/

La cybersécurité des administrations wallonnes

  • Session : 2014-2015
  • Année : 2015
  • N° : 98 (2014-2015) 1

2 élément(s) trouvé(s).

  • Question écrite du 11/03/2015
    • de COLLIGNON Christophe
    • à LACROIX Christophe, Ministre du Budget, de la Fonction publique et de la Simplification administrative

    Force est de constater une hausse de la cybercriminalité dans différents domaines. Ainsi, il a été décidé de créer un Centre Cyber Security Belgique (CCSB) au niveau fédéral dont les tâches sont " la supervision et le suivi de la cybersécurité, le développement d'une approche intégrée et centralisée afin de gérer les différents projets sur le plan de la cybersécurité et d'assurer la coordination entre les services et autorités concernés, de formuler des propositions pour l'adaptation du cadré légal en matière de cybersécurité, d'assurer la gestion de crise en cas de cyberincidents en coopération avec le Centre de coordination et de crise du gouvernement, et d'élaborer et de diffuser des standards, directives et normes de sécurité pour les différents types de système informatique des administrations et organismes publics. ".

    Monsieur le Ministre pourrait-il effectuer un état des lieux en matière de sécurité informatique au niveau des services publics régionaux wallons ? Quels sont les moyens mis en oeuvre pour protéger les données des administrations wallonnes ? Les données privées de nos citoyens recueillies par les administrations wallonnes sont-elles correctement protégées contre une "cyberattaque" ? Le fonctionnement informatique des administrations est-il suffisamment protégé des intrusions tant au niveau matériel que logiciel ?

    Monsieur le Ministre dispose-t-il d'une analyse de risque et, le cas échéant, quelles sont ses conclusions ?
  • Réponse du 31/03/2015
    • de LACROIX Christophe

    La présente réponse ne concerne que le Service public de Wallonie. En ce qui concerne les OIP, j'invite l'honorable membre à se tourner vers chacun des ministres de tutelle.

    La sécurité informatique repose d’une part sur la protection d’un ensemble de composants techniques qui peuvent présenter des failles exploitées par les attaquants (ces failles provenant du produit lui-même ou de la manière dont il a été mis en œuvre) et d’autre part sur le respect des bonnes pratiques de sécurité par le personnel qui utilise les ressources du système d’information ou par les experts IT en charge de sa gestion.

    La sécurité des informations se décline généralement en trois domaines :
    - la disponibilité des données et des traitements (objectif : les systèmes informatiques doivent restent utilisables),
    - leur intégrité (objectif : les systèmes informatiques ne doivent pas être altérés, les données et traitements doivent rester fiables et cohérents),
    - et leur confidentialité (objectif : les systèmes informatiques et les données hébergées ne doivent être accessibles qu’aux personnes dûment habilitées).

    Il convient de rappeler que la sécurité est toujours un compromis basé sur une évaluation des risques, et qu’il est impossible d’atteindre une sécurité totale. Une telle sécurité serait à la fois impayable et impraticable, tant pour les utilisateurs qui se verraient pénalisés à outrance dans leur travail quotidien, que pour le service informatique qui serait dans l'incapacité, avec des ressources limitées, de surprotéger tous ses systèmes.

    Les mesures de sécurité doivent ainsi être proportionnelles aux risques encourus. Ces risques sont les suivants :
    * Destruction ou perte de données ou de documents,
    * Vol de données ou de documents,
    * Divulgation d’informations sensibles, financières, privées, juridiques, scientifiques, commerciales ou contractuelles,
    * Manipulation de données, de documents ou d’outils de communication,
    * Indisponibilité des applications et services,
    * Retard dans les missions de service public,
    * Perte d’image, de réputation, de confiance,
    * Pertes ou erreurs financières,
    * Altération du fonctionnement d’une application ; prises de décision inappropriées.

    Les impacts peuvent concerner les agents du SPW eux-mêmes, les citoyens wallons, les prestataires, les partenaires, les cabinets, les entreprises, la sureté de l’état, …

    En réponse à ces enjeux, le SPW dispose d’une Politique de Sécurité des Systèmes d’Information (PSSI) basée sur la norme internationale ISO27001-27002. Cette politique fixe les règles de sécurité à appliquer et concerne toutes les entités du SPW, et tant ses utilisateurs que ses prestataires. Elle intègre également les normes minimales requises pour le traitement des données à caractère personnel.

    En matière de vulnérabilité, ce sont les points d’entrées du système d’information du SPW qui sont les plus sensibles aux attaques. Ils font donc l'objet d'une attention particulière. La difficulté de protéger un périmètre aussi large est due au fait qu’il suffit d’un point faible (même temporaire) parmi des milliers, pour rendre tout le système plus vulnérable.

    Les mesures suivantes ont été prises par le DTIC afin notamment de détecter, limiter ou réduire l’impact de « cyber attaques » :
    1) Les mesures techniques
    * Le réseau est équipé de pare-feux (firewalls) qui détectent ou bloquent certains types d’attaques.

    * L’architecture du réseau SPW est conçue de manière à n’exposer à l’internet que le strict minimum, le reste étant hébergé derrière les pare-feux, dans un réseau interne au SPW.

    * Les connexions distantes des télétravailleurs et agents mobiles vers le système d’information du SPW sont sécurisées par une solution de VPN (Virtual Private Network) cryptant le flux de données et soumise à un processus d’authentification forte.

    * Les PC des agents SPW sont équipés d’un antivirus tenu à jour.

    * Le DTIC tient compte de l’émergence de terminaux mobiles professionnels (smartphone ou tablettes) et des risques spécifiques qu’ils comportent.

    * Les serveurs de fichiers disposent d’un antivirus et sont contrôlés constamment.

    * Les serveurs d’application ou de sites web sont construits à partir d’une configuration standard incluant des mesures de sécurité. Un outil de scan de vulnérabilité permet de détecter, dès avant la mise en production, les failles sur les serveurs et sur les applications ou sites web qu’ils hébergent.

    * Depuis plusieurs années, les nouvelles applications web développées par les prestataires doivent l’être dans le respect de la Politique de Sécurité des Systèmes d'Information ainsi que du référentiel d’architecture et d’exploitation ; la mise en place d’une méthodologie de gestion de projet et l’alignement avec les bonnes pratiques d’exploitation ITIL (notamment les tests de mise en production) permet de mieux contrôler les développements, les réceptions et les mises en production. La solution de contrôle unifié d’identités et d’accès « GestIA » permet de sécuriser davantage l’accès aux applications SPW.

    * La messagerie du SPW bénéficie d’une solution antivirus et antispam spécifique.

    * L’accès à internet par les utilisateurs SPW est soumis à un filtrage mis en œuvre tant sur base de règles légales (Prohibition de la haine raciale, de l’incitation à la violence, de l’usage de drogue, armes, pornographie…) que pour se protéger de contenus dangereux. Un nouvel outil de filtrage plus performant vient d’être mis en œuvre en 2015.

    * De nombreuses traces sont conservées au sein de chacune des solutions de sécurité citées ci-dessus. Elles devraient permettre de mieux comprendre les modalités et canaux des attaques éventuelles, ainsi que les cibles visées (atteintes ou non).

    * Les accès en mode « administrateur » sur les serveurs sont regroupés, tracés et sécurisés via une solution « Wallix ». Par ses enregistrements de transactions ou d’instructions, elle permet de décortiquer chaque action d’un administrateur et d’empêcher certaines d’entre elles fort sensibles ou inappropriées.



    2) Les mesures organisationnelles
    À côté des solutions techniques, des mesures organisationnelles ou des procédures pragmatiques simples permettent parfois d’éviter des attaques ou d’en limiter l’impact. Les mesures organisationnelles suivantes ont également été mises en œuvre :

    * Le SPW a désigné un Responsable Sécurité des Systèmes d'Information, fixé sa mission et la politique à suivre.

    * Des Responsables de sécurité délégués ont été désignés par chaque direction générale, pour y promouvoir la sécurité.

    * Des ressources internes ou externes assurent, chacune à leur niveau et dans leur service au sein du DTIC, la prise en charge opérationnelle de mesures de sécurité (soit par des projets, soit par de la gestion d’équipements).

    * Un gestionnaire d’incident a été désigné au sein du DTIC pour prendre en charge la coordination opérationnelle de la réponse aux incidents majeurs et le suivi des autres incidents.

    * La sensibilisation aux bonnes pratiques et aux règlements relatifs à la sécurité se poursuit auprès des membres du DTIC, et auprès des coordinateurs informatiques des Directions générales ou des prestataires assistant le DTIC dans sa gestion opérationnelle. Ainsi, depuis 2009, une formation à la protection de la vie privée a été proposée et dispensée à certains agents traitant des données à caractère personnel. D’autre part, le Groupe de Travail sur la Sécurité de l’Information (GTSI), réunissant les conseillers en sécurité de l’information du SPW, du MFWB et des OIP, a édité un « Guide Vie Privée » disponible depuis 2011.



    Enfin, il faut souligner qu’un état des lieux du niveau de sécurité du système d’information du SPW a été réalisé fin 2013/début 2014. Chaque domaine a été évalué du point de vue maturité, risque et priorité.

    Le rapport qui en découle aborde les mesures à mettre en œuvre pour améliorer la sécurité. L'honorable membre comprend que le caractère confidentiel du document m’interdise cependant la communication de ces informations.

    Il ressort en synthèse de ce rapport confidentiel que le niveau de sécurité du système d'information du SPW peut être considéré comme étant dans la moyenne des bonnes pratiques appliquées par des institutions de taille et de visibilité comparables.

    En termes de recommandations, ce rapport suggère des améliorations pour « Inclure la sécurité au cœur des métiers du SPW ». Notamment en termes de sensibilisation, en termes de reporting, et en termes d’amélioration de l’intégration des problématiques de sécurité dans divers processus métiers et informatiques.

    La sensibilisation vise à renforcer la conscientisation des agents et du management à l’importance des règles et des bonnes pratiques de sécurité. Souvent les problèmes de sécurité (fuites de données, intrusions ou attaques) sont liés à des manquements ou négligences par rapport à ces bonnes pratiques (mots de passe écrits sur des post-its, données sur des clés USB, etc…).

    L’objectif est donc d’ancrer progressivement la sécurité dans « la culture d’entreprise » du SPW et dans les réflexes des utilisateurs, chefs de projets, responsables d’applications, ou autres fonctions en lien avec l’informatique et l’information.

    Afin d’améliorer encore le niveau de sécurité du système d’information du SPW, le travail de sensibilisation, de conseil et de contrôle doit donc être amplifié et poursuivi.