Si l’ONSS semble résister aux attaques informatiques en tant qu’institution, les infrastructures de la sécurité sociale en souffriraient davantage. Une campagne de phishing aurait causé des millions d’euros de préjudice financier. Mais le cabinet Vandenbroucke n’a pas encore été en mesure d’éclaircir cette situation.

Aucun dommage causé au niveau du SPF Santé publique, ni au SPF Sécurité sociale en 2020. Aucun dégât à déplorer à la Cami, sur la plateforme eHealth ou encore à l’Inami. Pourtant, les cyberattaques n’ont certainement pas faibli l’année dernière, surtout avec les tentatives d’hameçonnage profitant de la crise sanitaire pour abuser des internautes.

Ce petit topo de cybersécurité concernant les institutions fédérales de la santé et des affaires sociales est issu d’une réponse parlementaire écrite jugée ‘pure documentation’ par le ministre Frank Vandenbroucke. Elle n’est donc pas consultable en ligne mais au greffe de la Chambre des représentants.

En quatre pages, le ministre socialiste flamand décrit sommairement les tenants et aboutissants pour chacun des départements, soulignant l’évolution de l’environnement informatique et des incidents y survenant. Un constat s’inscrivant dans la tendance générale. Jusqu’à un dernier point portant sur l’Office national de sécurité sociale (ONSS). Si ‘en tant qu’institution’, l’Office n’a pas été victime d’une cyberattaque ayant abouti, il indique néanmoins que ‘les infrastructures de la sécurité sociale en général ont été perturbées par les types d’attaques classiques.’

‘Les mesures prises en 2019 pour atténuer les effets des attaques DDOS (Distributed Denial of Service) sont encore toujours suffisantes. Les formations ciblées en matière de cybersécurité ont permis aux collaborateurs de reconnaître pratiquement toujours des tentatives de hameçonnage (phishing) et de limiter ainsi ces incidents à un minimum absolu’, affirme le ministre de la Santé publique.

Seulement voilà, autre constat, le nombre de hameçonnages a augmenté. Et pour certaines attaques, une relative sophistication est désormais apparue.

‘Les attaques semblent être axées plus sur des tentatives de phishing dont la qualité supérieure pour certaines se fait remarquer’, ajoute le ministre fédéral.

Non sans conséquence manifestement puisque le document précise le montant estimé des pertes : un préjudice financier ‘évalué initialement’ à 2 millions d’euros. Avec pour seule mention explicative qu’il s’agissait de cyberattaques de type ‘fraude aux primes et subsides dans le cadre de la pandémie Covid’.

Contacté à plusieurs reprises, le cabinet du ministre Vandenbroucke, qui ne disposait d’abord pas d’informations complémentaires à ce sujet, a posé et reposé la question à ‘ses experts’. Sans suite au moment d’écrire ces quelques lignes.

Cet énième événement de cybersécurité et la communication laborieuse des autorités belges à son sujet participent à un phénomène plus large d’opacité, néfaste pour la conscientisation des citoyens, des petites et moyennes entreprises face aux risques technologiques. Sans parler de la gravité des piratages de SolarWinds et de Microsoft Exchange, pour ne citer que ces deux exemples symboliques, qui ne semble émouvoir publiquement aucun dirigeant.

Pour aller plus loin :

• Alertes de cybersécurité en Belgique: voilà pourquoi se soucier des piratages de Pulse Secure et SonicWall
• Fuites de données admises à la SNCB: ‘Il est logique de ne pas communiquer publiquement’
• Face aux cyberattaques, les hôpitaux n’ont qu’à se débrouiller seuls, à en croire le ministre de la Santé