Logo Parlement Buxellois

Question écrite concernant la faille de sécurité Log4j et l'impact de cette faille sur l'informatique communale et régionale

de
Emin Özkara
à
Bernard Clerfayt, Ministre du Gouvernement de la Région de Bruxelles-Capitale chargé de l'Emploi et de la Formation professionnelle, de la Transition numérique, des Pouvoirs locaux et du Bien-Être animal (question n°860)

 
Date de réception: 20/12/2021 Date de publication: 28/01/2022
Législature: 19/24 Session: 21/22 Date de réponse: 25/01/2022
 
Date Intitulé de l'acte de Référence page
12/01/2022 Recevable Bureau élargi du Parlement
 
Question   

Ce 20 décembre 2021, je souhaite vous questionner sur la faille de sécurité Log4j découverte récemment. Sans rentrer dans des considérations techniques qui sont consultables à cette adresse https://cert.be/fr/warning-active-exploitation-0-day-rce-log4j , cette faille permettrait, entre autres, à des logiciels malveillants (par exemple des ransomwares) de se propager et d'attaquer des machines virtuelles, des applications d'entreprise et des services cloud.

Comme vous savez, des machines virtuelles, applications d'entreprise et services cloud sont actuellement déployés et utilisés par les services publics régionaux et communaux.

Je souhaiterais vous poser les questions suivantes en rapport avec l'Informatique communale et régionale :

Suite à la découverte de cette faille de sécurité,

  1. Quelles sont les actions qui ont été mises en route pour prémunir l'Informatique régionale et communale de l'exploitation de cette faille ?

  2. Quelles sont les mesures qui ont été prises pour mesurer l'impact des correctifs sur les performances et la sécurité des systèmes ?

  3. Quelles sont les contre-mesures mises en place pour assurer la sécurité, l'intégrité, la confidentialité et la disponibilité des données ?

  4. Quelles sont les mesures qui ont été prises pour expliquer les menaces liées à cette faille de sécurité aux responsables IT et aux utilisateurs ?

 
 
 
Réponse    1/
La vulnérabilité Log4j découverte mi-décembre 2021, considérée comme une vulnérabilité ZERO-DAY (Une vulnérabilité zero-day ou 0-day (en anglais zero-day vulnerability) désigne une faille de sécurité informatique dont l'éditeur du logiciel ou le fournisseur de service n'a pas encore connaissance, ou qui n'a pas encore reçu de correctif) a été directement prise au sérieux ; car une attaque réussie pouvait conduire à une prise de contrôle complète de l’application vulnérable.
Au vu de la menace, une équipe dédiée a été directement établie au sein du CIRB afin d’analyser l’étendue de la problématique.

Les actions qui ont été faites sont les suivantes :
● Création d’un inventaire des dispositifs réseaux et applicatifs qui pouvaient être impactés par cette faille ;
● Elaboration et lancement de la communication vis-à-vis des clients ;
● Priorisation des mises à jour sur les serveurs critiques ;
● Consultations des publications des constructeurs afin de connaître notre degré d’exposition et exécution des mises à jour suivant leurs recommandations ;
● Configuration des solutions de protection (WAF) pour certains composants informatiques ne pouvant pas disposer d’un correctif directement ;
● Suivi des actions jusqu’à la clôture des points ouverts ;
● Exécution de scans de vulnérabilité afin de vérifier que l’infrastructure n’est plus vulnérable.



2/
Au sein du CIRB, tout déploiement de correctifs en production doit passer par une série de validations. En effet, les correctifs proposés sont tout d’abord testés suivant les instructions des constructeurs dans deux environnements différents : développement et acceptance avant de planifier un déploiement en production.
De plus, un système de monitoring est en place sur l’infrastructure informationnelle du CIRB ainsi toute anomalie en termes de performance serait directement détectée.
Ce n’est qu’à la suite de toutes ces validations et pour autant que le résultat est positif, que les déploiements de correctifs ont lieu en production.

3/
Les mesures de sécurité techniques actuelles (comme les pares-feux, isolation des environnements, Anti-virus, backup régulier etc.) et organisationnelles qui sont mises en œuvre par le CIRB au sein du Centre Régional de Données, suffisent actuellement à assurer de manière adéquate la protection des données.
De plus, le CIRB en tant qu’acteur régional de la cyber défense, va renforcer sa veille informatique et sa détection de toute activité suspecte sur son infrastructure par la mise en place d’un service SOC cette année (Security Operations Center).


4/
Suivant la criticité de cette faille, le CIRB a directement réalisé une communication spécifique de sécurité invitant les utilisateurs d’Apache Log4j d’installer les mises à jour disponibles dès que possible et d’aller régulièrement consulter le site de la CCB (Centre for Cyber Security Belgium) sur ce sujet. Celle-ci a été faite à différents niveaux et aux travers de différents canaux.