/

Virus informatique - Administration - Coût et formation des fonctionnaires.

  • Session : 2002-2003
  • Année : 2003
  • N° : 50 (2002-2003) 1

2 élément(s) trouvé(s).

  • Question écrite du 04/09/2003
    • de BERTOUILLE Chantal
    • à MICHEL Charles, Ministre des Affaires intérieures et de la Fonction publique

    Ces derniers temps, les attaques par virus informatique se font de plus en plus nombreuses. Les dégâts causés au niveau mondial atteindraient plusieurs millions d'euros.

    Le vecteur principal de ces infections est sans conteste l'e-mail.

    Dans quelles proportions l'administration de la Région wallonne a-t-elle été touchée par ces attaques ? Les dégâts causés au système informatique sont-ils importants et quel en est leur coût ? Quels sont les logiciels utilisés pour contrecarrer ces attaques ?

    De plus, les créateurs de ces virus informatiques s'ingénient souvent pour trouver les failles dans les logiciels mis en vente sur le marché. Ainsi, l'éventuelle mise à jour salvatrice n'interviendra qu'après que le virus ait infecté le système.

    Pour beaucoup, la seule méthode véritablement efficace consiste dans la formation de l'utilisateur de l'outil informatique.

    Les fonctionnaires ont-ils été sensibilisés à ce problème ? Reçoivent-ils des instructions au moment d'ouvrir leurs e-mails ainsi que pour détecter les e-mails suspects ? Quel est le système qui a éventuellement été mis en place par la Région wallonne afin que le virus qui aurait affecté une partie du système ne se répande pas à l'entièreté du réseau, notamment par l'intermédiaire des carnets d'adresses ?
  • Réponse du 01/10/2003
    • de MICHEL Charles

    Je tiens à rassurer l'emblée l'honorable Membre en lui signalant que les virus qui ont provoqué tant de déboires dans de nombreuses sociétés et administrations n'ont causé quasiment aucun dégât dans l'informatique de la Région wallonne.

    Des mesures préventives avaient été mises en place et elles ont donc fait leurs preuves. Ces mesures font également l'objet d'améliorations régulières.

    Ces mesures préventives sont de deux types : d'une part, des mesures techniques et, d'autre part, des mesures que l'on peut qualifier d'organisationnelles.

    A. Mesures techniques

    Au niveau des mesures techniques, le schéma de fonctionnement est le suivant:

    - sur tous les ordinateurs et tous les serveurs internet ou bureautiques est installé un logiciel antivirus (Macafee). Sur tous les serveurs de mails, deux logiciels antivirus (Macafee et Fprot) ont été installés sous la coordination d'un logiciel spécialisé (Amavis). Le fait d'installer deux produits permet d'accroître le champ de détection des virus - chaque produit étant complémentaire - et, par conséquent, d'augmenter la sécurité;

    - l'administration dispose de contrats avec les éditeurs de ces logiciels antivirus. Cela lui permet de disposer des mises à jour des programmes de détection dans un délai de deux à trois heures après l'apparition du virus et, au besoin, des programmes de désinfection spécifiques à un virus qui se serait déjà introduit pendant ce laps de temps;

    - les serveurs de l'administration vérifient automatiquement, au maximum toutes les demi-heures et au minimum une fois par jour, si des mises à jour des programmes de détection ne sont pas disponibles. En cas d'urgence, ces vérifications peuvent également être forcées manuellement de manière centralisée;

    - lorsqu'une mise à jour est disponible, elle est automatiquement répercutée sur tous les serveurs, par l'intermédiaire des serveurs “centraux” de distribution. Certains serveurs “périphériques” ne disposent en effet pas de connexions directes aux sites antivirus, mais sont mis à jour par des serveurs “centraux” qui disposent de telles connexions;

    - au bout de la chaîne, les mises à jour des logiciels antivirus parviennent aux ordinateurs soit à un moment déterminé de la journée (s'il n'y a pas urgence), soit en temps réel de manière forcée (s'il y a urgence et que l'ordinateur est allumé), soit au moment du login de l'utilisateur (si l'ordinateur était éteint lors de l'essai de mise à jour). Dans tous les cas, l'utilisateur n'a aucune possibilité de désactiver cette procédure, ni de la postposer;

    - en sus, les serveurs de mails sont paramétrés pour rejeter les messages accompagnés de fichiers à risque tels que les fichiers exécutables portant des extensions (.exe, .com, .bat, ...) ou susceptibles de modifier le paramétrage des ordinateurs (.reg, .pif, ...), ou encore susceptibles d'orienter l'utilisateur vers un site contaminé (.Ink, .cnf, ...).

    Il faut encore ajouter que l'ensemble des échanges au sein des Ministères wallons s'effectue dans un intranet sécurisé (VPN - Virtual Private Network) dont l'accès est conditionné par le passage à travers un logiciel coupe-feu (Firewall) situé au centre Perex, géré par le Ministère wallon de l'Equipement et des Transports. Ce Firewall participe lui aussi à la sécurité par le blocage des tentatives d'intrusions indésirables utilisées par certains virus récents.

    Par ailleurs, les e-mails qui entrent (ou sortent) transitent obligatoirement par des serveurs relais du MET avant d'être pris en charge par les serveurs du MRW. Ces e-mails sont donc au minimum scannés quatre fois (deux fois par les serveurs relais du MET, deux fois par les serveurs mails du MRW - avec des antivirus différents - et une fois par l'ordinateur de l'utilisateur).

    En dernier recours, et si cela devait s'avérer nécessaire en raison de la rapidité de propagation d'un virus ou de son caractère dévastateur, l'arrêt pur et simple des serveurs est envisageable. Par ailleurs, le MET et WIN SA peuvent être sollicités dans l'urgence par la Direction de l'informatique du MRW pour isoler certains sites (voire la totalité du VPN). Cette procédure a été utilisée lors de la dernière attaque qui s'est produite il y a quelques mois.

    Les mesures précitées ont permis d'arrêter, durant la dernière vague de virus, de 5.000 à 6.000 e-mails corrompus par jour (avec une pointe de 17.000 dans la journée du 5 août 2003), et de n'avoir qu'une vingtaine d'ordinateurs infectés (ces ordinateurs n'avaient pas encore été mis au standard régional) sur les 4.000 que compte le parc informatique du MRW. Aucun serveur n'a été atteint.

    Les coûts engendrés par la remise en ordre des inconvénients causés par les virus sont donc jusqu'à présent relativement négligeables. En revanche, les coûts de prévention ne le sont pas et augmentent chaque année, ainsi que les frais de fonctionnement liés à l'outil informatique. Le nombre d'ordinateurs et de serveurs augmente, le réseau se complexifie, l'automatisation de certaines tâches permet certes une réaction plus rapide, mais engendre un coût.

    Le coût de la prévention des virus au MRW pour l'année 2002 peut être estimé à 70.000 euros. Cette somme se répartit comme suit :

    - coût annuel des licences : 15 euros par pc, soit 60.000 euros par an;
    - coût annuel des prestations pour garantir une mise à jour du parc : 5.000 euros par an;
    - coût annuel des prestations de remise en état après contamination (calculé sur la base d'une contamination mineure par an): 5.000 euros par an .

    Les coûts liés à la perte de rendement (due à l'immobilisation des ordinateurs et à la perte éventuelle de données) ne peuvent être calculés, a priori. En effet, le MRW n'a jamais eu à faire face à ce type d'incident.

    Compte tenu de la rapidité de la propagation des virus, il importe cependant qu'un maximum d'opérations de réaction soient automatisées, centralisées et “obligatoires” pour les services et les utilisateurs concernés, sans quoi il devient impossible de maîtriser le phénomène à la base.

    B. Mesures organisationnelles

    Au niveau des mesures organisationnelles, il n'y a pas à proprement parler de formation pour les utilisateurs puisque la plupart des opérations de prévention sont transparentes pour eux. Il existe cependant des opérations d'éducation et/ou d'information.

    Cette information débute par la prise de connaissance et la signature, lors de l'octroi d'un accès à internet, d'une charte d'utilisation que l'utilisateur s'engage à respecter. Elle se poursuit par la présence, sur l'intranet, de consignes en matière de sécurité informatique. Enfin, cette information comprend également, lorsque le besoin s'en fait ressentir et particulièrement en cas d'attaque massive de virus, le rappel des consignes élémentaires de prudence en la matière (à savoir: vérifier l'origine d'un e-mail provenant d'un destinataire inconnu avant de l'ouvrir, se méfier des titres des e-mails, des noms ou des extensions de fichiers, etc.).

    Il est évident que ni les mesures techniques, ni les mesures organisationnelles ne peuvent garantir une protection totale, particulièrement dans ce domaine qui évolue aussi rapidement. Néanmoins, au vu des actions qui ont été prises et des décisions qui continuent à être adoptées, je constate que la Région wallonne dispose d'une très bonne protection contre les virus, certainement équivalente à celle de beaucoup d'autres organismes, qu'ils soient publics ou privés.