Le suivi des procédures de sécurisation informatique
- Session : 2012-2013
- Année : 2013
- N° : 32 (2012-2013) 1
2 élément(s) trouvé(s).
Question écrite du 04/02/2013
- de BARZIN Anne
- à DEMOTTE Rudy, Ministre-Président du Gouvernement wallon
Le 30 janvier 2011, le site internet du Gouvernement wallon était piraté.
J’ai eu l’occasion d'interroger Monsieur le Ministre-Président sur les raisons de ce piratage et le suivi apporté en matière de sécurité informatique.
En réponse à une de mes questions, Monsieur le Ministre-Président affirmait que les causes primaires étaient à la fois une erreur de programmation et une complexité trop faible des mots de passe.
Une série de mesures ont été prises dès que ce piratage a été constaté visant à corriger les faiblesses et à permettre la continuité de la diffusion des communications du Gouvernement wallon.
Une série d’autres mesures étaient alors toujours en cours de redéploiement comme le renforcement des mesures de défense des réseaux, un audit des applications web, l’accroissement du respect des normes de procédures existantes ou la poursuite de l'éducation à la sécurité des utilisateurs.
Deux ans après ce piratage, Monsieur le Ministre-Président peut-il me dire où en sont toutes ces mesures ? Ont-elles pu être concrétisées ?
D’autres nouvelles dispositions liées à la sécurité informatique ont-elles été prises ? Si oui, lesquelles ?
Quel a été le budget consacré à ce renforcement de la sécurité du réseau ?
Réponse du 22/02/2013 | Annexe [PDF]
- de DEMOTTE Rudy
Depuis janvier 2011, une série de mesures ont bien été prises afin d’augmenter la sécurité des informations hébergées par la Direction des Technologies de l’Information et des Communications du SPW.
Certaines de ces mesures concernent en particulier le site internet du Gouvernement wallon (http://gouvernement.wallonie.be/ ), mais la grande majorité de celles-ci bénéficient à l’ensemble du système d’information.
1. Les mesures spécifiques pour le site du Gouvernement wallon.
Dès janvier 2011, les mesures suivantes (entre autres) avaient été prises spécifiquement pour le site internet du Gouvernement wallon :
* tous les mots de passe ont été changés et leur robustesse augmentée ;
* la société « MakeMeWeb » a analysé tout le code et corrigé toutes les failles ; le code corrigé est en production depuis deux ans ;
* tous les développements futurs suivront le même cheminement : test – validation – mise en production ;
* les accès directs à la base de données de production sont désormais strictement limités et contrôlés ; certaines applications inutiles ont été désactivées.
2. Les mesures globales de renforcement de la sécurisation du réseau, des sites et des applications web.
Par rapport aux actions prévues citées dans la réponse d’octobre 2011, les suivantes ont été mises en œuvre et sont opérationnelles :
* Une solution de scanning de vulnérabilité (audit technique) des serveurs, des sites et des applications web. Cette solution identifie les failles, les erreurs de configuration, les versions en fin de vie ou vulnérables. Elle permet de tester les applications web contre la plupart des exploitations connues.
* Une infrastructure d’accès unique et contrôlé pour intervenir en mode administration sur les serveurs. Le DTIC s'est doté d’une solution qui permet la centralisation des accès, le contrôle d’identité, et le contrôle des raisons et profils d’accès. Le produit capte aussi la trace de toute intervention d’un administrateur sur un serveur qu'il protège. Ce contrôle est d’application sur les nouveaux serveurs depuis quelques mois, et doit être progressivement déployé sur le parc informatique existant.
* Une solution de Gestion des Identités et des Accès permettant d’augmenter la robustesse des mots de passe et de sécuriser davantage les accès aux applications, sans qu’aucun développement complémentaire ne soit nécessaire sur ces applications. Depuis mi-2012, les cahiers des charges informatiques émis par le SPW intègrent cet élément de référence pour toute nouvelle application ou site Web.
* Une solution de sécurisation des accès distants au réseau SPW, de type VPN/SSL. Un token ou digipass personnel permet de s’authentifier et d’accéder au réseau SPW en cryptant le flux des informations.
* Les procédures de gestion des changements et de mise en production, basées sur les bonnes pratiques ITIL, permettent de réduire les risques de publier un site ou une application web soit présentant des vulnérabilités, soit entraînant des dysfonctionnements ou des désagréments pour les utilisateurs.
Des éléments d’études ont été finalisés :
* Une étude portant sur l’architecture réseau et la sécurité a permis d’identifier les risques, de proposer une modernisation du réseau et de recommander un plan d’actions. Ces propositions doivent maintenant être évaluées et priorisées, puis budgétées et concrétisées.
* Parmi celles-ci, on trouve notamment une solution d’ « Analyse, Détection et Protection contre les Intrusions » (IDS/IPS) qui permet de détecter des tentatives d’intrusion sur le réseau.
* D’autre part, l’amélioration de la disponibilité des informations tout en contrôlant strictement ses accès est un axe d’amélioration majeur préconisé.
* Enfin, diverses recommandations se focalisent sur les data centers (centres sécurisés d’hébergement des serveurs et applications), dont PEREX : sécurité physique, continuité, infrastructure immobilière, …). Dans ce cadre, le Gouvernement s’est doté au terme d’une procédure de marché, de la possibilité de recourir à un centre d’hébergement externe pouvant répondre à des besoins de sécurité que les datacenters appartenant à la Région ne peuvent garantir.
Certaines nouvelles actions sont planifiées à court et moyen terme :
* Un audit firewall permettra entre autres d’identifier, puis de supprimer des connexions vers des serveurs ou applications qui ne doivent plus être utilisées par certains anciens prestataires ou utilisateurs. Il améliorera les performances des accès, tout en permettant l’activation de traces ou de blocage des accès (notamment utile pour protéger des systèmes informatiques sensibles ou pour conserver des preuves lors d’accès frauduleux)
* L’acquisition d’un outil de revue des codes de programmation des applications permettant d’augmenter la qualité et la sécurité des applications livrées et à mettre à disposition des utilisateurs.
Enfin, d’autres mesures, axées sur du plus long terme ou plus complexes à mettre en œuvre, sont soit en cours de déploiement, soit en phase d’analyse :
* Une étude portant sur des moyens de contrôle d’accès des machines au réseau SPW (Network Access Control).
* En parallèle aux recommandations d’architecture réseau citées plus haut, la Direction de l’Architecture et de la Sécurité du DTIC est engagée depuis plusieurs mois dans la définition, la promotion et le design d’une Architecture d’Entreprise.
On ne saurait assez insister sur le fait que la sécurité dépend de tous, et que des solutions techniques ou organisationnelles ne pourront jamais complètement empêcher des comportements humains inappropriés ou malhonnêtes d’individus (isolés ou non).
La sensibilisation de tous les acteurs (agents et management du SPW, personnel technique, prestataires, cabinets, …) reste un objectif prioritaire. Les mesures de sécurité sont toutefois souvent ressenties comme des contraintes inutiles. Alors qu’il est de bon ton de parler de client plutôt que d’utilisateurs de solutions informatiques, force est constater que la sécurité, comme la gouvernance, sont rarement considérés comme de vrais « services ».
3. Budget pour renforcer la sécurité du réseau.
Il est difficile d’évaluer le budget spécifiquement consacré au « renforcement de la sécurité du réseau ». En effet, les aspects sécurité sont pour la plupart inclus directement dans les projets et services mis en œuvre dans tout le SPW, ou font partie de solutions plus larges de gestion professionnelle d’un environnement informatique. La sécurité se définissant par tout ce qui concourt à la confidentialité, l’intégrité et la disponibilité du système d’information, les dépenses informatiques y contribuent d’une manière ou d’une autre.
D’autre part, si certains coûts spécifiques de licence, de maintenance, d’acquisition de matériel sont quantifiables (voir tableau en annexe), il est malaisé d’identifier ceux relatifs au personnel interne (technique ou non), aux procédures ou aux campagnes de communication et de sensibilisation.