5 mois après une intrusion d'ampleur dans son environnement informatique, le Service public de Wallonie vous propose un état de la situation, une série de perspectives pour les semaines à venir et des recommandations à l’aune d’un climat de cybercriminalité particulièrement actif.
Plus de 90% des activités restaurées
A l’heure actuelle, plus de 90% de nos activités informatiques ont été totalement (+ de 80%) ou partiellement (+ de 10%) restaurées. Un véritable coup de force de la part des services digitaux du SPW tant la restauration d’un environnement IT tel que celui du Service public de Wallonie exige un travail titanesque. Pour rappel, le SPW compte plus de 800 applications, des milliers de serveurs ou encore quelques 10.000 ordinateurs.
Au-delà de la restauration de nous outils, nos équipes se sont aussi attelées à l'analyse du schéma de l'intrusion (indispensable pour lutter contre la persistance de la menace), mais également au renforcement de l’environnement informatique du SPW pour une meilleure sécurité et un meilleur monitoring.
Concrètement et sans entrer dans les détails naturellement confidentiels de notre sécurité, la « maison digitale SPW » s’est dotée de nouveaux outils de détection qui lui permettent 24/7 de rapidement repérer toute tentative d’intrusion et de neutraliser cette menace en évitant un nouveau confinement informatique généralisé.
Nous sommes donc clairement mieux armés aujourd’hui qu’hier, même si aucun système public ou privé n’est à l’abri à 100% d’une intrusion aussi ciblée et sophistiquée.
Quelles suites à notre plan de restauration ?
Au lendemain de l’intrusion et de notre décision de nous couper d’Internet, le Service public de Wallonie avait, souvenez-vous, procédé via 3 vagues à la restauration, l’une après l’autre, de ses applications les plus fondatrices et transversales (avec des effets « levier » importants). Il s’agissait in fine d’une 50aine d’applications, véritable colonne vertébrale de l’administration, qui nous ont permis en quelques semaines de recouvrer et garantir l’exécution de nos missions essentielles.
Nous terminions alors un sprint et avons entamé depuis un marathon. En effet, il nous restait des centaines d’applications à reconnecter, voire à reconstruire !
C’est pourquoi, en vue d’un retour vers une administration complètement fonctionnelle, nous avons travaillé tout l’été à une phase d’industrialisation où, en catégorisant les applications, nous avons procédé à des reconnexions par lots.
Nous arrivons aujourd’hui au terme de cette phase qui a permis de reconnecter des centaines d’applications. Très concrètement, sur les quelques 800 applications gérées par le SPW, il en reste 19 à restaurer et 52 dont il faut gérer des discordances et autres maladies de jeunesse.
Ces dernières applications à remettre en ligne (il s’agit souvent d’applications à totalement réécrire) ou à corriger constituent notre agenda des prochaines semaines où, comme depuis le début, nous travaillerons avec pragmatisme en trouvant un équilibre entre une approche volontariste et prudente.
Face à l’absence de risque zéro, la vigilance demeure
Rappelons tout d'abord que, grâce à la détection rapide de l'intrusion par les équipes du SPW Digital et à la décision dans la foulée de nous couper d’Internet, cette effraction dans notre système informatique n’a pas entraîné de vols, d'exfiltrations massives, de cryptages ou de destructions de données. Aucune demande de rançon n'a non plus été formulée. Le CCB et Microsoft n’ont par ailleurs trouvé aucune preuve de revendications ou de tentatives de vente de données issues du SPW sur le Dark web.
Cela étant, le risque zéro n’existe pas, et il demeure possible que certaines données aient été exposées. Dans un contexte de cybermenaces croissantes, le SPW encourage chacun à faire preuve de vigilance.
En effet, les violations de données se multiplient, et entrainent des personnes mal intentionnées à commettre des infractions, via différents canaux (hameçonnage (« phishing »), usurpation d’identité, ingénierie sociale …)
Pour éviter cela, nous vous invitons à être attentifs et a notamment adopter les habitudes suivantes :
- Surveillez les notifications de connexions aux différentes plateformes,
- Vérifiez régulièrement qu’aucune transaction suspecte n’a été réalisée,
- Restez vigilants face aux appels ou messages de sources inconnues. S’il s’agit de sources connues, vérifiez qu’il n’y a rien d’inhabituel.
Bien que, dans la plupart des cas, le citoyen accède aux applications du SPW en s’authentifiant à l’aide de leur carte d’identité, nous rappelons qu’il est important de changer régulièrement de mot de passe et de choisir un mot de passe « fort » et unique pour chaque site ou application.
Dépôt de plainte
Le Service public de Wallonie a également porté plainte. L'enquête a été confiée au Parquet fédéral. Une information judiciaire est donc en cours. Le respect de son secret est crucial pour aider notamment la Justice à identifier l'auteur de l'intrusion.
Nous tenons enfin à remercier nos usagers et nos partenaires pour leur patience et leurs nombreux messages de soutien. Qu’ils sachent que notre mobilisation reste intacte.
Pour toute question ou information complémentaire, vous pouvez contacter le délégué à la protection des données du SPW (DPD) à l'adresse suivante : dpo@spw.wallonie.be
Liens utiles
Informations complémentaires sur les risques en matière de cybercriminalité et les mesures à prendre pour se protéger : https://safeonweb.be/fr
Article du Centre belge pour la cybercriminalité : Un mot de passe fort pour protéger vos informations précieuses | CCB Safeonweb