/

La sécurité informatique

  • Session : 2010-2011
  • Année : 2011
  • N° : 214 (2010-2011) 1

2 élément(s) trouvé(s).

  • Question écrite du 13/09/2011
    • de BARZIN Anne
    • à DEMOTTE Rudy, Ministre-Président du Gouvernement wallon

    J'ai interrogé Monsieur le Ministre-Président en séance publique le 2 février dernier sur le piratage du site internet du Gouvernement wallon par le groupe « Mouvement Offensive Hacker Underground ». J’aurais voulu revenir plus en détail sur les suites données à cette attaque ainsi que sur la mise en œuvre au niveau de la région d’une véritable politique de sécurité informatique.

    En novembre 2008, un rapport avait été réalisé par la Cour des comptes sur l’informatique administrative en Région wallonne.

    Ce rapport a révélé certaines lacunes au niveau de la politique de sécurité informatique développée par la région. Parmi celles-ci, tout d’abord, le manque d’information aux acteurs directement concernés. Un plan de communication était alors en cours d’élaboration…

    Autres faiblesses pointées par ce rapport : la mise en œuvre incomplète du plan de sécurité et la non indépendance du responsable de la sécurité des systèmes d’information par rapport à la structure informatique de la région.

    Enfin, ce rapport soulignait également l’absence de procédure définie dans la gestion des espaces serveurs et des mots de passe, l’absence de plan de continuité des services, le non respect de la protection de la vie privée et les manquements à la sécurité physique des installations.

    Où en est-on aujourd’hui ?

    Monsieur le Ministre-Président a-t-il reçu les rapports sur les causes et les failles à l’origine du piratage du 30 janvier dernier ? Qu’en ressort-il ? Les causes étaient-elles technologiques ou liées à un manque de précaution au niveau de la confidentialité des mots de passe ?

    Quelles sont ou seront les suites données à ce rapport ? De nouvelles mesures seront-elles prises ? Viseront-elles tous les sites ou uniquement ceux contenant des données plus sensibles ?

    Sur base de quel budget, ces mesures seront-elles développées ? L’analyse du budget 2011 révèle qu’aucune provision n’a été prévue pour le plan de sécurité informatique… Tout au plus, il est précisé qu’en cas de besoin, ces postes budgétaires seront alimentés via des transferts. Des transferts d’allocations seront-ils vraiment possibles si les besoins devaient s’avérer importants et coûteux ?

    De manière plus générale, quelles sont les évolutions constatées par rapport aux faiblesses pointées par la Cour des comptes dans son rapport de 2008 ?
  • Réponse du 04/10/2011
    • de HENRY Philippe

    La question comporte deux volets distincts :
    - d’une part, la sécurité au niveau de l’informatique administrative qui relève de la responsabilité du Département des Technologies de l’Information et de la Communication (DTIC) et le suivi réservé aux remarques de la Cour des Comptes ;
    - et d’autre part, la sécurité des sites web qui relève de la responsabilité du Commissariat EASI-WAL et le suivi réservé au piratage du site htt://gov.wallonie.be.

    Concernant les réponses aux remarques de la Cour des comptes :

    Durant les 3 années qui ont suivi l'audit de la Cour des comptes, c'est-à-dire de 2008 à 2011, le DTIC a du absorber et gérer des changements profonds et complexes. Pour ne citer que les principaux :
    - la fusion des ex-ministères, et donc de ses clients (10 Directions générales et 10.000 postes utilisateurs) avec une harmonisation des processus, des méthodes de travail et des outils ;
    - la fusion des directions informatiques des ex-ministères et la mise sur pied d'un nouveau département avec définition et répartition des rôles et responsabilités entre 3 directions, dont une nouvelle direction en charge notamment de la sécurité ;
    - la réalisation de la transition informatique qui a consisté en la sortie d’une convention monopolistique vers la mise en concurrence de l’ensemble de l’informatique administrative du Ministère.
    - le recrutement de personnel afin d'évoluer vers les effectifs cibles validés par le Gouvernement wallon, la formation de ce personnel et la gestion du transfert de connaissances dans une structure en croissance ;
    - le repositionnement stratégique du DTIC tel que voulu par le Gouvernement wallon vers davantage de maîtrise du système d'information et moins d'activités opérationnelles, et les évolutions en termes de compétences que cela implique ;
    - l'émission de 25 cahiers des charges et le dépouillement de dizaines d'offres dans le cadre des différents marchés amenés à couvrir les domaines précédemment couverts par la convention GIEI et toutes les activités de "transition" associées à ces marchés : fournitures d'informations aux nouveaux prestataires, définition de SLAs, etc.

    Dans ce contexte fortement évolutif, le fait d'avoir assuré durant toute cette période la continuité des traitements, l'intégrité et la confidentialité des données, et la disponibilité des systèmes, soit les fondements même de la sécurité d'un système d'information, a déjà constitué un réel défi.

    Toutefois, le DTIC a également mené ou lancé des actions pour augmenter son niveau de sécurité, notamment sur base des résultats d'une réévaluation complète de ses systèmes et de ses procédures par rapport d'une part à la norme ISO 27001 et d'autre part à la Politique de Sécurité du Système d'Information validée par le Gouvernement wallon en 2007.

    Parmi les réalisations, dont certaines sont toujours en cours, participant à l'amélioration du niveau de sécurité, on peut notamment citer :
    - la standardisation de la configuration des PC du Service Public de Wallonie et des progiciels qui y sont installés.
    Des standards ont été définis par catégories de fonctions à couvrir par des progiciels, ce qui permet de réduire la diversité des progiciels installés et donc d'assurer une meilleure gestion et mise à jour de ceux-ci, notamment au niveau des versions et patches de sécurité (sans parler des économies d'échelle ou des bénéfices en termes d'interopérabilité).

    - la gestion semi-automatisée de la diffusion des correctifs de sécurité et des mises à jour des progiciels installés sur les PCs.
    Le DTIC s'est doté du produit Secunia, qui permet d'auditer, d'analyser et de corriger les vulnérabilités détectées sur les PCs. Pour chaque logiciel présent sur un PC, Secunia en identifie la version et, sur base de la consultation d'une base de données centrale des vulnérabilités associées à chaque version de chaque logiciel, conseille une mise à niveau ou l’application des correctifs de sécurité selon les patches disponibles. L’intégration avec WSUS, également mis en œuvre au DTIC, permet la diffusion rapide et automatique des correctifs, après validation.

    - la mise en œuvre d’un nouvel Active Directory (AD – annuaire technique) unique.
    C'est notamment via cet AD que le DTIC peut assurer une meilleure gestion et un meilleur contrôle des accès de ses utilisateurs à différents espaces serveurs, dont par exemple les espaces de stockage des fichiers bureautiques.

    - le remplacement de l'anti-virus qui était déployé sur le parc de l'ex-Met par l'anti-virus qui était déployé sur le parc de l'ex-MRW.
    Le recours à un seul antivirus et à une gestion unifiée pour tout le parc permet de recentrer les compétences et d'être ainsi plus efficace dans la lutte antivirale.

    - la mise en œuvre d’une architecture de Gestion des Identités et des Accès, incluant le principe du "mot de passe unique" sécurisé et la sécurisation des accès internes et externes aux sites et applications web.
    Ce système Gestia permet d’augmenter la robustesse des mots de passe et de sécuriser davantage les accès aux applications, sans qu’aucun développement complémentaire soit nécessaire sur ces applications.

    - une étude portant sur des moyens de contrôle d’accès des machines au réseau SPW (NAC).
    Les solutions de type Network Access Control permettent de vérifier que le matériel souhaitant se connecter au réseau SPW est bien conforme à des normes minimales de configuration et de sécurité. Ce type de contrôle, exploitant la norme 802.1x, permet au choix de bloquer un matériel non conforme avant même sa connexion au réseau ou de le réorienter automatiquement vers un réseau de remédiation ou vers un réseau limité au seul accès à internet par exemple.
    L'implémentation d'une telle solution permettrait donc d’éviter que du matériel "dangereux" se connecte au réseau et vienne le corrompre ou en exploiter les informations.

    - une étude portant sur l'intégration sécurisée des smartphones et tablettes dans le système d'information, vu le succès croissant de ce type de matériels.

    - une étude visant à recommander d’une part une meilleure architecture du réseau et de l’infrastructure, et d’autre part des solutions de sécurité, notamment de type « Analyse, Détection et Protection contre les Intrusions »  (IDS/IPS).
    Les solutions de type IDS/IPS (Intrusion Detection System et Intrusion Protection System) permettent de détecter des tentatives d’intrusion sur le réseau par l’analyse de corrélation de traces, de statistiques ou de comportements jugés intrusifs. Un système de décision intelligent permet de rejeter ces attaques et de préserver le système d’information du SPW.

    - la mise en œuvre d’une infrastructure d’accès unique et contrôlée pour intervenir en mode administration sur les serveurs.
    Le DTIC a mis en œuvre des procédures plus strictes d’octroi et de révision des droits d’accès aux serveurs en mode administration et s'est doté du produit Wallix, qui permet la centralisation des accès, le contrôle d’identité, et le contrôle des raisons et profils d’accès. Le produit capte aussi la trace de toute intervention d’un administrateur sur un serveur qu'il protège.
    Cette solution permet de mieux contrôler les personnes qui interviennent sur les serveurs et les raisons de ces interventions. Cela est particulièrement utile afin de gérer de manière centralisée les accès aux infrastructures techniques.

    - la mise en œuvre d’une solution de monitoring de la disponibilité des serveurs et applications (Nimbus).
    Cette solution de monitoring permet de mieux vérifier la disponibilité d’une application, d’une base de données ou d’un serveur en analysant sa charge de travail, ses performances, son CPU, la bande passante utilisée, les services démarrés, etc.
    Elle permet dès lors de mesurer les SLA de disponibilité et de performance, et d’identifier et de lancer des alertes lors de dépassements de seuils afin de prévenir de possibles incidents.

    - le choix et la mise en œuvre d’une solution de scanning de vulnérabilité des serveurs, des sites et des applications web.
    Cette solution identifie les failles, les erreurs de configuration, les versions en fin de vie ou vulnérables. Elle permet de tester les applications web contre la plupart des exploitations connues. Elle fournit un rapport de vulnérabilités classifiées par degré de criticité, propose et évalue la charge de travail d’un plan de remédiation. Elle permet de comparer l’état général d’un système avant et après l’application d’un add-on fonctionnel (évolution ou correction de l’application développée par un prestataire).

    - la mise en œuvre de solutions de haute disponibilité (Plan de continuité) sur certaines ressources critiques transversales.
    Dans un premier temps, seuls les systèmes traitant des données sensibles ou stratégiques pour l’organisation devraient être couverts par un DRP. Il appartient à chaque administration responsable d’une application ou de données de mener d’une part une identification et une évaluation des risques (et donc des impacts), en collaboration avec le DTIC, et d'autre part une analyse coût/bénéfice, suite auxquelles elle optera ou non pour des solutions de type DRP.

    - des audits internes, sur des applications ou systèmes, visant à identifier et évaluer les manquements à la sécurité et à proposer des plans de rémédiation.
    Des audits annuels sont par exemple menés dans le cadre des applications assurant la gestion de fonds européens (l’Organisme Payeur Wallon, par exemple) et des actions et mesures de sécurité spécifiques sont ensuite mises en œuvre.

    Un audit axé sur la sécurité physique du centre Perex est actuellement en cours. Il sera accompagné de recommandations dont il conviendra aux SPW d’examiner l’opportunité.

    - de l'information, de la communication et de la sensibilisation relatives à la sécurité.
    Une présentation de la Politique de Sécurité des Systèmes d'Information a été effectuée au management du SPW. Cette politique a été intégrée systématiquement comme document de référence dans tous les marchés informatiques passés par le DTIC.

    Les nouveaux membres du DTIC ont reçu des séances de sensibilisation à cette politique et plus précisément aux aspects moins biens connus ou plus en rapport avec leurs activités (au niveau de l'exploitation des systèmes parexemple), y compris tous les aspects relevant de la loi sur la protection de la vie privée.

    Les relais-métier du DTIC sont attentifs à la sécurité lors de la relecture des offres de développement ou lors de réunions avec les directions générales. Le responsable des changements informatiques est vigilant et applique les procédures de validation et d’escalade lorsque l’impact d’un changement est important ou lorsqu’une déviation par rapport à la Politique de Sécurité des Systèmes d'Information est demandée. Les agents en charge de la sécurité des PC sont particulièrement attentifs, proactifs et réactifs lors de tout incident relevant de leur domaine.

    Les prestataires techniques, tous les utilisateurs, tous les responsables de service, aux échelons Direction Générale, Département et Direction ont été informés à diverses reprises de l’importance de la confidentialité et de l’individualité des mots de passe.

    En 2009, une formation à la protection de la vie privée a été proposée et dispensée à certains agents traitant des données à caractère personnel. La Direction de la Formation du SPW est prête à organiser à la demande ce type de sessions.

    Enfin, le Groupe de Travail sur la Sécurité de l’Information, regroupant les institutions publiques wallonnes et francophones, a récemment édité un « Guide Vie Privée » publié sur l'intranet du SPW.



    Ces exemples montrent à suffisance que malgré les priorités et la charge de travail très importantes de ces 3 dernières années, le DTIC n'a pas négligé la sécurité et a, au contraire, initié et mis en œuvre de nombreuses actions dans le domaine, même si toutes ne sont pas finalisées actuellement.

    L'absence de budget spécifiquement attribué à la sécurité ou le positionnement organisationnel du responsable de la sécurité n'ont pas eu pour effet de freiner ces initiatives. Au contraire, la Direction de l'architecture et de la sécurité à laquelle il appartient dispose d'une autonomie suffisante, et les budgets nécessaires aux différentes actions ont pu être dégagés aux moments voulus en synergie naturelle avec les autres activités du Département, notamment d’exploitation.

    Le rythme de progression de ces diverses initiatives est directement tributaire de la capacité du DTIC à se doter des ressources humaines nécessaires, et disposant des compétences et de la disponibilité pour pouvoir mettre en œuvre ces solutions et les exploiter pleinement.

    Concernant le suivi réservé au piratage du site htt://gov.wallonie.be :

    Pour rappel, le lundi 30/01/2011, un "hacker" est parvenu à voler des comptes "webmaster" lui permettant d'effectuer des publications sur le portail du gouvernement. Les causes précises ont été déterminées :
    - pour modifier les pages, le pirate est passé par le des comptes volés lui donnant accès au fonctionnement normal du CMS Drupal.
    - les mots de passes, trop simples, de certains comptes utilisateurs ont été découverts par des techniques de déchiffrement de mots de passe chiffrés.
    - les comptes et mots de passe chiffrés ont été obtenus au travers d'une faille de sécurité de type sql-injection provoquée par la société qui a réalisé le site.
    - la faille de sécurité a été repérée et exploitée grâce à des outils d' « aide au piratage » largement disponibles sur internet.
    - certains pirates ont utilisé un relais (proxy) afin de masquer leur identité numérique, et ce proxy est situé en Corée, mais des traces exploitables de l'auteur du piratage ont été trouvées

    Les causes primaires sont donc une erreur de programmation et une complexité trop faible de mots de passe.

    Une série de mesures ont été prises dès la prise de connaissance du piratage :
    - sauvegarde des preuves à différents niveaux ;
    - modification des mots de passe ;
    - suppression du contenu illicite ;
    - passage du site en « lecture seule » ;
    - remise en ligne sans possibilité d'ajouter du contenu ;
    - remise en ligne temporaire avec possibilité de modifier du contenu pour répondre à des impératifs de communication ;
    - dépôt d'une plainte officielle auprès de la Computer Crime Unit (CCU).

    Puis, afin de permettre la poursuite de manière provisoire de la communication institutionnelle, les mesures suivantes ont été réalisées :
    - placement d'un filtre permettant de limiter les accès en modification aux acteurs situés sur les réseaux informatiques des cabinets ;
    - application des correctifs de sécurité sur le serveur Drupal ;
    - utilisation d'un protocole chiffré pour les édimestres ;
    - mesures de précautions supplémentaires sur le système, suite à une analyse automatique de sa sécurité ;
    - analyse détaillée du déroulement de l'incident ;
    - transmission à la CCU de toutes les traces nécessaires pour identifier l'auteur du piratage du site, ainsi que de tous les éléments relatifs à d'autres pirates.

    L'analyse complète de l'incident ayant révélé une faiblesse dans le code réalisé, les mesures correctives suivantes ont été prises pour résoudre le problème du site des gouvernements :
    - analyse, par la nouvelle société responsable de la maintenance du site, du code de l'ensemble du site ;
    - détection de plusieurs autres faiblesses ;
    - correction de toutes les faiblesses identifiées ;
    - migration de l'hébergement des sites gouvernementaux vers un nouveau serveur dédié à Drupal en respectant tous les standards de sécurité et de gestion des changements.

    En supplément aux mesures initialement prévues, il faut ajouter :
    - une sensibilisation à la valeur des mots de passe au sein d'Easi-wal ;
    - la diffusion d'information dans le réseau de sécurité CERT de Belnet ;
    - la diffusion et l'échange d'information entre les conseillers en sécurité et les acteurs TIC concernés pour Easi-wal, SPW, Etnic, MCF... .

    Par la suite, les risques d'incidents similaires sur d'autres sites ont été analysés par le SPW, et des mesures de protections périmétriques génériques sont soit prises soit à l'étude.

    Les pièces déposées à la CCU ont permis à celle-ci d'identifier le coupable et son arrestation a d'ailleurs été signalée dans les médias.
    Une série d’autres mesures sont en cours de déploiement :
    - renforcer les mesures de défense de nos réseaux ;
    - auditer toutes les applications web, qu'elles soient du ressort d'Easi-wal ou du SPW et renforcer les mesures de sécurité ;
    - accroître le respect des normes et procédures existantes pour garantir la sécurité des systèmes d'informations : par exemple refuser les mises en production en urgence, quelles que soient les raisons invoquées ;
    - imposer le respect de directives web plus contraignantes pour atteindre un recentrage des systèmes et, à temps et argent équivalents, une amélioration de la sécurité ;
    - poursuivre l'éducation à la sécurité des utilisateurs. Aucun audit ou mesure de sécurité ne protégera les systèmes d'information si l'utilisateur ne participe pas lui-même à leur protection.