Le piratage informatique et l’espionnage électronique

Question écrite du 22/10/2013

• de BOLLAND Marc
• à DEMOTTE Rudy, Ministre-Président du Gouvernement wallon

Ces dernières semaines, les questions de piratage informatique et d’espionnage électronique ont fait la une des médias.

Au niveau de la fonction publique wallonne, nos services disposent aussi de réseaux informatiques, dont beaucoup intègrent des données sensibles pour la vie privée des citoyens.

Quel est le niveau de sécurité de ces installations par rapport à des intrusions extérieures ?

Compte tenu de la perméabilité manifeste de nos structures publiques en Belgique, quelles sont les mesures et instructions que Monsieur le Ministre-Président a données pour renforcer la sécurité de nos dispositifs ?

Réponse du 12/11/2013

• de DEMOTTE Rudy

En réponse à la question écrite de l’honorable Membre, il est porté à sa connaissance les éléments suivants.

Le Département des technologies de l’information et de la communication (DTIC) de la DGT2 du SPW n’a pas attendu que la presse relate un certain nombre d’incidents de sécurité pour se doter d’un ensemble d’outils et prendre un ensemble de mesures destinées à protéger le système d’information du SPW de cyberattaques.

Ces outils et mesures sont d’ailleurs paramétrables, ce qui permet à tout moment, si jugé utile ou nécessaire, de relever le niveau de sécurité sur un certain nombre de composants afin de détecter davantage d’attaques potentielles et/ou d’en limiter ou réduire l’impact.

Il faut toutefois être conscient que ce relèvement de la sécurité a quasi systématiquement un impact direct négatif sur la disponibilité et la performance des applications, des documents ou services informatiques, ainsi que des sites intranet et internet. À l’image d’une maison, plus on active de verrous et de systèmes de sécurité divers, plus il est difficile pour les voleurs d’entrer, plus il est lent pour le propriétaire d’entrer, car il doit lui-même passer toutes les barrières, même s’il dispose des clés ou des codes.

La sécurité est donc toujours un compromis basé sur une évaluation des risques. La sécurité parfaite serait tout à la fois impayable et impraticable, tant pour les utilisateurs qui se verraient pénalisés à outrance dans leur travail quotidien, que pour le DTIC qui serait dans l’incapacité avec des ressources limitées, de protéger tous ses systèmes en permanence de toute attaque. Aucune société, aussi sérieuse et prestigieuse soit-elle, ne peut atteindre une sécurité totale, car toutes recourent notamment à des composants techniques fournis par des tiers (ne citons que les produits Windows, par exemple) qui contiennent ou peuvent contenir des failles exploitées ou exploitables.

Sur base des éléments qui précèdent et des besoins en service émis par ses clients (SG, DGs, cabinets, eWBS, citoyens, entreprises, ?) le niveau de sécurité appliqué par le DTIC pour le système d’information du SPW peut être considéré comme dans la moyenne des bonnes pratiques appliquées par des institutions de taille et de visibilité comparables.

Enfin, il convient de terminer ce résumé en précisant que les outils et mesures évoqués ci-devant peuvent perdre en efficacité voire être réduits à néant si par ailleurs les utilisateurs du système d’information, autrement dit (notamment) les agents du SPW, ne respectent pas un certain nombre de bonnes pratiques de sécurité qui leurs sont communiquées. Les fuites de données, intrusions ou attaques résultent très souvent d’interventions humaines, soit malveillantes, soit inconscientes (erreurs) et le «middle» et haut management du SPW devraient être davantage acquis à ces considérations et davantage les répercuter au sein de leurs services.

De manière plus détaillée, sans pour autant être exhaustive (sécurité oblige ?), l’honorable Membre trouvera ci-après une liste des principaux moyens d’attaque recensés, risques encourus, contre-mesures déployées et limitations actuelles.

1. Moyens d’attaque recensés

1° Les attaques par Dénis de Service sont relativement faciles à détecter, mais difficiles à repousser, sans susciter d’impact sur les utilisateurs normaux. Les attaquants saturent les serveurs web de milliers de requêtes apparemment anodines, et font drastiquement chuter les temps de réponse, jusqu’à l’arrêt du service web.

2° Le Phishing permet d’acquérir des informations simplement en les demandant aux utilisateurs, par exemple via un e-mail, en se faisant passer pour une autorité quelconque ou pour un service technique. La communication de mots de passe ou codes d’accès est la principale cible des hackers qui agissent par usurpation d’identité.

3° Les intimidations, menaces ou harcèlements du personnel interne ou externe peuvent être utilisés comme moyen d’obtention d’information.

4° Des virus ou chevaux de Troie permettent d’exécuter, à l’insu de l’utilisateur d’une ressource informatique, un code de programme sur la machine d’un utilisateur qui surfe sur un site web ou télécharge un fichier. Ce code permet par exemple de capturer des informations et de les renvoyer (par des voies dérivées) vers le hacker ou de modifier/détruire des fichiers de documents ou de paramétrage de l’ordinateur.

5° Les progiciels installés ou téléchargés, les systèmes d’exploitation ou les browsers présentent des failles de sécurité, repérées puis exploitées par les hackers, pour accéder au système d’information. Des mauvaises configurations de sécurité ont le même effet.

6° Des attaques par brute force essaient, de manière intelligente ou de manière systématique, de deviner les mots de passe.

7° Des injections SQL ou des failles XSS touchent les applications web qui ne contrôlent pas les réponses encodées par l’utilisateur dans un champ ou formulaire. Certaines réponses entrées par les hackers sont en effet des morceaux de code qui exécutent une action malveillante dans l’application.

8° Le vol physique de matériel contenant des données d’entreprise est facilité par la mobilité tant des devises que des personnes. Le vol ou la lecture de documents laissés sans surveillance sur les bureaux, dans les photocopieuses ou les armoires sont une source précieuse d’information.

9° L’attaque de l’Homme du Milieu capte le contenu de la communication entre deux interlocuteurs et l’utilise à des fins malicieuses.

10° Les hackers utilisent de plus en plus les informations d’entreprise qu’ils trouvent ou obtiennent via les réseaux sociaux, les documents mal protégés déposés dans le «cloud» ou les courriers électroniques.

11° On peut également citer les catastrophes naturelles (inondation, foudre, ?) et les actes de violence ou attentats terroristes.

2. Risques encourus

– destruction ou perte de données ou de documents;
– vol de données ou de documents;
– divulgation d’informations sensibles, financières, privées, juridiques, scientifiques ou contractuelles;
– manipulation de données, de documents ou d’outils de communication;
– indisponibilité des applications et services;
– retard dans les missions de service public;
– perte d’image, de réputation, de confiance;
– pertes ou erreurs financières;
– altération du fonctionnement d’une application ; prises de décision inappropriées.

Les entités impactées peuvent être les agents SPW eux-mêmes, les citoyens wallons, les prestataires, les partenaires, les cabinets, ?

3. Contre-mesures déployées

Les points d’entrées du système d’information du SPW sont évidemment les plus sensibles aux attaques. Même s’ils sont fort nombreux, ils font l’objet d’une attention particulière.

1° Le réseau est équipé de pare-feux (firewalls) qui détectent ou bloquent certains types d’attaques.

2° L’architecture réseau SPW est dessinée de manière à n’exposer à l’internet qu’un «front-end» ou les services nécessaires, le reste étant hébergé derrière les pare-feux, dans un réseau interne SPW.

3° Les connexions distantes des télétravailleurs et agents mobiles vers le système d’information du SPW sont sécurisées par une solution de VPN cryptant le flux de données ; elle est basée sur un accès individualisé et une authentification par token.

4° Les PC des agents SPW sont équipés d’un antivirus tenu à jour, d’un système intelligent capable d’analyser et bloquer des flux anormaux ; ils reçoivent régulièrement les mises à jour de sécurité diffusées par les éditeurs de software ou du système d’exploitation.

5° Le DTIC tient compte de l’émergence de terminaux mobiles professionnels (smartphone ou tablettes) et des risques spécifiques qu’ils comportent. Il va définir une politique de sécurité spécifique et se doter d’un service de Mobile Device Management.

6° Les serveurs de fichiers disposent d’un antivirus, sont monitorés constamment et mis à jour régulièrement.
7° Les serveurs d’application ou de sites web sont construits à partir d’une configuration standard incluant des mesures de sécurité. Un outil de scan de vulnérabilité permet de détecter, dès avant la mise en production, les failles sur les serveurs et sur les applications ou sites web qu’ils hébergent.

8° Depuis plusieurs années, les nouvelles applications web développées par les prestataires doivent l’être dans le respect de la Politique de Sécurité des Systèmes d’Information ainsi que du référentiel d’architecture et d’exploitation ; la mise en place, par le DTIC, d’une méthodologie de gestion de projet et l’alignement avec les bonnes pratiques d’exploitation ITIL (notamment les tests de mise en production) permet de mieux contrôler les développements, les réceptions et les mises en production. La solution de contrôle d’identité et d’accès « GestIA » permet de sécuriser davantage l’accès aux applications SPW.

9° La sécurité des sites web internet dépend à la fois des serveurs qui les hébergent (voir ci-dessus), mais également des couches applicatives de publication qui affichent et contrôlent les pages web. Ces couches sont souvent développées par du personnel interne SPW ou des prestataires intervenant dans des marchés directement passés par les services métier concernés, sans intervention du DTIC. Dans ce cas, il est du ressort de
ces développeurs de s’assurer de la sécurité de leurs développements, le rôle du DTIC se limitant à assurer un hébergement des sites en question.

10° La nouvelle messagerie SPW bénéficie d’une solution antivirus et antispam spécifique, qui, jusqu’à présent, donne entière satisfaction.

11° L’accès à internet par les utilisateurs SPW est soumis à un filtrage mis en ?uvre tant sur base de règles légales (Prohibition de la haine raciale, de l’incitation à la violence, de l’usage de drogue, armes, pornographie?) que pour se protéger de contenus dangereux. Un filtrage complémentaire par réputation de site est en test.

12° De nombreuses traces sont conservées au sein de chacune des solutions de sécurité citées ci-dessus. Elles devraient permettre de mieux comprendre les modalités et canaux de l’attaque, ainsi que les cibles visées (atteintes ou non).

13° Les accès en mode « administrateur » sur les serveurs sont regroupés, tracés et sécurisés via une solution « Wallix ». Par ses enregistrements de transactions ou d’instructions, elle permet de décortiquer chaque action d’un administrateur et d’empêcher certaines d’entre elles fort sensibles ou inappropriées.

À côté de ces mesures techniques, des mesures organisationnelles ont également été mises en ?uvre :

1° Des ressources internes ou externes assurent, chacune à leur niveau et dans leur service au sein du DTIC, la prise en charge de mesures de sécurité (soit par des projets, soit par de la gestion opérationnelle d’équipements).

2° La sensibilisation aux bonnes pratiques et aux règlements relatifs à la sécurité se poursuit auprès des membres du DTIC, et auprès des coordinateurs informatiques ou des prestataires assistant le DTIC dans sa gestion opérationnelle.

3° Un gestionnaire d’incident a été désigné au sein du DTIC pour prendre en charge la coordination opérationnelle de la réponse aux incidents majeurs et le suivi des autres incidents.

4. Limitations actuelles

Dire que les contre-mesures citées ci-devant se situent toutes à un niveau nominal serait toutefois erroné.

Certaines solutions devraient être remplacées, réorganisées (pour prendre en compte l’évolution du système d’information), étendues ou généralisées (pour couvrir d’autres composants ou cas de figure), consolidées (pour disposer d’une meilleure vue globale) ou simplement davantage utilisées (exploiter systématiquement les informations et analyses produites ; extraire des analyses additionnelles).

Mener à bien ces missions requiert un investissement important en temps principalement au niveau de la direction de l’exploitation du DTIC et dans une moindre mesure la direction des solutions logicielles et projets qui doit se faire en tant compte de son travail opérationnel qui vise notamment à assurer la continuité des services.

Une sensibilisation de bon niveau (ni trop, ni trop peu) de tous les acteurs (cabinets, management SPW, utilisateurs, prestataires, partenaires, techniciens informatiques) aux bonnes pratiques de sécurité de l’information et aux risques est également indispensable. Sans cela les efforts pour maintenir un niveau de sécurité correct par des mesures techniques sont non seulement très lourds, mais peuvent être réduits à néant par des actions très simples des utilisateurs. Et inversement, des mesures très efficaces pourraient être prises sans déployer d’énormes efforts pour peu que la culture sécurité soit développée au sein du SPW.