Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 6-23

de Lode Vereeck (Open Vld) du 23 octobre 2014

au vice-premier ministre et ministre des Affaires étrangères et européennes, chargé de Beliris et des Institutions culturelles fédérales

Autorité fédérale - Fuites de données - Chiffres - Plaintes - Procédure juridique - Prévention - Coûts - Mesures

protection des données
piratage informatique
criminalité informatique
Autorité de protection des données
ministère
organisme de recherche
établissement d'utilité publique

Chronologie

23/10/2014Envoi question (Fin du délai de réponse: 27/11/2014)
4/2/2015Rappel
9/2/2015Réponse

Aussi posée à : question écrite 6-19
Aussi posée à : question écrite 6-20
Aussi posée à : question écrite 6-21
Aussi posée à : question écrite 6-22
Aussi posée à : question écrite 6-24
Aussi posée à : question écrite 6-25
Aussi posée à : question écrite 6-26
Aussi posée à : question écrite 6-27
Aussi posée à : question écrite 6-28
Aussi posée à : question écrite 6-29
Aussi posée à : question écrite 6-30
Aussi posée à : question écrite 6-31
Aussi posée à : question écrite 6-32
Aussi posée à : question écrite 6-33
Aussi posée à : question écrite 6-34
Aussi posée à : question écrite 6-35
Aussi posée à : question écrite 6-36

Question n° 6-23 du 23 octobre 2014 : (Question posée en néerlandais)

Un exemple concret, des plus éloquents, de fuite de données en Belgique est peut-être celui portant sur la Société nationale des chemins de fer belges (SNCB). Le 29 décembre 2012, les médias ont fait état d'une fuite de données privées concernant environ 1,5 million de clients de la SNCB. Cela a été révélé par un internaute qui avait « découvert » par hasard un fichier contenant des données personnelles de clients de la SNCB Europe. À la suite de cette fuite de données, la Commission de protection de la vie privée a reçu plus de mille sept cents plaintes sur la fuite de données personnelles par le biais d'un site web de la SNCB.

La Commission de protection de la vie privée (CPVP), mieux connue sous le nom de Commission vie privée, a mis en place, le 12 juin 2014, sur son site web des formulaires grâce auxquels les entreprises peuvent notifier, simplement et rapidement, une fuite de données. Les entreprises de télécommunications sont soumises à une obligation de notification.

Je souhaite poser les questions suivantes :

1) De 2009 à ce jour, combien de fois des attaques ont-elles été dirigées sur les données numériques ou bases de données des services publiques fédéraux ou de programmation (SPF ou SPP), établissements scientifiques, organismes d'intérêt public (OIP) ou institutions publiques de sécurité sociale (IPSS) relevant de votre compétence ? Je souhaiterais obtenir un aperçu annuel par service et organisme public.

2) Certains SPF, SPP, OIP ou IPSS ont-ils été confrontés à une fuite de données entre 2009 et ce jour ? Dans l'affirmative, je souhaiterais obtenir un aperçu, par service concerné, des éléments suivants :

a) le moment auquel la fuite de données s'est produite et sa durée ;

b) l'ampleur de la fuite de données (sur combien de personnes elle a porté)

c) une description des données concernées ;

d) la cause de la fuite de données ;

e) les mesures prises à la suite de la fuite de données ;

f) le nombre de plaintes qui ont été déposées, le cas échéant, par fuite de données ;

g) la suite qui a été réservée aux plaintes visées à la sous-question 2f.

3) Des démarches juridiques ont-elles été entreprises dans le cadre des plaintes visées à la sous-question 2f ? Le cas échéant, quel est l'état de la question ou quel a été le résultat de cette procédure juridique ?

4) Combien d'entreprises ont-elles déjà signalé une fuite de données au moyen du formulaire en ligne mis en place sur le site web de la Commission vie privée ? Combien de notifications provenaient-elles d'entreprises de télécommunications ?

5) Quelles mesures sont-elles actuellement prises afin de prévenir les fuites de données au niveau des services et organismes relevant de votre compétence ?

6) À combien s'élèvent les coûts annuels de prévention des violations de la sécurité, cyberattaques ou fuites de données ? Je souhaiterais une ventilation par mesure pertinente. Le cas échéant, j'aimerais connaître le montant qui a été investi de 2009 à ce jour dans des logiciels de contrôle de sécurité.

7) Estimez-vous opportun de prendre des mesures supplémentaires de prévention des fuites de données ? Pourquoi ? De quelles mesures supplémentaires s'agit-il et quel calendrier prévoyez-vous ? Dans la négative, pourquoi ?

Réponse reçue le 9 février 2015 :

1) Il est impossible de détecter toutes les attaques qui ont manqué leur cible (voir réponses précédentes).

Les attaques qui ont touché leur cible, en tout ou en partie, sont repérées si elles font l’objet d’une plainte à la suite des incidents occasionnés. Nous ne pouvons donner aucune information sur ces dossiers tant que l’enquête suit son cours.

2) a), b), c), d), e) : Voir la réponse à la question 1.

f) On a porté plainte à deux reprises.

g) L’enquête suit son cours.

3) Voir la réponse à la question 2) f).

4) Voir l’instance politique concernée.

5) Il s’agit de mesures standard et de mesures non standard. Énumérer certaines de ces mesures augmenterait les chances de réussite des attaques.

6) Il n’est pas toujours évident de distinguer les investissements dans la sécurité des investissements généraux. Plusieurs investissements sont liés à la sécurité. Nous prévoyons, en 2015, un coût de quelque deux millions d’euros en améliorations et modifications ; cette somme n’englobe ni le coût des équipements standard comme les firewalls (DMZ) et antivirus, ni le coût de la mise en œuvre de solutions alternatives au resserrement de l’accès à Internet. Le recours au personnel propre n’est pas comptabilisé non plus dans le montant indiqué.

Depuis 2012, nous consacrons 75 % à 100 % d’un équivalent temps plein à des tâches de surveillance spécifique, qui ne sont cependant pas remplies de manière constante. Sur la base de conseils externes et du réexamen de la situation, un CSOC sera mis en place cette année. Il aura pour objectif spécifique de surveiller le réseau informatique et de réagir en cas de signes d’attaques de ce type. Dans un premier temps, le CSOC devra être pourvu de deux à trois équivalents temps plein pour être capable de détecter les problèmes futurs au moment opportun. Il s’agira de personnel spécialisé.

7) Oui, il sera nécessaire de continuer à prendre des mesures supplémentaires et à faire preuve de vigilance. Les techniques qui étaient utilisées auparavant par quelques organisations seront davantage connues à l’avenir et seront reprises par d’autres groupes. De nouvelles techniques émergeront, ainsi que des nouveaux produits. Il existera de nouvelles manières de les utiliser. Aucune mesure n’est la panacée.

De nouveaux produits seront fournis sur le plan technique.

Des améliorations seront requises en termes d’organisation et de structures, ce qui pourrait avoir un effet sur la facilité d’utilisation.