Logo Parlement Buxellois

Question écrite concernant les conséquences de la cyberattaque à grande échelle contre Belnet pour la Région de Bruxelles-Capitale

de
Bianca Debaets
à
Bernard Clerfayt, Ministre du Gouvernement de la Région de Bruxelles-Capitale chargé de l'Emploi et de la Formation professionnelle, de la Transition numérique, des Pouvoirs locaux et du Bien-Être animal (question n°740)

 
Date de réception: 17/05/2021 Date de publication: 19/07/2021
Législature: 19/24 Session: 20/21 Date de réponse: 07/07/2021
 
Date Intitulé de l'acte de Référence page
07/06/2021 Recevable p.m.
 
Question    Le mardi 4 mai, notre pays a été frappé par une cyberattaque de grande ampleur visant Belnet, le principal fournisseur d’accès de nombreuses institutions publiques et universités. Selon Belnet lui-même, il s’agissait d’une attaque DDoS d’une ampleur sans précédent, provenant de 29 pays dont le Mozambique, le Bahreïn, les États-Unis, la Russie et la Chine. Toutefois, selon Belnet, l’attaque avait principalement pour objectif de rendre les sites web publics indisponibles et non de s’emparer de données.

Les sites web et les services en ligne de la Région de Bruxelles-Capitale ont également été touchés par cette cyberattaque. Le CIRB a prévu des mises à jour régulières sur l’incident et a rapidement basculé vers les systèmes back-up nécessaires, ce qui a permis de limiter quelque peu les nuisances. Bien que le CIRB ait agi de manière résolue et appropriée et qu’il ne soit pas en faute, il est néanmoins opportun d’évaluer les conséquences de cette attaque pour notre Région.

Je voudrais dès lors vous poser les questions suivantes :

- Pouvez-vous expliquer comment les sites web et services de la Région de Bruxelles-Capitale ont été affectés par cette cyberattaque de grande ampleur ? Quels dommages éventuels (en termes de perte de données, etc.) ont-ils subis ?
- Comment le CIRB contribue-t-il à la remise en état des serveurs Belnet touchés et à la recherche des auteurs de cette attaque ? Le CIRB a-t-il participé à une vaste concertation entre tous les acteurs concernés sur le sujet ?
- Quelles mesures avez-vous décidé de prendre afin d’éviter à l’avenir (les effets néfastes de) ce type d’attaques ? Quels sont les actions et moyens concrets qui y sont associés ?
- Combien d’autres cyberattaques la Région de Bruxelles-Capitale et ses services ont-ils subies jusqu’à présent en 2020 et 2021 ? Quelles ont été les conséquences de ces attaques ? Comment les a-t-on gérées ?
 
 
Réponse   

1/

L'attaque informatique par déni de service (DDoS) sur le fournisseur internet de la Région, le réseau fédéral Belnet, a rendu lent, voire indisponible, l’accès à la plupart des services du CIRB ( Nova, Fidus, District team, etc. ) le 4/05 de 11h45 à 14h30. Les sites web régionaux gérés par le CIRB ont également été inaccessibles (cirb.brussels, be.brussels, smartcity.brussels, datastore.brussels) durant la même période.

 

 

Concernant les données ou d’autres impacts, ce genre d’attaques ne vise pas à en subtiliser mais plutôt à mettre à plat le réseau en le saturant de requêtes. Aucune donnée n’a été subtilisée durant l’attaque des 4 et 5/05/2021.

 

 

2/

Dès 14h30 le 4/05/2021, le CIRB et IRISnet ont appliqué la procédure de secours en effectuant un basculement vers un autre opérateur que Belnet. Ceci a permis à la Région de remettre rapidement en route les services strictement régionaux.

Néanmoins, les autres services dépendant de services fédéraux ou de l’utilisation du service d’authentification fédérale (par exemple IRISbox, Editoria, etc.[1]) ont été impactés jusqu’au 5/05 vers 10h.

 

Le CIRB a été en contact permanent avec Belnet, IRISnet, le fédéral pendant l’attaque, tout comme avec tous les clients régionaux.

 

 

3/

Pour se protéger de ce type d’attaques, le CIRB avait notamment souscrit à un service de protection ad hoc auprès de Belnet. Malheureusement, avec les attaques des 4 et 5 mai derniers ayant été d’un genre nouveau et d’une ampleur sans précédent, ce service s'est révélé insuffisant pour y faire face. Une instruction judiciaire est actuellement en cours pour trouver les auteurs et  nous ne disposons pas encore de toutes les informations sur les caractéristiques précises de l’attaque.

Depuis lors, Belnet nous a informé qu’une série de mesures supplémentaires ont été prises, dont notamment la souscription à un service supplémentaire de protection qui permettrait de mieux contrer ce genre d’attaques.

 

 

 

De plus, le CIRB est en train d’analyser la possibilité d’effectuer un dédoublement de la capacité de sa liaison de backup pour augmenter la résilience de la solution globale internet pour la Région. De plus, la capacité de la ligne vers Belnet a été doublée entretemps pour donner plus de réserve et retarder l’éventuelle saturation de la ligne en cas de nouvelles attaques DDoS.

 

 

[1] eCat, eProcurement, TutelleExchange, IDM ainsi que HMS, BAS et FixMyStreet de façon limitée.

Les services du SPRB ont également été impactés: BEE, Brugis, Documentum, Feder, Impala, Osiris, VPN, …