Logo Parlement Buxellois

Question écrite concernant la faille de sécurité critique dans l’implémentation du protocole RPC par Microsoft et l'impact de cette faille sur l'informatique communale et régionale

de
Emin Özkara
à
Bernard Clerfayt, Ministre du Gouvernement de la Région de Bruxelles-Capitale chargé de l'Emploi et de la Formation professionnelle, de la Transition numérique, des Pouvoirs locaux et du Bien-Être animal (question n°944)

 
Date de réception: 21/04/2022 Date de publication: 08/06/2022
Législature: 19/24 Session: 21/22 Date de réponse: 16/05/2022
 
Date Intitulé de l'acte de Référence page
02/05/2022 Recevable Bureau élargi du Parlement
 
Question   

Ce 21 avril 2022, je souhaite vous questionner sur la vulnérabilité dans l’implémentation du protocole RPC par Microsoft (CVE-2022-26809) annoncée il y a quelques jours par le CERT-FR. Sans rentrer dans des considérations techniques qui sont consultables à cette adresse https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-003/ , cette faille de sécurité qui touche l'ensemble des versions de Windows 'desktop' et Windows 'Server'  permettrait la prise de contrôle à distance, le vol, l'espionnage, voire la destruction d’informations confidentielles par des cybercriminels.

Suite à l'annonce de cette faille de sécurité critique, je souhaite vous poser les questions suivantes en rapport avec l'Informatique communale et régionale :

  1. Des incidents en rapport avec cette faille de sécurité critique sont-ils à signaler ? Si oui, combien, quand et où ?

  2. Combien de machines exécutent actuellement un système d'exploitation MS-Windows (ventilation des données par version de MS-Windows) ?

  3. Quelles sont les actions qui ont été mises en route pour prémunir l'Informatique régionale et communale de l'exploitation de cette faille de sécurité critique ?

  4. Quelles sont les mesures qui ont été prises pour mesurer l'impact des correctifs sur les performances et la sécurité des systèmes ?

  5. Quelles sont les contre-mesures mises en place pour assurer la sécurité, l'intégrité, la confidentialité et la disponibilité des données ?

  6. Quelles sont les mesures qui ont été prises pour expliquer les menaces liées à cette faille de sécurité critique aux responsables IT et aux utilisateurs ?

 

 
 
 
Réponse    1/
Aucun incident a été rapporté au CIRB jusqu’à présent en rapport avec cette faille de sécurité critique.


2/
Au niveau des pc portables, le CIRB gère un parc de +/- 500 machines dont le système d’exploitation est déjà pour la plupart Windows 11. Et le compte gère un peu plus d’une soixantaine de servers Windows dans le Centre Régional de Données.

En ce qui concerne le SPRB, ce sont +/- 1800 machines clients (hors serveur) qui utilisent un système d’exploitation MS-Windows au niveau du SPRB.

3/
Bien que, cette vulnérabilité découverte dans l’implémentation du Protocole RPC (Remote Procedure Call) au niveau des systèmes Microsoft est considérée comme Vulnérabilité Zero-Day et que celle-ci est pointée comme critique (car si elle est exploitée , il peut exécuter un code malveillant à distance), cette vulnérabilité a été sérieusement mitigée en termes de risque avec les mesures de sécurité déjà en place (p. ex. Pare-Feu, Anti-virus) et n’a pas déclenché une communication régionale vu ces mitigations.

En effet, ce protocole ne peut pas être accédé depuis l’Internet au niveau de notre Centre Régional de Données.

Au niveau du parc des pc’s portables et des server Windows, ceux-ci sont dotés de solutions EDR (Endpoint Detection and Response), conçues pour monitorer et répondre en continu aux cybermenaces avancées. EDR va plus loin qu’un anti-virus conventionnel, car il inspecte tout comportement anormal en continu et peut le bloquer.

De plus, les mises-à-jour sur ces PC sont forcées automatiquement et il n’a fallu que trois jours pour avoir à disposition un correctif contrant cette menace.


4/
Au sein du CIRB, tout déploiement de correctifs en production pour les servers doit passer par une série de validations. En effet, les correctifs proposés sont tout d’abord testés suivant les instructions des constructeurs dans deux environnements différents : développement et d’acceptance avant de planifier un déploiement en production.

De plus, un système de monitoring est en place sur l’infrastructure informationnelle du CIRB, ainsi toute anomalie en termes de performance serait directement détectée.

Ce n’est qu’à la suite de toutes ces validations et pour autant que le résultat est positif, que le déploiement de correctifs a lieu en production.


5/
Les mesures de sécurité techniques actuelles (comme les pares-feux, l’isolation des environnements, les anti-virus, les backups réguliers, etc.) et organisationnelles qui sont mises en œuvre par le CIRB au sein du Centre Régional de Données, suffisent actuellement à assurer de manière adéquate la protection des données.

De plus, le CIRB, en tant qu’ acteur régional de la cyber défense, a déployé un SOC (Security Operations Center) permettant d’augmenter sa veille informatique et de détecter plus rapidement toute activité suspecte sur son infrastructure.


6/
Aucune communication spécifique de sécurité relative à cette faille n’a été à ce jour diffusée pour les raisons invoquées au point 3.

Toutefois, le CIRB fait régulièrement de la communication et de la sensibilisation relative à la sécurité de l’information à ses utilisateurs et aux responsables IT régionaux. Le message préconisé pour ce type de faille et qui est périodiquement relayé auprès des équipes IT des institutions régionales est le suivant : « Gardez toujours vos systèmes à jour avec les derniers updates de sécurité et suivez les instructions de vos fournisseurs de systèmes d’exploitation et de VM’s (Virtual Machine) ».