|
|
Internet - Sites des autorités publiques - Sécurisation
administration publique
ministère
Internet
site internet
criminalité informatique
protection des données
piratage informatique
administration électronique
| 29/1/2010 | Envoi question (Fin du délai de réponse: 4/3/2010) |
| 25/2/2010 | Réponse |
Aussi posée à : question écrite 4-6664
Aussi posée à : question écrite 4-6665
Aussi posée à : question écrite 4-6666
Aussi posée à : question écrite 4-6667
Aussi posée à : question écrite 4-6668
Aussi posée à : question écrite 4-6669
Aussi posée à : question écrite 4-6670
Aussi posée à : question écrite 4-6671
Aussi posée à : question écrite 4-6672
Aussi posée à : question écrite 4-6673
Aussi posée à : question écrite 4-6674
Aussi posée à : question écrite 4-6675
Aussi posée à : question écrite 4-6676
Aussi posée à : question écrite 4-6677
Aussi posée à : question écrite 4-6678
Aussi posée à : question écrite 4-6680
Aussi posée à : question écrite 4-6681
Aussi posée à : question écrite 4-6682
Aussi posée à : question écrite 4-6683
Aussi posée à : question écrite 4-6684
Aussi posée à : question écrite 4-6685
Le Nederlandse Government Computer Emergency Response Team (GOVCERT), l'organe consultatif de l'État néerlandais en matière informatique, fait état, dans son rapport annuel, d'une augmentation des risques de fraude concernant des données des autorités publiques et des citoyens.
Deux mois après la parution du rapport GOVCERT, la sécurité des sites des autorités publiques néerlandaises a été fortement mise en doute par Networking4all. Cette entreprise amstellodamoise de technologies de l'information et de la communication (TIC) a signalé l'absence de verrou digital sur la plupart des sites des autorités publiques, le certificat SSL (Secure Socket Layer). Ce certificat, reconnaissable au code “https” inséré dans la barre d'adresse sécurise la connexion entre l'ordinateur de l'utilisateur et le serveur des autorités publiques.
Je souhaiterais dès lors vous poser les questions suivantes :
1. Que fait-on pour assurer la protection, contre le piratage, de votre site web ainsi que de ceux des services publics fédéraux ou d'autres services relevant de votre compétence et qui ont leur propre site web?
2. Avez-vous connaissance de cas de vol de données privées sur les sites web de votre cellule stratégique, le vôtre ou ceux des services publics fédéraux et autres services et agences relevant de votre compétence, et combien de données personnelles ou autres ont-elles été dérobées lors de chaque incident?
3. Combien de fois les sites web de votre cellule stratégique, le vôtre ou ceux des services publics fédéraux et autres services relevant de votre compétence ont-ils fait l'objet de tentatives de vol de données privées ou autres? Avez-vous déposé plainte et si non, pourquoi? Si oui, les auteurs ont-ils été arrêtés ?
4. Les sites web de votre cellule stratégique, le vôtre ou ceux des services publics fédéraux et autres services et agences relevant de votre compétence disposent-ils tous d'un certificat SSL ou d'un autre verrou digital? Dans la négative, pourquoi et quand en seront-ils dotés?
5. Croyez-vous en la nécessité de prendre de nouvelles mesures pour renforcer la protection des sites des autorités publiques et si oui, lesquelles?
La réponse concerne le site Web du Service public fédéral (SPF) Mobilité et Transports.
1. Les activités suivantes sont reprises dans les tâches opérationnelles quotidiennes en vue de garantir la sécurité :
- contrôle des mises à jour et correctifs, mis à disposition par les fournisseurs, relatifs à la sécurité des systèmes opératoires et des applications Web. Après vérifications, ces mises à jour sont intégrées dans les systèmes;
- tous les serveurs du SPF sont équipés de systèmes anti-virus qui sont actualisés en temps réel en vue de bloquer toutes les attaques connues (ceci concerne les trojans, spywares, malwares, virus qui sont utilisés pour forcer l'accès aux serveurs Web et aux serveurs en arrière plan);
- quotidiennement, les fichiers de log sont contrôlés en vue de détecter des anomalies éventuelles qui peuvent indiquer des attaques de hackers via des voies non encore répertoriées;
- l'accès aux serveurs Web est réglé via une "zone démilitarisée" (DMZ) classique composée par des firewalls avec en supplément un firewall spécifique pour les applications Web. Cette configuration permet de limiter le trafic aux seules portes réservées et nous donne la possibilité de contrôler si le trafic correspond à une activité "normale" et dans le cas contraire le bloquer avant qu'il n'atteigne les serveurs.
2-3. Pas applicable
4. Le site Web du SPF ouvert au public contient uniquement des informations publiques pas de données personnelles. Un certificat Secure Sockets Layer (SSL) ou tout autre chiffrement digital n'est pas nécessaire puisqu'il n'y a pas de données personnelles ou autres à protéger.
5. Un test obligatoire d'intrusion réalisé par un tiers indépendant ou par la sûreté de l'État sur base régulière (annuelle) serait un moyen préventif pour éventuellement détecter les trous de sécurité ou les risques de hacking.