|
|
Autorité fédérale - Fuites de données - Chiffres - Plaintes - Procédure juridique - Prévention - Coûts - Mesures
protection des données
piratage informatique
criminalité informatique
Autorité de protection des données
ministère
organisme de recherche
établissement d'utilité publique
| 23/10/2014 | Envoi question (Fin du délai de réponse: 27/11/2014) |
| 27/11/2014 | Réponse |
Aussi posée à : question écrite 6-19
Aussi posée à : question écrite 6-20
Aussi posée à : question écrite 6-21
Aussi posée à : question écrite 6-22
Aussi posée à : question écrite 6-23
Aussi posée à : question écrite 6-24
Aussi posée à : question écrite 6-25
Aussi posée à : question écrite 6-26
Aussi posée à : question écrite 6-27
Aussi posée à : question écrite 6-28
Aussi posée à : question écrite 6-30
Aussi posée à : question écrite 6-31
Aussi posée à : question écrite 6-32
Aussi posée à : question écrite 6-33
Aussi posée à : question écrite 6-34
Aussi posée à : question écrite 6-35
Aussi posée à : question écrite 6-36
Un exemple concret, des plus éloquents, de fuite de données en Belgique est peut-être celui portant sur la Société nationale des chemins de fer belges (SNCB). Le 29 décembre 2012, les médias ont fait état d'une fuite de données privées concernant environ 1,5 million de clients de la SNCB. Cela a été révélé par un internaute qui avait « découvert » par hasard un fichier contenant des données personnelles de clients de la SNCB Europe. À la suite de cette fuite de données, la Commission de protection de la vie privée a reçu plus de mille sept cents plaintes sur la fuite de données personnelles par le biais d'un site web de la SNCB.
La Commission de protection de la vie privée (CPVP), mieux connue sous le nom de Commission vie privée, a mis en place, le 12 juin 2014, sur son site web des formulaires grâce auxquels les entreprises peuvent notifier, simplement et rapidement, une fuite de données. Les entreprises de télécommunications sont soumises à une obligation de notification.
Je souhaite poser les questions suivantes :
1) De 2009 à ce jour, combien de fois des attaques ont-elles été dirigées sur les données numériques ou bases de données des services publiques fédéraux ou de programmation (SPF ou SPP), établissements scientifiques, organismes d'intérêt public (OIP) ou institutions publiques de sécurité sociale (IPSS) relevant de votre compétence ? Je souhaiterais obtenir un aperçu annuel par service et organisme public.
2) Certains SPF, SPP, OIP ou IPSS ont-ils été confrontés à une fuite de données entre 2009 et ce jour ? Dans l'affirmative, je souhaiterais obtenir un aperçu, par service concerné, des éléments suivants :
a) le moment auquel la fuite de données s'est produite et sa durée ;
b) l'ampleur de la fuite de données (sur combien de personnes elle a porté)
c) une description des données concernées ;
d) la cause de la fuite de données ;
e) les mesures prises à la suite de la fuite de données ;
f) le nombre de plaintes qui ont été déposées, le cas échéant, par fuite de données ;
g) la suite qui a été réservée aux plaintes visées à la sous-question 2f.
3) Des démarches juridiques ont-elles été entreprises dans le cadre des plaintes visées à la sous-question 2f ? Le cas échéant, quel est l'état de la question ou quel a été le résultat de cette procédure juridique ?
4) Combien d'entreprises ont-elles déjà signalé une fuite de données au moyen du formulaire en ligne mis en place sur le site web de la Commission vie privée ? Combien de notifications provenaient-elles d'entreprises de télécommunications ?
5) Quelles mesures sont-elles actuellement prises afin de prévenir les fuites de données au niveau des services et organismes relevant de votre compétence ?
6) À combien s'élèvent les coûts annuels de prévention des violations de la sécurité, cyberattaques ou fuites de données ? Je souhaiterais une ventilation par mesure pertinente. Le cas échéant, j'aimerais connaître le montant qui a été investi de 2009 à ce jour dans des logiciels de contrôle de sécurité.
7) Estimez-vous opportun de prendre des mesures supplémentaires de prévention des fuites de données ? Pourquoi ? De quelles mesures supplémentaires s'agit-il et quel calendrier prévoyez-vous ? Dans la négative, pourquoi ?
Agence fédérale pour la sécurité de la chaîne alimentaire (AFSCA)
1) Durant toute cette période, une seule attaque des données digitales de l’AFSCA a été enregistrée.
Elle est passée à travers notre « pare-feu » et a été identifiée comme venant de Chine. Les pirates n'ont pas pu s'emparer de données.
2) Pour l'AFSCA, la réponse est : non.
a) Sans objet.
b) Sans objet.
c) Sans objet.
d) Sans objet.
e) Sans objet.
f) Sans objet.
g) Sans objet.
3) Sans objet.
4) Sans objet. Seule la Commission de la vie privée pourrait répondre à cette question.
5) Un pare-feu d'entreprise a été installé à l’AFSCA, grâce auquel toute l'infrastructure ICT locale est sécurisée contre les attaques via le réseau.
Sur chaque ordinateur portable pouvant opérer indépendamment du réseau central, un pare-feu a également été installé. Celui-ci ne peut pas être modifié par l'utilisateur final. De cette manière, les ordinateurs portables sont également protégés contre les attaques via le réseau.
Un programme antivirus et antispam a été installé sur chaque appareil. Ils ne peuvent pas être modifiés par l'utilisateur final. De ce fait, les techniques courantes utilisées par les hackers (comme les chevaux de Troie, etc.) sont bloqués.
Sur les appareils mobiles, des mots de passe sont utilisés. Même si ces appareils n'appartiennent pas à l’AFSCA, l’accès doit être limité via un mot de passe. En cas de perte accidentelle d'appareils, l'accès à l'information est ainsi bloqué.
Un monitoring Internet installé sur les proxi servers scanne les consultations de sites web indésirables et bloquent l'accès à ces sites. De tels sites sont souvent utilisés par les hackers pour obtenir l'accès aux informations se trouvant sur l'ordinateur de la personne qui consulte Internet.
Actuellement, un outil RBAC central (Role Based Access Control) est implémenté et permet de réduire l'accès à l'information (y compris pour notre propre personnel) à une base « need to know ». L'accès à l'information peut de cette manière être accordé uniquement via un supérieur hiérarchique, qui est au courant des besoins d'information de son personnel. Cela n'empêche pas que des fuites puissent survenir, mais cela empêche l'accès à des informations non nécessaires et réduit donc bien les risques de fuites.
Un audit externe mettant l'accent sur la sécurisation de l'information a été demandé.
Le but est d'obtenir un avis indépendant sur les points d''amélioration possibles dans notre approche de la sécurisation de l'information avant de les reprendre dans le scope des projets pour 2015.
Enfin, il y a aussi une sécurisation physique des bâtiments et de l'infrastructure, avec une surveillance vingt-quatre heures sur vingt-quatre et sept jours sur sept.
6) Les coûts par mesure pertinente de 2009 à aujourd'hui sont les suivants :
– pare-feu, proxys, antivirus, antispam : 350 000 euros ;
– Role Based Access Control : 200 000 euros ;
– audits indépendants de la sécurité : 150 000 euros.
7) Oui. L'évolution de la technologie offre toujours de nouvelles possibilités de piratage d’ordinateurs et les fuites qui peuvent en découler. L'évaluation et une implémentation adéquate des mesures de contrôle est par conséquent un processus continu.
Les initiatives suivantes sont prévues dans le courant de l'année 2015 :
– le cryptage des données sur des médias externes permettra d'empêcher le vol d'informations à partir d'appareils perdus ;
– le cryptage de données sur les disques durs des appareils portables permettra d'empêcher le vol d'informations à partir d'appareils perdus, même après que ces appareils auraient été démantelés par un spécialiste ;
– la poursuite du développement d'une politique de sécurisation de l'information contribue à augmenter une conscientisation générale et un sentiment de responsabilité.
D’autres initiatives sont possibles en fonction du résultat de l'audit interne.
Centre d'étude et de recherches vétérinaires et agrochimiques (CERVA)
1) Aucun. Le CERVA travaille uniquement sur LAN. Le site web a déjà été piraté mais il n’héberge aucune donnée sensible.
2) à 5) Pas d’application pour le CERVA.
6) Le CERVA a une protection via « Check Point Manager » en ce qui concerne le LAN, Barracuda comme anti-spam, Trends Micro comme antivirus qui effectue chaque jour un scan de chaque PC. Jusqu’à présent, le système de monitoring est Zabbix.
7) Oui.
Institut national d’assurances sociales pour travailleurs indépendants (INASTI)
1) Nous n’avons pas connaissance de cas d’attaques visant des données ou bases de données numériques de l’INASTI.
2) Ce type de problème ne s’est pas encore présenté à l’INASTI.
3) Sans objet. Voir la réponse à la question 2.
4) Sans objet.
5) Les mesures pour prévenir toute fuite de données cadrent dans l’ensemble de la politique de sécurité appliquée par l’INASTI en conformité avec les règles de sécurité de la BCSS. Elle comprend de nombreuses mesures telles que la protection des informations sensibles, le logging de l’utilisation des données, la protection physique des serveurs, la sensibilisation des utilisateurs, etc.
6) Voici les dépenses liées à la mise en œuvre des adaptations visant à améliorer la sécurité des applications métier spécifiques :
– 2009 : 153 876 euros ;
– 2010 : 28 527 euros ;
– 2011 : nihil ;
– 2012 : 243 562 euros ;
– 2013 : 839 651 euros ;
– 2014 : 388 094 euros.
Voici les dépenses destinées à l’infrastructure de sécurité :
– 2009 : 240 151 euros ;
– 2010 : 6 553 euros ;
– 2011 : 191 624 euros ;
– 2012 : 55 646 euros ;
– 2013 : 27 092 euros ;
– 2014 : 46 392 euros.
L’INASTI est connecté au réseau Internet via le réseau Extranet de la sécurité sociale et n’a donc pas besoin de logiciel spécifique pour le monitorage de sécurité. Il est fait appel, dans ce cadre, aux dispositifs développés de l’Extranet de la sécurité sociale.
7) Nos systèmes de sécurité sont régulièrement remis à niveau. Par ailleurs, on examine la possibilité de libérer des moyens, dans le cadre du budget 2015, pour réaliser une analyse de vulnérabilité et un audit de sécurité.
Service public fédéral (SPF) Économie – DG PME
Je renvoie l’honorable membre à la réponse donnée à cette même question par Monsieur le vice-premier ministre, en charge de l'Économie, de l’Emploi et des Consommateurs (n°6-20).
SPF Sécurité sociale – DG Indépendants
Je renvoie l’honorable membre à la réponse donnée à cette même question par Madame la ministre des Affaires sociales et de la Santé publique (n°6-26).
Service public fédéral de programmation Intégration sociale (SPP IS)
1) En ce qui concerne des attaques informatiques contre ses bases de données et en particulier celles qui contiennent des données à caractère personnel, le SPP Intégration sociale n’a pas été confronté, entre 2009 à aujourd’hui, à des agressions réussies.
2) En ce qui concerne le détournement de données, le SPP Intégration sociale n’a pas été confronté entre 2009 à aujourd’hui à ce type de problème.
3)Comme le SPP Intégration sociale n’a pas été victime de détournement avéré de ses données, aucune plainte n’a été introduite.
4) La question est sans objet pour le SPP Intégration sociale.
5) Le SPP Intégration sociale a sous-traité l’ensemble de son réseau informatique vers deux partenaires IT de référence :
– les Shared Services de la Chancellerie pour l’ensemble de sa bureautique – les services IT et réseaux concernés vont du mail aux espaces de partage de fichiers, en incluant notamment les services de protection comme antivirus, anti-spam et système anti-intrusion ; et
– SMALS pour ses applications et services en lien avec la sécurité sociale, son domaine d’activité privilégié : ces dernières applications sont exposées sur le portail de la sécurité sociale et bénéficient de ce fait des mesures de protection de l’ensemble du portail, avec une identification forte et log de toutes les transactions.
Le SPP IS s’appuie donc pour sa sécurité IT sur ses deux partenaires, Shared Services et SMALS. Ceux-ci gèrent les deux réseaux dont il a l’utilisation et assurent et renforcent de manière constante la sécurité informatique de ses systèmes et bases de données par des mesures d’amélioration continue.
Par ailleurs, le SPP IS n’utilise pas de Cloud de manière régulière, mis à part la plateforme documentaire fédérale beConnected, qui est protégée par le service public fédéral Technologie de l'information et de la communication (FEDICT) et son opérateur SMALS.
Les télétravailleurs ne peuvent se connecter au réseau interne du SPP Intégration sociale que via les systèmes VPN fournis par les gestionnaires de ses plateformes : VPN FEDICT (pour les Shared Services) et VPN SMALS pour l’accès à l’Extranet de la Sécurité sociale, utilisant une identification forte (carte d’identité électronique).
Enfin, le site Internet est lui hébergé par un sous-traitant et bénéficie des protections mises en place par celui-ci ainsi que par le sous-traitant qui gère techniquement le site.
Au point de vue plus général du contrôle humain, le SPP IS applique et fait respecter les règles de sécurité édictées par la BCSS pour la protection et l’usage des données à caractère personnel.
6) Les coûts d’investissement et de maintenance pour les outils qui permettent de garantir la sécurité des données du SPP IS sont inclus dans les coûts de maintenance et de gestion des réseaux que paie le SPP IS à ses partenaires Shared Services et SMALS. Il n’est donc pas possible de donner un chiffre précis pour les mesures liées à la sécurisation des système informatiques. Seul le logiciel utilisé comme anti-virus est directement à sa charge : son coût est inclus dans le coût de ses licences Microsoft.
Le SPP IS est particulièrement conscient de l’importance et reste constamment attentif au problème de la sécurité informatique, particulièrement des risques de détournement de données, vu la nature de ses missions qui utilisent des données personnelles de particuliers. Le SPP IS a pris la décision de migrer son site Internet hébergé.