Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 6-31

de Lode Vereeck (Open Vld) du 23 octobre 2014

au ministre de la Défense, chargé de la Fonction publique

Autorité fédérale - Fuites de données - Chiffres - Plaintes - Procédure juridique - Prévention - Coûts - Mesures

protection des données
piratage informatique
criminalité informatique
Autorité de protection des données
ministère
organisme de recherche
établissement d'utilité publique

Chronologie

23/10/2014Envoi question (Fin du délai de réponse: 27/11/2014)
27/11/2014Réponse

Aussi posée à : question écrite 6-19
Aussi posée à : question écrite 6-20
Aussi posée à : question écrite 6-21
Aussi posée à : question écrite 6-22
Aussi posée à : question écrite 6-23
Aussi posée à : question écrite 6-24
Aussi posée à : question écrite 6-25
Aussi posée à : question écrite 6-26
Aussi posée à : question écrite 6-27
Aussi posée à : question écrite 6-28
Aussi posée à : question écrite 6-29
Aussi posée à : question écrite 6-30
Aussi posée à : question écrite 6-32
Aussi posée à : question écrite 6-33
Aussi posée à : question écrite 6-34
Aussi posée à : question écrite 6-35
Aussi posée à : question écrite 6-36

Question n° 6-31 du 23 octobre 2014 : (Question posée en néerlandais)

Un exemple concret, des plus éloquents, de fuite de données en Belgique est peut-être celui portant sur la Société nationale des chemins de fer belges (SNCB). Le 29 décembre 2012, les médias ont fait état d'une fuite de données privées concernant environ 1,5 million de clients de la SNCB. Cela a été révélé par un internaute qui avait « découvert » par hasard un fichier contenant des données personnelles de clients de la SNCB Europe. À la suite de cette fuite de données, la Commission de protection de la vie privée a reçu plus de mille sept cents plaintes sur la fuite de données personnelles par le biais d'un site web de la SNCB.

La Commission de protection de la vie privée (CPVP), mieux connue sous le nom de Commission vie privée, a mis en place, le 12 juin 2014, sur son site web des formulaires grâce auxquels les entreprises peuvent notifier, simplement et rapidement, une fuite de données. Les entreprises de télécommunications sont soumises à une obligation de notification.

Je souhaite poser les questions suivantes :

1) De 2009 à ce jour, combien de fois des attaques ont-elles été dirigées sur les données numériques ou bases de données des services publiques fédéraux ou de programmation (SPF ou SPP), établissements scientifiques, organismes d'intérêt public (OIP) ou institutions publiques de sécurité sociale (IPSS) relevant de votre compétence ? Je souhaiterais obtenir un aperçu annuel par service et organisme public.

2) Certains SPF, SPP, OIP ou IPSS ont-ils été confrontés à une fuite de données entre 2009 et ce jour ? Dans l'affirmative, je souhaiterais obtenir un aperçu, par service concerné, des éléments suivants :

a) le moment auquel la fuite de données s'est produite et sa durée ;

b) l'ampleur de la fuite de données (sur combien de personnes elle a porté)

c) une description des données concernées ;

d) la cause de la fuite de données ;

e) les mesures prises à la suite de la fuite de données ;

f) le nombre de plaintes qui ont été déposées, le cas échéant, par fuite de données ;

g) la suite qui a été réservée aux plaintes visées à la sous-question 2f.

3) Des démarches juridiques ont-elles été entreprises dans le cadre des plaintes visées à la sous-question 2f ? Le cas échéant, quel est l'état de la question ou quel a été le résultat de cette procédure juridique ?

4) Combien d'entreprises ont-elles déjà signalé une fuite de données au moyen du formulaire en ligne mis en place sur le site web de la Commission vie privée ? Combien de notifications provenaient-elles d'entreprises de télécommunications ?

5) Quelles mesures sont-elles actuellement prises afin de prévenir les fuites de données au niveau des services et organismes relevant de votre compétence ?

6) À combien s'élèvent les coûts annuels de prévention des violations de la sécurité, cyberattaques ou fuites de données ? Je souhaiterais une ventilation par mesure pertinente. Le cas échéant, j'aimerais connaître le montant qui a été investi de 2009 à ce jour dans des logiciels de contrôle de sécurité.

7) Estimez-vous opportun de prendre des mesures supplémentaires de prévention des fuites de données ? Pourquoi ? De quelles mesures supplémentaires s'agit-il et quel calendrier prévoyez-vous ? Dans la négative, pourquoi ?

Réponse reçue le 27 novembre 2014 :

L'honorable membre est prié de trouver ci-après la réponse à ses questions.

En ce qui concerne la Défense :

1. En 2009, 2010 et 2011, il n’y a pas eu d’attaque sur les données digitales ou bases de données de la Défense. Dans les années 2012, 2013 et 2014, à chaque fois un seul incident a été signalé.

2. Seul l’incident en 2013 a eu une fuite de données comme conséquence.

a. Un bloggeur a mentionné le 3 janvier 2014 à 12 heures par la presse, l’accès, via Google, à des documents contenant des données personnelles provenant du site web interne de la direction Human Resources de la Défense. Le site web a été mis offline à 19 heures.

b. La fuite de données concernait une centaine de personnes.

c. Les données étaient en rapport avec une liste téléphonique interne du service personnel de la Défense et avec de vieux annuaires du personnel civil niveau C de 2005 dans lesquels étaient mentionnés : le nom, le prénom, le niveau, l’échelle barémique, le régime linguistique, le grade, l’ancienneté, la date de promotion et la date de naissance de ce personnel.

d. La fuite de données a été causée par une vulnérabilité dans la technologie web utilisée qui permettait de détourner le système d’authentification du site web interne et d’accéder aux documents mentionnés ci-dessus par le navigateur Internet Google.

e. La Commission de la vie privée a été informée de l’incident. Une communication générale au sujet de l’incident, de la réaction immédiate et des futures protections accrues a été diffusée en interne de la Défense. Dans cette même communication, un point de contact a été indiqué pour répondre aux questions complémentaires. Avant de remettre le site online, le mécanisme d’authentification a été renforcé et des tests de pénétration ont été effectués pour validation.

f. Aucune plainte n’a été introduite.

g. Pas d’application.

3. Vu que la tentative d’obtenir des informations n’était pas intentionnelle, aucune étape juridique n’a été entreprise.

4. Pas d’application.

5. La protection optimale de ses réseaux, applications et données, conformément aux « best practices » en vigueur dans le monde de la sécurité, est une préoccupation continue de la Défense. Dans ce cadre, la Défense investit également en permanence dans de nouvelles technologies et dans le développement des directives, procédures et processus nécessaires pour soutenir la sécurité de ses ressources.

6. Comme précisé ci-dessus, la Défense s’efforce d’investir dans une protection toujours meilleure et performante de ses réseaux. Dans ce contexte général, il est très difficile de faire la distinction demandée vu que les investissements effectués dans ce contexte favorisent l’aspect de sécurité global et sont, par conséquent, difficilement attribuables à un domaine spécifique. L’Institut géographique national (IGN) a par exemple engagé un conseiller sécurité.

7. La Défense tend en permanence à garantir la protection la plus à jour possible de ses réseaux, applications et données. Dans ce cadre, et tenant compte des moyens budgétaires disponibles et des priorités internes, la Défense investit par conséquent en permanence dans une protection plus optimale de ses ressources. De plus, les nouvelles techniques d’attaque et technologies de protection disponibles sur le marché sont suivies de près par nos spécialistes IT afin de pouvoir anticiper à temps les nouvelles menaces.

En ce qui concerne la fonction public :

1. IFA

L’infrastructure fait chaque semaine l’objet de tentatives d’intrusion, ces tentatives ne sont ni spécifiques ni avancées. Ces tentatives sont facilement stoppées par notre firewall. Le log de notre firewall qui mentionne ces tentatives est envoyé par mail à notre administrateur système. Ces logs ne sont conservés qu’à court terme.

P&O 51

Des systèmes automatiques bloquent les attaques et jusqu'à présent il n'y a pas eu d'arrêt de service ou de perte de données recensée.

SELOR

L’infrastructure IT de Selor fait chaque semaine l’objet de tentatives d’intrusion.

Ces tentatives n’ont encore jamais été ni spécifiques ni avancées.

Ces tentatives sont détectées et journalisées par le système « Intrusion detection and prevention system » (IDPS).

Le firewall stoppe ces tentatives d’intrusion.

2. IFA

Aucune fuite de données n’a été constatée à l’IFA.

P&O 51

Aucune perte d'informations (serveur et / ou application) n'a été recensée durant cette période.

SELOR

Chez Selor, aucune fuite de données par intrusion n’a été détectée.

3. IFA

Question non pertinente (voir question 2).

P&O 51

Pas de réponse.

SELOR

Jamais.

4. IFA

Question non pertinente (voir question 2).

P&O 51

Pas de réponse.

SELOR

Aucune.

5. IFA

L’IFA s’assure de disposer d’une infrastructure adaptée et de solutions matérielles et logicielles à jour et de mettre en œuvre les bonnes pratiques.

P&O 51

Le schéma de l'infrastructure présente une double ligne de firewalls, fonctionnant dans des modèles différents (Operating System).

En plus de ces éléments de sécurité, l'infrastructure est composée d'antivirus (sur les firewalls, ainsi que sur les serveurs et les stations de travail), de filtrage web et scanneur de signature d'application.

Afin de tenter d'améliorer la sécurité des informations, une sensibilisation des collaborateurs est organisée. Les collaborateurs sont informés des risques et il leur est demandé de prendre le plus de précautions possible durant les transports et / ou toute connexion avec le réseau.

De plus, un investissement permanent est effectué dans la sécurité afin d'apporter une protection des informations la plus optimale possible.

SELOR

Actuellement, les mesures suivantes sont appliquées chez Selor pour éviter les intrusions  :

a. une mise en œuvre intensive de VLANs sur les firewalls permet de protéger nos réseaux et environnements virtuels ;

b. le réseau complet est monitoré en vue de détecter les trafics suspects sur le réseau via une analyse de l’activité protocole par notre système de prévention des intrusions NIPS basé sur le réseau ;

c. les serveurs et appareils personnels sont équipés d’un antivirus et d’une application de protection contre le malware ;

d. avant la mise en production de nouvelles applications ou l’adaptation d’applications existantes, Selor réalise toujours un security assessment.

6. IFA

En l’absence de notre unique administrateur système, nous ne pouvons donner qu’une réponse très partielle à cette question  :


Achat

Maintenance

Firewall

 

 

Reverse Proxy

 

 

Antivirus

 

2 500 euros / an

P&O 51

Le budget alloué se définit comme suit :

2009 :

Firewall + VPN : 35 777,12 euros.

Antivirus : 3 634,60 euros.

Audit : 11 797,50 euros.

2010 :

Firewall + VPN : 41 502.39 euros.

Antivirus : 3 634,60 euros.

Audit : 4 840,00 euros.

2011 :

Firewall + VPN : 19 822.82 euros.

Antivirus : 10 198,73 euros.

Audit : 20 799,90 euros.

2012 :

Firewall + VPN : 7 691,55 euros.

Audit : 1 331,00 euros.

2013 :

Firewall + VPN : 32 479,59 euros.

2014 :

Firewall + VPN : 19 022.48 euros.

Antivirus : 6 146,80 euros.

SELOR

Les frais directs annuels en matière de hardware pour la prévention des atteintes à la sécurité, des cyberattaques ou des fuites de données sont les suivants :


Amortissement

Coût

Firewalls

1 600 c

1 200 c

10 % coût loadbalancer

2 000

1 200

VPN (via FEDICT)

0

0

Application antivirus & malware

4 200

0

Les frais de personnel opérationnels directs pour monitorer ce système et le tenir à jour sont estimés à un quart d’équivalent temps plein.

Les frais indirects ou le surcoût de tout changement à l’infrastructure IT, en raison de la complexité accrue des opérations, peut se chiffrer à 10 à 30 % du projet à mettre en œuvre.

Le coût estimé est bien plus difficile à déterminer avec exactitude, mais il s’élève chez Selor à environ 100 000 euros par an pour les cinq dernières années.

7. IFA et P&O 51

On n’envisage pas d’autre solution de prévention actuellement.

SELOR

En 2015, Selor commencera à mettre en œuvre une nouvelle structure-réseau en vue de réduire fortement la complexité du réseau, tout en optimalisant les risques d’atteintes à la sécurité, de cyberattaques ou de fuites de données.

Ce projet est réalisé en collaboration avec FEDICT. Selor bénéficie ainsi de l’expertise de FEDICT et espère en outre continuer à évoluer vers une solution optimale en termes de coût.