Question écrite concernant la faille de sécurité critique dans l’implémentation du protocole RPC par Microsoft et l'impact de cette faille sur l'informatique communale et régionale
- de
- Emin Özkara
- à
- Bernard Clerfayt, Ministre du Gouvernement de la Région de Bruxelles-Capitale chargé de l'Emploi et de la Formation professionnelle, de la Transition numérique, des Pouvoirs locaux et du Bien-Être animal (question n°944)
Date de réception: 21/04/2022 | Date de publication: 08/06/2022 | ||
Législature: 19/24 | Session: 21/22 | Date de réponse: 16/05/2022 |
Date | Intitulé de l'acte | de | Référence | page |
02/05/2022 | Recevable | Bureau élargi du Parlement |
Question | Ce 21 avril 2022, je souhaite vous questionner sur la vulnérabilité dans limplémentation du protocole RPC par Microsoft (CVE-2022-26809) annoncée il y a quelques jours par le CERT-FR. Sans rentrer dans des considérations techniques qui sont consultables à cette adresse https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-003/ , cette faille de sécurité qui touche l'ensemble des versions de Windows 'desktop' et Windows 'Server' permettrait la prise de contrôle à distance, le vol, l'espionnage, voire la destruction dinformations confidentielles par des cybercriminels. Suite à l'annonce de cette faille de sécurité critique, je souhaite vous poser les questions suivantes en rapport avec l'Informatique communale et régionale :
|
Réponse | 1/ Aucun incident a été rapporté au CIRB jusqu’à présent en rapport avec cette faille de sécurité critique. 2/ Au niveau des pc portables, le CIRB gère un parc de +/- 500 machines dont le système d’exploitation est déjà pour la plupart Windows 11. Et le compte gère un peu plus d’une soixantaine de servers Windows dans le Centre Régional de Données. En ce qui concerne le SPRB, ce sont +/- 1800 machines clients (hors serveur) qui utilisent un système d’exploitation MS-Windows au niveau du SPRB. 3/ Bien que, cette vulnérabilité découverte dans l’implémentation du Protocole RPC (Remote Procedure Call) au niveau des systèmes Microsoft est considérée comme Vulnérabilité Zero-Day et que celle-ci est pointée comme critique (car si elle est exploitée , il peut exécuter un code malveillant à distance), cette vulnérabilité a été sérieusement mitigée en termes de risque avec les mesures de sécurité déjà en place (p. ex. Pare-Feu, Anti-virus) et n’a pas déclenché une communication régionale vu ces mitigations. En effet, ce protocole ne peut pas être accédé depuis l’Internet au niveau de notre Centre Régional de Données. Au niveau du parc des pc’s portables et des server Windows, ceux-ci sont dotés de solutions EDR (Endpoint Detection and Response), conçues pour monitorer et répondre en continu aux cybermenaces avancées. EDR va plus loin qu’un anti-virus conventionnel, car il inspecte tout comportement anormal en continu et peut le bloquer. De plus, les mises-à-jour sur ces PC sont forcées automatiquement et il n’a fallu que trois jours pour avoir à disposition un correctif contrant cette menace. 4/ Au sein du CIRB, tout déploiement de correctifs en production pour les servers doit passer par une série de validations. En effet, les correctifs proposés sont tout d’abord testés suivant les instructions des constructeurs dans deux environnements différents : développement et d’acceptance avant de planifier un déploiement en production. De plus, un système de monitoring est en place sur l’infrastructure informationnelle du CIRB, ainsi toute anomalie en termes de performance serait directement détectée. Ce n’est qu’à la suite de toutes ces validations et pour autant que le résultat est positif, que le déploiement de correctifs a lieu en production. 5/ Les mesures de sécurité techniques actuelles (comme les pares-feux, l’isolation des environnements, les anti-virus, les backups réguliers, etc.) et organisationnelles qui sont mises en œuvre par le CIRB au sein du Centre Régional de Données, suffisent actuellement à assurer de manière adéquate la protection des données. De plus, le CIRB, en tant qu’ acteur régional de la cyber défense, a déployé un SOC (Security Operations Center) permettant d’augmenter sa veille informatique et de détecter plus rapidement toute activité suspecte sur son infrastructure. 6/ Aucune communication spécifique de sécurité relative à cette faille n’a été à ce jour diffusée pour les raisons invoquées au point 3. Toutefois, le CIRB fait régulièrement de la communication et de la sensibilisation relative à la sécurité de l’information à ses utilisateurs et aux responsables IT régionaux. Le message préconisé pour ce type de faille et qui est périodiquement relayé auprès des équipes IT des institutions régionales est le suivant : « Gardez toujours vos systèmes à jour avec les derniers updates de sécurité et suivez les instructions de vos fournisseurs de systèmes d’exploitation et de VM’s (Virtual Machine) ». |