SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2016-2017 Zitting 2016-2017
________________
15 décembre 2016 15 december 2016
________________
Question écrite n° 6-1176 Schriftelijke vraag nr. 6-1176

de Jean-Jacques De Gucht (Open Vld)

van Jean-Jacques De Gucht (Open Vld)

au premier ministre

aan de eerste minister
________________
Sites internet des pouvoirs publics - Sécurité des communications - Fuites - Amélioration de la sécurité - Mesures Overheidswebsites - Veilige communicatie - Lekken - Verbetering van de veiligheid - Maatregelen 
________________
Internet
criminalité informatique
protection des données
Pays-Bas
ministère
administration publique
site internet
internet
computercriminaliteit
gegevensbescherming
Nederland
ministerie
overheidsadministratie
internetsite
________ ________
15/12/2016Verzending vraag
(Einde van de antwoordtermijn: 19/1/2017)
18/1/2017Antwoord
15/12/2016Verzending vraag
(Einde van de antwoordtermijn: 19/1/2017)
18/1/2017Antwoord
________ ________
Aussi posée à : question écrite 6-1177
Aussi posée à : question écrite 6-1178
Aussi posée à : question écrite 6-1179
Aussi posée à : question écrite 6-1180
Aussi posée à : question écrite 6-1181
Aussi posée à : question écrite 6-1182
Aussi posée à : question écrite 6-1183
Aussi posée à : question écrite 6-1184
Aussi posée à : question écrite 6-1185
Aussi posée à : question écrite 6-1186
Aussi posée à : question écrite 6-1187
Aussi posée à : question écrite 6-1188
Aussi posée à : question écrite 6-1189
Aussi posée à : question écrite 6-1190
Aussi posée à : question écrite 6-1191
Aussi posée à : question écrite 6-1192
Aussi posée à : question écrite 6-1193
Aussi posée à : question écrite 6-1177
Aussi posée à : question écrite 6-1178
Aussi posée à : question écrite 6-1179
Aussi posée à : question écrite 6-1180
Aussi posée à : question écrite 6-1181
Aussi posée à : question écrite 6-1182
Aussi posée à : question écrite 6-1183
Aussi posée à : question écrite 6-1184
Aussi posée à : question écrite 6-1185
Aussi posée à : question écrite 6-1186
Aussi posée à : question écrite 6-1187
Aussi posée à : question écrite 6-1188
Aussi posée à : question écrite 6-1189
Aussi posée à : question écrite 6-1190
Aussi posée à : question écrite 6-1191
Aussi posée à : question écrite 6-1192
Aussi posée à : question écrite 6-1193
________ ________
Question n° 6-1176 du 15 décembre 2016 : (Question posée en néerlandais) Vraag nr. 6-1176 d.d. 15 december 2016 : (Vraag gesteld in het Nederlands)

Les connexions vers de nombreux sites internet des pouvoirs publics néerlandais ne sont pas bien sécurisées. C'est ce qui ressort de l'étude réalisée par l'Open State Foundation, une organisation non lucrative qui « veut augmenter la transparence en politique ». On peut reconnaître une connexion sécurisée au petit cadenas qui apparaît dans le moteur de recherche.

L'organisation a examiné 1.816 sites internet des pouvoirs publics ; seuls 44 % d'entre eux ont des connexions sécurisées. 6 % ont effectivement une connexion sécurisée mais ne l'ont pas bien configurée, ce qui laisse la porte ouverte à des piratages.

La connexion vers le site internet de la Rijksrecherche n'est pas sécurisée. Cette section de la police néerlandaise mène des enquêtes sur les manquements commis par des fonctionnaires publics, notamment des collaborateurs de police. Jusqu'à la fin du mois de novembre 2016, quiconque dénonçait un manquement sur le site de la Rijksrecherche courait toutefois le risque que son message soit lu par d'autres personnes. Cela pouvait par exemple se faire par des bornes wifi publiques, comme dans le train, dans un hôtel ou dans un restaurant : la connexion était alors facile à intercepter.

Après que le site d'information néerlandais NOS a signalé la chose, le formulaire de dénonciation a été enlevé du site. Un porte-parole a fait savoir qu'il n'était temporairement plus possible de signaler des abus. Les citoyens qui ont des informations à communiquer peuvent encore téléphoner. On examine si des mesures de suivi sont nécessaires.

Même la page d'accueil du site internet de l'administration fiscale n'a pas de connexion sécurisée. L'accès au site de l'administration fiscale est bien sécurisé mais comme la page d'accueil ne l'est pas, un hacker peut forcer une connexion non sécurisée. Cela peut par exemple se faire en créant une fausse borne wifi dans une gare ou un autre endroit très fréquenté.

Ironie de la situation : la connexion du site officiel qui est censé promouvoir une administration consciente des dangers d'internet, n'est pas bien sécurisée.

L'étude concernait les pages d'accueil des sites internet publics ; il est possible que certaines parties des sites soient mieux sécurisées. Les experts en sécurité informatique conseillent toutefois de prévoir une connexion sécurisée pour l'ensemble du site internet. On peut reconnaître les sites non sécurisés à l'absence de cadenas dans le moteur de recherche.

De même, certains sites internet d'ambassades néerlandaises dans des pays où les droits fondamentaux de l'homme sont violés, ne sont pas sécurisés avec une connexion https en bon état de marche.

Une étude menée antérieurement sur les sites des pouvoirs publics dans notre pays a révélé des défauts similaires. Fedict, le service public fédéral Technologie de l'Information et de la Communication, a réagi en indiquant qu'il allait exécuter plus rapidement les mesures prévues pour améliorer le cryptage SSL.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique est l'une des grandes priorités établies. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif.

C'est pourquoi je souhaite vous poser les questions suivantes :

1) N'y a-t-il aucun risque de sécurité pour les sites internet des services publics fédéraux relevant de vos compétences ainsi que pour vos propres sites ? Pouvez-vous dresser la liste des sites dont vous avez la responsabilité ?

2) N'y a-t-il aucun risque, lorsque des utilisateurs se connectent via des bornes wifi, que l'on puisse lire les messages échangés avec des sites de services publics dont vous avez la responsabilité ? Pouvez-vous détailler votre réponse ?

3) Est-il vrai que parmi les sites internet des services publics qui utilisent effectivement une connexion https, il y en a encore un certain nombre qui sont configurés de telle sorte qu'ils présentent également un risque de sécurité ?

4) Pouvez-vous énumérer les sites officiels relevant spécifiquement de vos compétences en y incluant les sites des services publics fédéraux relevant de vos compétences et les sites des services extérieurs ?

5) Les mesures annoncées par le passé pour améliorer le cryptage SSL ont-elles effectivement été réalisées par Fedict sur tous les sites relevant de vos compétences ? Pouvez-vous fournir des explications concrètes à ce sujet ?

6) Pouvez-vous garantir qu'aucun des sites relevant de vos compétences ne travaille plus avec SSL-3 ? Le cas échéant, pouvez-vous expliquer votre réponse ?

7) Pouvez-vous énumérer concrètement les mesures qui ont déjà été prises depuis que l'étude réalisée sur les sites des services publics belges a mis en lumière certains défauts, en vue de sécuriser la connexion avec les sites internet des services publics ?

 

De verbindingen naar veel Nederlandse overheidswebsites zijn niet goed beveiligd. Dat blijkt uit onderzoek van de Open State Foundation, een non-profitorganisatie die « transparantie in de politiek wil vergroten ». Een beveiligde verbinding is te herkennen aan een slotje in de browser.

De organisatie onderzocht 1 816 overheidswebsites ; slechts 44 % daarvan ondersteunt beveiligde verbindingen. Nog eens 6 % heeft wel een beveiligde verbinding, maar heeft hem niet goed ingesteld, waardoor aanvallers alsnog een kans hebben.

Onder meer de verbinding naar de website van de Rijksrecherche is onbeveiligd. Die politie-organisatie doet onderzoek naar misdragingen door overheidsfunctionarissen, waaronder politiemedewerkers. Wie een misstand melde op de site van de Rijksrecherche, liep tot woensdagavond echter het risico dat anderen meelazen. Dat kon bijvoorbeeld bij openbare wifi-hotspots, zoals in de trein, in een hotel of restaurant : de verbinding was dan eenvoudig te onderscheppen.

Na melding van de NOS is dat formulier verwijderd van de site. « Het is tijdelijk niet meer mogelijk om misstanden te melden », laat een woordvoerder weten. Burgers met tips kunnen nog wel bellen. Er wordt onderzocht of « vervolgmaatregelen » nodig zijn.

Ook de voorpagina van de website van de Belastingdienst heeft geen beveiligde verbinding. Het inloggen op de Belastingdienst-site is wel beveiligd, maar doordat de voorpagina dat niet is, kan een hacker een onveilige verbinding afdwingen. Dat kan bijvoorbeeld door een valse wifi-hotspot op te zetten op een station of een andere drukke plek.

Ironisch genoeg is ook de verbinding van de overheidssite die is bedoeld om een « internetbewuste overheid » te promoten niet goed beveiligd.

Het onderzoek betrof de voorpagina's van de overheidssites ; het is mogelijk dat bepaalde onderdelen van de websites beter zijn beveiligd. Beveiligingsexperts raden echter aan om sowieso de volledige website van een veilige verbinding te voorzien. De onbeveiligde sites zijn te herkennen aan het ontbreken van een slotje in de browser.

Ook zijn er een aantal websites van Nederlandse ambassades in landen waar bassale mensenrechten worden geschonden die niet beveiligd zijn met een goed functionerende https-verbinding.

Eerder onderzoek naar de overheidssites in ons land toonde gelijkaardige zwakheden aan. In een reactie stelde Fedict, de federale overheidsdienst Informatie- en Communicatietechnologie, dat het reeds geplande maatregelen om de SSL-encryptie te verbeteren nu versneld zal uitvoeren.

Wat betreft transversaal karakter van de vraag : de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016–2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten is de informaticacriminaliteit. Het betreft aldus een transversale gewestaangelegenheid waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Daarom heb ik volgende vragen voor u :

1) Zijn er geen veiligheidsrisico's voor de websites van de federale overheidsdiensten waarvoor u bevoegd bent, alsook uw eigen sites ? Kunt u de sites waarvoor u instaat oplijsten ?

2) Is er geen risico dat, bij het inloggen van gebruikers via wifi-hotspots, dat de communicatie met de overheidssites waarvoor u instaat kan worden ingelezen ? Kan u dit toelichten ?

3) Is het waar dat van de overheidswebsites die wel een https-verbinding gebruiken er ook nog een aantal websites zijn die zodanig zijn ingesteld dat er ook daar een beveiligingsrisico bestaat ?

4) Kunt u oplijsten voor welke overheidssites u specifiek bevoegd bent en dit inclusief de sites van de federale overheidsdiensten waarvoor u bevoegd bent en de sites van de buitendiensten ?

5) Werden de eerder aangekondigde maatregelen om de SSL-encryptie te verbeteren daadwerkelijk doorgevoerd door Fedict op alle sites waarvoor u bevoegd bent ? Kunt u dit concreet toelichten ?

6) Kunt u garanderen dat geen enkele site waarvoor u bevoegd bent nog werkt met SSL-3 ? Kunt u dit desgevallend toelichten ?

7) Kunt u concreet oplijsten welke maatregelen reeds zijn genomen sinds het onderzoek naar de Belgische overheidssites enkele zwakheden oplijstte om aldus een veilige verbinding met overheidswebsites tot stand te brengen ?

 
Réponse reçue le 18 janvier 2017 : Antwoord ontvangen op 18 januari 2017 :

1) & 4) Les tentatives d’attaques sur nos sites Web, de type DDOS ou autres, sont quotidiennes. Les attaques sont généralement du type volumétrique et surchargent la capacité du matériel. La congestion réseau qui est ainsi causée empêche dans un très faible nombre de cas l’accès au site. Aucun vol, altération des données ou accès illicites à nos infrastructures n’a à ce jour été constaté.

La liste des sites web demandée est jointe en annexe.

2) Le risque supplémentaire (écoute de la communication) que représente l’utilisation d’un hotspot est couvert par l’ensemble des mesures de sécurité qui sont mises en œuvre pour assurer la sécurité globale des informations.

3) L’utilisation de l’HTTPS, c’est à dire le cryptage de la communication entre le serveur Web et le navigateur, est recommandé car il permet d’éviter la divulgation de l’information lors de la communication. Néanmoins, cette méthode ne sécurise pas le serveur ou le navigateur client qui restent vulnérables.

5) & 6) La chancellerie offre ses services à ses partenaires ou clients avec des critères de qualité, de sécurité et de supports élevés qui font l’objet d’un monitoring adéquat. Dans la mesure du possible, les versions les plus récentes des protocoles sont appliquées.

En ce qui concerne les services de Fedict, je renvoie à la réponse du ministre de l’Agenda numérique à qui la question a également été posée.

7) L’effort de protection est continu afin d’augmenter la sécurité des données et des applications. Plusieurs lignes de protections de l’infrastructure sont ainsi constituées afin de garantir la sécurité globale, y compris celle des sites web.

Les mesures suivantes ont notamment été prises au sein du ICT Shared Services des services publics fédéraux horizontaux :

– les mises à jours des postes de travail, notamment les patches de sécurité, sont automatisées et la présence d’un software antivirus récent est obligatoire ;

– les différents serveurs sont à jour et sécurisés ;

– les équipements réseaux exposés sont également munis de moyens de protection ;

– les mots de passe pour l’accès aux applications et aux données sont renforcés et utilisent de préférence une authentification forte (deux facteurs) comme moyen d’authentification ;

– la couche stockage des données utilise également des instruments de protection spécifiques ;

– les applications et les données utilisent une infrastructure physique installée dans les datacenters de la chancellerie et exploité par une équipe interne et des externes dédicacés et habilités ;

– les backups sont réalisés sur bande et sont cryptés ;

– des audits de sécurité et des tests de pénétration sont régulièrement réalisés : ils donnent lieu à des plans de remédiation ou d’amélioration.

En outre, le service public fédérale (SPF) Chancellerie devrait encore prendre les mesures supplémentaires suivantes :

– augmentation des protections au niveau des interconnexions réseaux : matériel de protection spécifique, centralisation et corrélation des alertes de sécurité, équipe d’intervention en cas d’alerte ;

– augmentation de la sécurité des applications par la généralisation de l’authentification forte et par le recours à la virtualisation des postes de travail ;

– mise en place de mesures de protection physique des équipements informatiques ;

– augmentation des possibilités de tracer les droits et accès aux documents afin de renforcer les audits de sécurité.

www

HTTPS

HTTP

*.shareappst.be

Y

N

*.sharedapps.be

Y

N

*.sharedappsa.be

Y

N

*.shsappsb.be

Y

N

*.shsappsba.be

Y

N

*.shsappsbt.be

Y

N

*.shsappsf.be

Y

N

*.shsappsfa.be

Y

N

*.shsappsft.be

Y

N

*.shsappsk.be

Y

N

*.shsappska.be

Y

N

*.shsappskt.be

Y

N

16.yourict.be

Y

N

2010.yourict.be

Y

N

20142018.yourict.be

Y

N

20142018test.yourict.be

Y

N

2031.oceanic.belgium.be

N

Y

2045.oceanic.belgium.be

N

Y

2071.oceanic.belgium.be

N

Y

2116.oceanic.belgium.be

N

Y

acfo.yourict.be

Y

N

administrator.fedpol-staging.yourict.be

Y

N

administrator.lokalepolitie.be

N

Y

administrator.lokalepolizei.be

N

Y

administrator.p.pol-fr.be

N

Y

administrator.s.pol-de.be

N

Y

administrator.s.pol-fr.be

N

Y

administrator.s.pol-nl.be

N

Y

alleato.yourict.be

Y

N

alleatotest.yourict.be

Y

N

alovernagedacht.be

N

Y

apps.bpolb.eu

Y

N

appstest.bpolb.eu

Y

N

archive.dirupo.belgium.be

N

Y

auditcomite.belgium.be

N

Y

autodiscover.police.belgium.eu

Y

N

bacquelaine.belgium.be

N

Y

be16.yourict.be

Y

N

be16acc.yourict.be

Y

N

be16acctemp.yourict.be

Y

N

be16temp.yourict.be

Y

N

be16test.yourict.be

Y

N

be16testtemp.yourict.be

Y

N

becarto14-18.be

N

Y

begroting.be

N

Y

belgianfederalpolice.eu

N

Y

belgie1418.be

N

Y

belgielex.be

N

Y

belgischefederalepolitie.eu

N

Y

belgischefoderalepolizei.eu

N

Y

belgiumbeyondexpectations.be

N

Y

belgiuminshangai.be

N

Y

belgopocket.be

N

Y

bellot.belgium.be

N

Y

bibforum.fgov.be

N

Y

binnenlucht.be

N

Y

bmc.fedcom.be

Y

N

bo.fedcom.be

Y

N

borsus.belgium.be

N

Y

budgetfederal.be

N

Y

cas.yourict.be

Y

N

ccb.belgium.be

N

Y

cg.yourict.be

Y

N

cgacc.yourict.be

Y

N

cgoo.yourict.be

Y

N

cgooacc.yourict.be

Y

N

cgootest.yourict.be

Y

N

cgtest.yourict.be

Y

N

cidh-ichr.be

N

Y

clinicamp.be

N

Y

clm.fedcom.be

Y

N

club35.be

N

Y

collab-famhp.yourict.be

Y

N

collab-famhpacc.yourict.be

Y

N

collab-famhptest.yourict.be

Y

N

collaborate.bpolb.eu

Y

N

collaboratetest.bpolb.eu

Y

N

collaboration.abh-ace.be

Y

N

commnet-kmnet.belgium.be

N

Y

config.shanghai2010.be

Y

N

connect.fedcom.be

N

Y

cpc.yourict.be

Y

N

crisis.ibz.be

N

Y

csd-oudenaarde.yourict.be

Y

N

csd-oudenaardeacc.yourict.be

Y

N

csd-oudenaardetest.yourict.be

Y

N

ctg.yourict.be

Y

N

ctgacc.yourict.be

Y

N

ctgtest.yourict.be

Y

N

dam16.yourict.be

Y

N

databases.belgium.be

N

Y

dav-asa.yourict.be

Y

N

dav-asatest.yourict.be

Y

N

deblock.belgium.be

N

Y

decroo.belgium.be

N

Y

digitalematuriteit.belgium.be

N

Y

docs.yourict.be

Y

N

duurzaamevenement.belgium.be

N

Y

ebmc.fedcom.be

Y

N

edocs.yourict.be

Y

N

edocs2test.yourict.be

Y

N

edocsacc.yourict.be

Y

N

edocsacctemp.yourict.be

Y

N

edocstemp.yourict.be

Y

N

edocstest.yourict.be

Y

N

edocstesttemp.yourict.be

Y

N

edrl.yourict.be

Y

N

edrltest.yourict.be

N

Y

edu.igo-ifj.be

N

Y

eengeneesmiddelisgeensnoepje.be

N

Y

e-essentialtest.yourict.be

Y

N

efpf.yourict.be

Y

N

efpftest.yourict.be

Y

N

epremier.fed.be

Y

N

eustats.yourict.be

Y

N

excom.yourict.be

Y

N

excomtest.yourict.be

Y

N

extranet.begroting.be

Y

N

extranet.p-o.be

Y

N

extranetacc.begroting.be

Y

N

extranetacc.p-o.be

Y

N

extranetacctemp.begroting.be

Y

N

extranettemp.begroting.be

Y

N

extranettest.begroting.be

Y

N

extranettest.p-o.be

Y

N

extranettesttemp.begroting.be

Y

N

fedcom.be

Y

N

fedcomdocs.fed.be

Y

N

fedcomdocs.yourict.be

Y

N

fedcomdocsacc.yourict.be

Y

N

fedcomdocstest.yourict.be

Y

N

federale-regering.be

N

Y

fedict.yourict.be

Y

N

francken.belgium.be

N

Y

govcamp.org

N

Y

iam.yourict.be

N

Y

icm12.yourict.be

Y

N

icm12_prod

Y

N

icm12t.yourict.be

Y

N

iedereenonline.be

N

Y

iforum.yourict.be

Y

N

igo-ifj.be

N

Y

influenza.be

N

Y

info.bpolb.eu

Y

N

infoacc.bpolb.eu

Y

N

infoacctemp.bpolb.eu

Y

N

infotemp.bpolb.eu

Y

N

infotest.bpolb.eu

Y

N

infotesttemp.bpolb.eu

Y

N

institutionele.fed.be

N

Y

interviewing-symposium.be

N

Y

intranet.begroting.be

Y

N

isis.police.belgium.eu

Y

N

ISIS.yourict.be

Y

N

ISISacc.yourict.be

Y

N

ISIStest.yourict.be

Y

N

itrp-abh-ace.yourict.be

Y

N

itrp-apetra.yourict.be

Y

N

itrpassets0.yourict.be

Y

N

itrpassets1.yourict.be

Y

N

itrp-budget.yourict.be

Y

N

itrp-fagg.yourict.be

Y

N

itrp-fedict.yourict.be

Y

N

itrp-fedpol.yourict.be

Y

N

itrp-fpb.yourict.be

Y

N

itrp-igo.yourict.be

Y

N

itrp-kabinetten.yourict.be

Y

N

itrp-kabonkelinx.yourict.be

Y

N

itrp-kabvandelanottecrombez.yourict.be

Y

N

itrp-kabverbo.yourict.be

Y

N

itrp-kabwathelet.yourict.be

Y

N

itrp-kanselarij.yourict.be

Y

N

itrp-kenniscentrum.yourict.be

Y

N

itrp-kp-rp.yourict.be

Y

N

itrplogin.yourict.be

Y

N

itrp-mi.yourict.be

Y

N

itrp-ngi-ign.yourict.be

Y

N

itrp-pno.yourict.be

Y

N

itrp-pzg.yourict.be

Y

N

itrp-shared-services.yourict.be

Y

N

itrp-sme.yourict.be

Y

N

jambon.belgium.be

N

Y

kanselarij.belgium.be

N

Y

logon.epremier.fed.be

Y

N

lokalepolitie.be

N

Y

lokalepolizei.be

N

Y

magnette.yourict.be

Y

N

magnettetest.yourict.be

Y

N

mail.bpolb.eu

Y

N

mail.fed.be

Y

N

mail.yourict.be

Y

N

medicaments-par-internet.be

N

Y

memopoint.yourict.be

Y

N

memopointacc.yourict.be

Y

N

memopointtest.yourict.be

Y

N

mobile.yourict.be

Y

N

multimedia.yourict.be

Y

N

my.begroting.be

Y

N

my.bpolb.eu

Y

N

my.yourict.be

Y

N

mya.begroting.be

Y

N

mya.bpolb.eu

Y

N

mya.yourict.be

Y

N

myp.yourict.be

Y

N

myt.begroting.be

Y

N

myt.bpolb.eu

Y

N

myt.yourict.be

Y

N

new.police.be

N

Y

officeapps.yourict.be

Y

N

omz-circ.yourict.be

Y

N

operations.yourict.be

Y

N

owavip.fed.be

Y

N

p.pol-de.be

N

Y

p.pol-fr.be

N

Y

p.pol-nl.be

N

Y

pacteculturel.be

N

Y

parlement.yourict.be

Y

N

parlementtest.yourict.be

Y

N

pasdincendiechezmoi.be

N

Y

passwordregistration.bpolb.eu

Y

N

passwordreset.bpolb.eu

Y

N

patientenrechten.be

N

Y

persopoint.be

N

Y

photos-monarchie.be

N

Y

poc-dri.yourict.be

Y

N

poc-fedar1.yourict.be

Y

N

poc-locpz1.yourict.be

Y

N

poc-police.yourict.be

Y

N

pod-mi.yourict.be

Y

N

pod-miacc.yourict.be

Y

N

pod-mitest.yourict.be

Y

N

p-o-events.belgium.be

N

Y

polfed-fedpol.be

N

Y

police.be

N

Y

police-organisationapprenante.be

N

Y

politie.be

N

Y

politie-lerendeorganisatie.be

N

Y

polizei.be

N

Y

pre.epremier.fed.be

Y

N

pre.login.epremier.fed.be

Y

N

premier.be

N

Y

preview.shanghai2010.be

N

Y

psi.yourict.be

Y

N

publish.bpolb.eu

Y

N

publishtest.bpolb.eu

Y

N

pz-schoten.yourict.be

Y

N

pz-schotenacc.yourict.be

Y

N

pz-schotentest.yourict.be

Y

N

quality.fedcom.be

Y

N

raadvandegelijkekansen.be

N

Y

rd.yourict.be

Y

N

rdacc.yourict.be

Y

N

rdtest.yourict.be

Y

N

repo.shanghai2010.be

Y

N

ria-air.fed.be

N

Y

risquenucleaire.be

N

Y

s.pol-de.be

N

Y

s.pol-fr.be

N

Y

s.pol-nl.be

N

Y

seveso.be

N

Y

shared-services.yourict.be

Y

N

share-if.yourict.be

Y

N

share-ifacc.yourict.be

Y

N

share-ifacctemp.yourict.be

Y

N

share-iftemp.yourict.be

Y

N

share-iftest.yourict.be

Y

N

share-iftesttemp.yourict.be

Y

N

shsplace.yourict.be

N

Y

site1test.yourict.be

Y

N

site2test.yourict.be

Y

N

sobane.be

N

Y

sp.begroting.be

N

Y

sp.persopoint.be

Y

N

sp.p-o.be

Y

N

spacc.persopoint.be

Y

N

spacc.p-o.be

Y

N

spp.yourict.be

Y

N

sptest.persopoint.be

Y

N

sptest.p-o.be

Y

N

ssp.owavip.fed.be

Y

N

support.bpolb.eu

Y

N

supporttest.bpolb.eu

Y

N

talent.yourict.be

Y

N

test-budget.yourict.be

Y

N

test-fedict.yourict.be

Y

N

testiforum.yourict.be

Y

N

test-kanselarij.yourict.be

Y

N

test-shared-services.yourict.be

Y

N

training.fedcom.be

Y

N

trinicom.mi-is.be

N

Y

vandeput.belgium.be

N

Y

vanovertveldt.belgium.be

N

Y

vclp-cppl.yourict.be

Y

N

vclp-cpplacc.yourict.be

Y

N

vclp-cppltest.yourict.be

Y

N

veiligheidvanartsen.be

N

Y

verbo.yourict.be

Y

N

verbotest.yourict.be

Y

N

vereenvoudiging.be

N

Y

wac13.yourict.be

Y

N

wac13a.yourict.be

Y

N

wac13t.yourict.be

Y

N

webguide.belgium.be

N

Y

webmail.ngi.be

Y

N

wetloi.yourict.be

Y

N

wilmes.belgium.be

N

Y

work.bpolb.eu

Y

N

worktest.bpolb.eu

Y

N

yourict.be

Y

N



1) & 4) Er zijn dagelijks pogingen tot aanvallen van het DDOS-type op onze websites. De aanvallen zijn meestal volumetrisch van aard en overbelasten de capaciteit van het materiaal. Het dichtslibben van het netwerk dat zo veroorzaakt wordt, verhindert in een klein aantal gevallen de toegang tot de website. Geen enkele diefstal, beschadiging van gegevens of illegale toegang tot onze infrastructuur werd tot op heden vastgesteld.

De lijst van de gevraagde websites is gevoegd in bijlage.

2) Het bijkomend risico (afluisteren van de communicatie) van het gebruik van een hotspot wordt beheerst door het geheel van de genomen veiligheidsmaatregelen om de globale informatieveiligheid te garanderen.

3) Het gebruik van HTTPS, zijnde de encryptie van de communicatie tussen de webserver en de surfer, wordt aanbevolen omdat dit toelaat de verspreiding van de informatie te vermijden tijdens de verbinding. Deze methode beveiligt niettemin niet de server of de surfer-klant die zelf kwetsbaar blijven.

5) & 6) De kanselarij biedt zijn diensten aan aan zijn partners of klanten met hoge kwaliteits-, veiligheids- en ondersteuningscriteria die aan een passende monitoring onderworpen zijn. In de mate van het mogelijke worden steeds de meest recente versies van protocollen toegepast.

Wat de dienstverlening van Fedict betreft, verwijs ik naar het antwoord van de minister bevoegd voor de Digitale Agenda, aan wie de vraag eveneens werd gesteld.

7) De beschermingsinspanning is continu om de beveiliging van onze data en applicaties te verhogen. Meerdere beschermingslijnen werden voorzien rond onze infrastructuur om een globale beveiliging te waarborgen, waaronder deze van websites.

Binnen ICT Shared Services van de horizontale federale overheidsdiensten werden ondermeer volgende beschermingsmaatregelen genomen :

updates van de werkposten, met name van de beveiligingsinstrumenten, zijn geautomatiseerd en de installatie van een recente antivirus-software is verplicht ;

– de verschillende servers zijn eveneens up to date en beveiligd ;

– de gebruikte netwerkuitrustingen zijn eveneens voorzien van beschermingsmiddelen ;

– de paswoorden voor de toegang tot applicaties en gegevens zijn versterkt en gebruiken bij voorkeur een sterke authenticatie (twee factoren) als authenticatiemiddel ;

– de gegevensopslag gebruikt eveneens bijzondere beschermingsinstrumenten ;

– de applicaties en de gegevens gebruiken een fysieke infrastructuur die geïnstalleerd is in de datacenters van de kanselarij en uitgebaat door daartoe aangewezen en gemachtigde interne en externe ploeg ;

backups worden op tape uitgevoerd en worden gecrypteerd ;

– veiligheidsaudits en indringingstesten worden regelmatig uitgevoerd : zij geven aanleiding tot herstel- en verbeterplannen.

In 2017 zou de federale overheidsdienst (FOD) Kanselarij bovendien volgende bijkomende maatregelen nemen :

– betere bescherming van de onderlinge netwerkverbindingen : specifieke beveiligings-hardware, centralisatie en correlatie van de alarmmeldingen, interventieploeg in geval van alarm ;

– betere beveiliging van de applicaties via veralgemening van sterke authenticatie en virtualisatie van de werkposten ;

– invoering van maatregelen voor de fysieke bescherming van informaticamateriaal ;

– meer mogelijkheden om de rechten en de toegang tot documenten te traceren en aldus de veiligheidsaudits te verbeteren.

www

HTTPS

HTTP

*.shareappst.be

Y

N

*.sharedapps.be

Y

N

*.sharedappsa.be

Y

N

*.shsappsb.be

Y

N

*.shsappsba.be

Y

N

*.shsappsbt.be

Y

N

*.shsappsf.be

Y

N

*.shsappsfa.be

Y

N

*.shsappsft.be

Y

N

*.shsappsk.be

Y

N

*.shsappska.be

Y

N

*.shsappskt.be

Y

N

16.yourict.be

Y

N

2010.yourict.be

Y

N

20142018.yourict.be

Y

N

20142018test.yourict.be

Y

N

2031.oceanic.belgium.be

N

Y

2045.oceanic.belgium.be

N

Y

2071.oceanic.belgium.be

N

Y

2116.oceanic.belgium.be

N

Y

acfo.yourict.be

Y

N

administrator.fedpol-staging.yourict.be

Y

N

administrator.lokalepolitie.be

N

Y

administrator.lokalepolizei.be

N

Y

administrator.p.pol-fr.be

N

Y

administrator.s.pol-de.be

N

Y

administrator.s.pol-fr.be

N

Y

administrator.s.pol-nl.be

N

Y

alleato.yourict.be

Y

N

alleatotest.yourict.be

Y

N

alovernagedacht.be

N

Y

apps.bpolb.eu

Y

N

appstest.bpolb.eu

Y

N

archive.dirupo.belgium.be

N

Y

auditcomite.belgium.be

N

Y

autodiscover.police.belgium.eu

Y

N

bacquelaine.belgium.be

N

Y

be16.yourict.be

Y

N

be16acc.yourict.be

Y

N

be16acctemp.yourict.be

Y

N

be16temp.yourict.be

Y

N

be16test.yourict.be

Y

N

be16testtemp.yourict.be

Y

N

becarto14-18.be

N

Y

begroting.be

N

Y

belgianfederalpolice.eu

N

Y

belgie1418.be

N

Y

belgielex.be

N

Y

belgischefederalepolitie.eu

N

Y

belgischefoderalepolizei.eu

N

Y

belgiumbeyondexpectations.be

N

Y

belgiuminshangai.be

N

Y

belgopocket.be

N

Y

bellot.belgium.be

N

Y

bibforum.fgov.be

N

Y

binnenlucht.be

N

Y

bmc.fedcom.be

Y

N

bo.fedcom.be

Y

N

borsus.belgium.be

N

Y

budgetfederal.be

N

Y

cas.yourict.be

Y

N

ccb.belgium.be

N

Y

cg.yourict.be

Y

N

cgacc.yourict.be

Y

N

cgoo.yourict.be

Y

N

cgooacc.yourict.be

Y

N

cgootest.yourict.be

Y

N

cgtest.yourict.be

Y

N

cidh-ichr.be

N

Y

clinicamp.be

N

Y

clm.fedcom.be

Y

N

club35.be

N

Y

collab-famhp.yourict.be

Y

N

collab-famhpacc.yourict.be

Y

N

collab-famhptest.yourict.be

Y

N

collaborate.bpolb.eu

Y

N

collaboratetest.bpolb.eu

Y

N

collaboration.abh-ace.be

Y

N

commnet-kmnet.belgium.be

N

Y

config.shanghai2010.be

Y

N

connect.fedcom.be

N

Y

cpc.yourict.be

Y

N

crisis.ibz.be

N

Y

csd-oudenaarde.yourict.be

Y

N

csd-oudenaardeacc.yourict.be

Y

N

csd-oudenaardetest.yourict.be

Y

N

ctg.yourict.be

Y

N

ctgacc.yourict.be

Y

N

ctgtest.yourict.be

Y

N

dam16.yourict.be

Y

N

databases.belgium.be

N

Y

dav-asa.yourict.be

Y

N

dav-asatest.yourict.be

Y

N

deblock.belgium.be

N

Y

decroo.belgium.be

N

Y

digitalematuriteit.belgium.be

N

Y

docs.yourict.be

Y

N

duurzaamevenement.belgium.be

N

Y

ebmc.fedcom.be

Y

N

edocs.yourict.be

Y

N

edocs2test.yourict.be

Y

N

edocsacc.yourict.be

Y

N

edocsacctemp.yourict.be

Y

N

edocstemp.yourict.be

Y

N

edocstest.yourict.be

Y

N

edocstesttemp.yourict.be

Y

N

edrl.yourict.be

Y

N

edrltest.yourict.be

N

Y

edu.igo-ifj.be

N

Y

eengeneesmiddelisgeensnoepje.be

N

Y

e-essentialtest.yourict.be

Y

N

efpf.yourict.be

Y

N

efpftest.yourict.be

Y

N

epremier.fed.be

Y

N

eustats.yourict.be

Y

N

excom.yourict.be

Y

N

excomtest.yourict.be

Y

N

extranet.begroting.be

Y

N

extranet.p-o.be

Y

N

extranetacc.begroting.be

Y

N

extranetacc.p-o.be

Y

N

extranetacctemp.begroting.be

Y

N

extranettemp.begroting.be

Y

N

extranettest.begroting.be

Y

N

extranettest.p-o.be

Y

N

extranettesttemp.begroting.be

Y

N

fedcom.be

Y

N

fedcomdocs.fed.be

Y

N

fedcomdocs.yourict.be

Y

N

fedcomdocsacc.yourict.be

Y

N

fedcomdocstest.yourict.be

Y

N

federale-regering.be

N

Y

fedict.yourict.be

Y

N

francken.belgium.be

N

Y

govcamp.org

N

Y

iam.yourict.be

N

Y

icm12.yourict.be

Y

N

icm12_prod

Y

N

icm12t.yourict.be

Y

N

iedereenonline.be

N

Y

iforum.yourict.be

Y

N

igo-ifj.be

N

Y

influenza.be

N

Y

info.bpolb.eu

Y

N

infoacc.bpolb.eu

Y

N

infoacctemp.bpolb.eu

Y

N

infotemp.bpolb.eu

Y

N

infotest.bpolb.eu

Y

N

infotesttemp.bpolb.eu

Y

N

institutionele.fed.be

N

Y

interviewing-symposium.be

N

Y

intranet.begroting.be

Y

N

isis.police.belgium.eu

Y

N

ISIS.yourict.be

Y

N

ISISacc.yourict.be

Y

N

ISIStest.yourict.be

Y

N

itrp-abh-ace.yourict.be

Y

N

itrp-apetra.yourict.be

Y

N

itrpassets0.yourict.be

Y

N

itrpassets1.yourict.be

Y

N

itrp-budget.yourict.be

Y

N

itrp-fagg.yourict.be

Y

N

itrp-fedict.yourict.be

Y

N

itrp-fedpol.yourict.be

Y

N

itrp-fpb.yourict.be

Y

N

itrp-igo.yourict.be

Y

N

itrp-kabinetten.yourict.be

Y

N

itrp-kabonkelinx.yourict.be

Y

N

itrp-kabvandelanottecrombez.yourict.be

Y

N

itrp-kabverbo.yourict.be

Y

N

itrp-kabwathelet.yourict.be

Y

N

itrp-kanselarij.yourict.be

Y

N

itrp-kenniscentrum.yourict.be

Y

N

itrp-kp-rp.yourict.be

Y

N

itrplogin.yourict.be

Y

N

itrp-mi.yourict.be

Y

N

itrp-ngi-ign.yourict.be

Y

N

itrp-pno.yourict.be

Y

N

itrp-pzg.yourict.be

Y

N

itrp-shared-services.yourict.be

Y

N

itrp-sme.yourict.be

Y

N

jambon.belgium.be

N

Y

kanselarij.belgium.be

N

Y

logon.epremier.fed.be

Y

N

lokalepolitie.be

N

Y

lokalepolizei.be

N

Y

magnette.yourict.be

Y

N

magnettetest.yourict.be

Y

N

mail.bpolb.eu

Y

N

mail.fed.be

Y

N

mail.yourict.be

Y

N

medicaments-par-internet.be

N

Y

memopoint.yourict.be

Y

N

memopointacc.yourict.be

Y

N

memopointtest.yourict.be

Y

N

mobile.yourict.be

Y

N

multimedia.yourict.be

Y

N

my.begroting.be

Y

N

my.bpolb.eu

Y

N

my.yourict.be

Y

N

mya.begroting.be

Y

N

mya.bpolb.eu

Y

N

mya.yourict.be

Y

N

myp.yourict.be

Y

N

myt.begroting.be

Y

N

myt.bpolb.eu

Y

N

myt.yourict.be

Y

N

new.police.be

N

Y

officeapps.yourict.be

Y

N

omz-circ.yourict.be

Y

N

operations.yourict.be

Y

N

owavip.fed.be

Y

N

p.pol-de.be

N

Y

p.pol-fr.be

N

Y

p.pol-nl.be

N

Y

pacteculturel.be

N

Y

parlement.yourict.be

Y

N

parlementtest.yourict.be

Y

N

pasdincendiechezmoi.be

N

Y

passwordregistration.bpolb.eu

Y

N

passwordreset.bpolb.eu

Y

N

patientenrechten.be

N

Y

persopoint.be

N

Y

photos-monarchie.be

N

Y

poc-dri.yourict.be

Y

N

poc-fedar1.yourict.be

Y

N

poc-locpz1.yourict.be

Y

N

poc-police.yourict.be

Y

N

pod-mi.yourict.be

Y

N

pod-miacc.yourict.be

Y

N

pod-mitest.yourict.be

Y

N

p-o-events.belgium.be

N

Y

polfed-fedpol.be

N

Y

police.be

N

Y

police-organisationapprenante.be

N

Y

politie.be

N

Y

politie-lerendeorganisatie.be

N

Y

polizei.be

N

Y

pre.epremier.fed.be

Y

N

pre.login.epremier.fed.be

Y

N

premier.be

N

Y

preview.shanghai2010.be

N

Y

psi.yourict.be

Y

N

publish.bpolb.eu

Y

N

publishtest.bpolb.eu

Y

N

pz-schoten.yourict.be

Y

N

pz-schotenacc.yourict.be

Y

N

pz-schotentest.yourict.be

Y

N

quality.fedcom.be

Y

N

raadvandegelijkekansen.be

N

Y

rd.yourict.be

Y

N

rdacc.yourict.be

Y

N

rdtest.yourict.be

Y

N

repo.shanghai2010.be

Y

N

ria-air.fed.be

N

Y

risquenucleaire.be

N

Y

s.pol-de.be

N

Y

s.pol-fr.be

N

Y

s.pol-nl.be

N

Y

seveso.be

N

Y

shared-services.yourict.be

Y

N

share-if.yourict.be

Y

N

share-ifacc.yourict.be

Y

N

share-ifacctemp.yourict.be

Y

N

share-iftemp.yourict.be

Y

N

share-iftest.yourict.be

Y

N

share-iftesttemp.yourict.be

Y

N

shsplace.yourict.be

N

Y

site1test.yourict.be

Y

N

site2test.yourict.be

Y

N

sobane.be

N

Y

sp.begroting.be

N

Y

sp.persopoint.be

Y

N

sp.p-o.be

Y

N

spacc.persopoint.be

Y

N

spacc.p-o.be

Y

N

spp.yourict.be

Y

N

sptest.persopoint.be

Y

N

sptest.p-o.be

Y

N

ssp.owavip.fed.be

Y

N

support.bpolb.eu

Y

N

supporttest.bpolb.eu

Y

N

talent.yourict.be

Y

N

test-budget.yourict.be

Y

N

test-fedict.yourict.be

Y

N

testiforum.yourict.be

Y

N

test-kanselarij.yourict.be

Y

N

test-shared-services.yourict.be

Y

N

training.fedcom.be

Y

N

trinicom.mi-is.be

N

Y

vandeput.belgium.be

N

Y

vanovertveldt.belgium.be

N

Y

vclp-cppl.yourict.be

Y

N

vclp-cpplacc.yourict.be

Y

N

vclp-cppltest.yourict.be

Y

N

veiligheidvanartsen.be

N

Y

verbo.yourict.be

Y

N

verbotest.yourict.be

Y

N

vereenvoudiging.be

N

Y

wac13.yourict.be

Y

N

wac13a.yourict.be

Y

N

wac13t.yourict.be

Y

N

webguide.belgium.be

N

Y

webmail.ngi.be

Y

N

wetloi.yourict.be

Y

N

wilmes.belgium.be

N

Y

work.bpolb.eu

Y

N

worktest.bpolb.eu

Y

N

yourict.be

Y

N