Un exemple concret, des plus éloquents, de fuite de données en Belgique est peut-être celui portant sur la Société nationale des chemins de fer belges (SNCB). Le 29 décembre 2012, les médias ont fait état d'une fuite de données privées concernant environ 1,5 million de clients de la SNCB. Cela a été révélé par un internaute qui avait « découvert » par hasard un fichier contenant des données personnelles de clients de la SNCB Europe. À la suite de cette fuite de données, la Commission de protection de la vie privée a reçu plus de mille sept cents plaintes sur la fuite de données personnelles par le biais d'un site web de la SNCB.

La Commission de protection de la vie privée (CPVP), mieux connue sous le nom de Commission vie privée, a mis en place, le 12 juin 2014, sur son site web des formulaires grâce auxquels les entreprises peuvent notifier, simplement et rapidement, une fuite de données. Les entreprises de télécommunications sont soumises à une obligation de notification.

Je souhaite poser les questions suivantes :

1) De 2009 à ce jour, combien de fois des attaques ont-elles été dirigées sur les données numériques ou bases de données des services publiques fédéraux ou de programmation (SPF ou SPP), établissements scientifiques, organismes d'intérêt public (OIP) ou institutions publiques de sécurité sociale (IPSS) relevant de votre compétence ? Je souhaiterais obtenir un aperçu annuel par service et organisme public.

2) Certains SPF, SPP, OIP ou IPSS ont-ils été confrontés à une fuite de données entre 2009 et ce jour ? Dans l'affirmative, je souhaiterais obtenir un aperçu, par service concerné, des éléments suivants :

a) le moment auquel la fuite de données s'est produite et sa durée ;

b) l'ampleur de la fuite de données (sur combien de personnes elle a porté)

c) une description des données concernées ;

d) la cause de la fuite de données ;

e) les mesures prises à la suite de la fuite de données ;

f) le nombre de plaintes qui ont été déposées, le cas échéant, par fuite de données ;

g) la suite qui a été réservée aux plaintes visées à la sous-question 2f.

3) Des démarches juridiques ont-elles été entreprises dans le cadre des plaintes visées à la sous-question 2f ? Le cas échéant, quel est l'état de la question ou quel a été le résultat de cette procédure juridique ?

4) Combien d'entreprises ont-elles déjà signalé une fuite de données au moyen du formulaire en ligne mis en place sur le site web de la Commission vie privée ? Combien de notifications provenaient-elles d'entreprises de télécommunications ?

5) Quelles mesures sont-elles actuellement prises afin de prévenir les fuites de données au niveau des services et organismes relevant de votre compétence ?

6) À combien s'élèvent les coûts annuels de prévention des violations de la sécurité, cyberattaques ou fuites de données ? Je souhaiterais une ventilation par mesure pertinente. Le cas échéant, j'aimerais connaître le montant qui a été investi de 2009 à ce jour dans des logiciels de contrôle de sécurité.

7) Estimez-vous opportun de prendre des mesures supplémentaires de prévention des fuites de données ? Pourquoi ? De quelles mesures supplémentaires s'agit-il et quel calendrier prévoyez-vous ? Dans la négative, pourquoi ?

En réponse à ses questions, j’ai l’honneur de faire savoir à l’honorable membre ce qui suit :

1) Il n’a pas encore été constaté à ce jour d’attaque ciblée – ni externe ni interne – sur les bases de données de l’Office national des pensions (ONP) et du Service des pensions du secteur public (SdPSP).

2) L’ONP et le SdPSP n’ont pas encore eu affaire à une fuite de données et ne disposent pas de statistiques d’incidents de sécurité qui auraient été constatés auprès d’autres institutions.

3) L’ONP et le SdPSP ne disposent pas d’informations concernant des plaintes ou des actions juridiques.

4) Aucune plainte n’a été introduite auprès de la Commission de la vie privée concernant les données hébergées de l’ONP et du SdPSP.

5) L’infrastructure actuelle de sécurité de l’ONP est constituée des éléments suivants : firewall gateway et management, authentification services (avec ou sans e-ID mais toujours avec une authentification forte),VPN, intrusion detection and prevention, load balancing pour serveurs web, forward proxy, URL filtering, reverse proxy of web application firewall, mailrelay et antivirus ou ati-malware.

Les propres agents de l’ONP sont responsables de la gestion journalière. Le soutien et la maintenance de cette infrastructure sont assurés par une entreprise spécialisée en sécurité informatique avec laquelle un contrat de cinq ans a été conclu en 2009 (prolongé d’un an jusqu’au début 2015), via une procédure d’adjudication avec appel d’offres restreint.

L’échange de données confidentielles entre institutions ou entreprises s’opère toujours via des réseaux sécurisés distincts. S’il s’agit de données sociales à caractère personnel, ceci doit alors s’effectuer soit via la BCSS soit directement après autorisation du Comité sectoriel. Les communications sont toujours protégées par un fort cryptage et des certificats (X.509 de Fedict).

L’échange de données confidentielles entre l’ONP et le pensionné (postulant) est possible via le site sécurisé https://www.mypension.be. La sécurité est ici opérée par l’authentification sur le portail de la sécurité sociale (e-ID) et par l’application web firewall. Le pensionné (postulant) peut uniquement consulter ses propres données sur la base de l’e-ID qui a été présentée.

La banque de données, les systèmes de stockage et les serveurs d'applications se trouvent dans des espaces de centre de données sécurisés dans lesquels on ne pénètre qu’à l’aide de badges d’accès.

En 2015, une nouvelle infrastructure de sécurité sera élaborée sur la base d’une centrale de marchés. Pour des raisons d’économies, de management, d’efficacité, d’évolution technique et de collaboration avec d’autres organismes, les différentes fonctionnalités relatives à la sécurité TIC seront consolidées selon trois éléments :

• Next generation firewal (firewall gateway et management, intrusion detection and prevention, forward proxy, URL filtering, mailrelay, data loss prevention) ;

• Application delivery controller (loadbalancing pour serveurs web, reverse proxy of webapplication firewall, portail VPN pour utilisateurs externes) ;

• Network Access Control, VPN, Authentification.

Le SdPSP pour sa part, en tant qu’institution primaire de sécurité sociale, est connectée au réseau internet via l’Extranet de la sécurité sociale. Une entreprise spécialisée assure la sécurisation des accès via un système de firewall, reverse proxy et scanning des mails.

Pour se connecter à l’Extranet, dans le cadre des synergies entre institutions de pension, le SdPSP utilise le réseau et les lignes de télécommunications de l’ONP. Le SdPSP paie l’ONP pour la gestion de ses serveurs. Les liaisons entre les serveurs et l’Extranet sont protégées par des firewall internes et l’usage d’une zone démilitarisée (DMZ) permettent un double contrôle des accès aux serveurs.

Les stations de travail du SdPSP sont mises à jour à l’aide de procédures automatisées. En matière d’anti-virus, seuls les PC’s pour lesquels les définitions de virus sont à jour peuvent se connecter aux serveurs. Il est techniquement impossible à un portable inconnu de se connecter au réseau du SdPSP.

Dans le cadre du télétravail, les mesures supplémentaires sont mises en œuvre : utilisation de portables mis à disposition par le SdPSP, authentification de l’utilisateur par sa carte d’identité électronique, utilisation d’une connexion sécurisée de type VPN afin de réaliser l’encryptage des données échangées avec nos serveurs.

6) Dans le cadre de la synergie avec l’Office national des pensions, le SdPSP sous-traite également la sécurisation de ses serveurs et des accès à ceux-ci. Comme déjà signalé, une entreprise spécialisée réalise la sécurisation des accès de l’Extranet de la sécurité sociale au réseau public Internet.

Il n’est pas possible d’isoler totalement les coûts mis en œuvre spécifiquement pour le SdPSP. Le coût d’investissement peut être évalué approximativement à 100 000 euros HTVA en matière de sécurité par l’ONP pour le SdPSP et qu’un montant annuel supérieur à 38 000 euros HTVA est annuellement consacré à la sécurisation spécifique nécessaire pour le SdPSP.

Chiffres ONP :

De 2009 à 2014 inclus, 2 345 746,86 euros ont été investis.

De 2015 à 2018 inclus, 1 670 072,13 euros seront investis.

7) Bien que les mesures actuellement mises en place sont jugées suffisantes, des améliorations sont encore possibles, surtout dans les domaines de la gestion et corrélation des logs, de la base de données activity moniroting, ainsi que des menaces persistantes avancées d’après l’ONP. Il n’est pas postulé de calendrier, aussi longtemps qu’il n’y a pas de certitude quant à la possibilité d’investissement en cette matière.