défense n'en est que plus grave, mais aussi inquiétante, et suscite inévitablement des questions sur la qualité des systèmes informatiques de la Défense.

Le ministre confirme-t-il que l'annuaire téléphonique du département des Ressources humaines de la Défense a fait l'objet d'une fuite et que de nombreuses données personnelles de la Défense se sont retrouvées sur internet sans protection ?

Comment cette fuite s'est-elle produite, quelle faute concrète a-t-elle été commise ? S'agit-il d'une erreur humaine, d'un mauvais fonctionnement du système, de circonstances imprévisibles ...

Le ministre estime-t-il acceptable qu'une organisation hautement professionnelle et, nous l'espérons, bien sécurisée telle que la Défense soit confrontée à cette grave bévue ? Qui le ministre tiendra-t-il pour responsable à cet égard ? S'agit-il d'une faute commise par un fournisseur externe ou par le personnel de la Défense ? Où le contrôle de qualité a-t-il échoué ?

Cette fuite de données a-t-elle engendré ou engendre-t-elle des coûts supplémentaires pour la Défense ? Dans l'affirmative, lesquels, à combien s'élèvent-ils et qui les paiera ? Dans la négative, pourquoi ?

Cette fuite a-t-elle engendré ou engendre-t-elle des coûts supplémentaires pour les personnes dont les données personnelles ont été révélées ? Dans l'affirmative, lesquels, à combien s'élèvent-ils et qui les paiera ? Dans la négative, pourquoi ?

Comment évitera-t-on à l'avenir ce genre de problème et de bévue ? Quelles mesures concrètes ont-elles entre-temps été prises à cet effet ?

Réponse reçue le 23 aôut 2013 :

L’honorable membre est prié de trouver ci-après la réponse à ses questions.

Une liste téléphonique interne de la Direction générale des ressources humaines (DGHR) a effectivement été publiée sur l’internet.

Cette fuite de données provenait d’une faute technique. Le site qui contenait ces données, a été bloqué le 3 janvier et le 4 janvier des mesures ont été prises pour enlever l’information répandue involontairement. Il convient de noter qu'aucune information privée n’a été rendue publique. Le 8 janvier, le personnel de la Défense concerné a été informé des mesures prises via un e-mail interne.

Le problème était dû à la technologie utilisée pour sécuriser l'accès au site distinct de la DGHR. Ce site - qui se trouve sur un serveur distinct et complètement isolé du réseau interne de la Défense - est utilisé pour la diffusion efficiente aux militaires et personnes relatées (notamment les retraités, les réservistes, ...) d’informations non classifiées relatives au personnel. Ceci signifie que les personnes qui disposent de droits d'accès à ce site ne possèdent pas automatiquement un accès au réseau interne de la Défense.

Les autres sites de la Défense utilisent des technologies différentes et ne sont donc pas sensibles aux mêmes problèmes. La fuite n'a provoqué pour la Défense ni pour les personnes dont les données ont été divulguées des frais supplémentaires. Un nombre limité d’utilisateurs a subi un léger inconfort car ils ne pouvaient plus accéder à l'information de ce serveur. Cette restriction a été communiquée et l'information nécessaire a été rendue disponible par des canaux alternatifs. Entre-temps, le nouveau site internet sécurisé de la DGHR est accessible après identification.

La Défense dispose d’un service spécialisé en sécurité informatique. Le domaine de la sécurité de l'information est un domaine qui évolue constamment. L'amélioration et l’actualisation de la protection des données et des informations aussi bien internes, que celles qui sont accessibles à travers un site public comme « dghr.mil.be », constitue une préoccupation constante qui nécessite un effort continu du Département.