L’entreprise ferroviaire belge a subi une dizaine de fuites de données personnelles en trois ans, confirme le ministre fédéral de la Mobilité, préférant tout de même restreindre les détails par précaution.
Sur le rail aussi les cyberattaques vont bon train. Avec les app proposées aux voyageurs de la SNCB ou les infrastructures intelligentes développées par Infrabel, la numérisation des services et des opérations ferroviaires soulève également la question du risque en Belgique.
Interrogé par écrit par un député sur d’éventuelles cyberintrusions et autres attaques informatiques, le ministre fédéral de la Mobilité ne s’est pas étendu dans ses réponses mais il a toutefois confirmé que la SNCB avait effectivement essuyé des data leaks ces dernières années.
‘La SNCB a recensé deux fuites de données en 2018 et en 2020. En 2019, ce chiffre était de cinq. Ces fuites avaient pour objet des données à caractère personnel’, a lapidairement précisé le ministre Georges Gilkinet (Ecolo).
Communication prudente
Parmi les victimes de ces vols de données, des clients qui effectuent des voyages internationaux, des agents du rail ainsi que des membres de leur famille ou encore des titulaires de cartes Mobib qui regroupent les abonnements SNCB TEC, STIB et De Lijn.
Mais tout cela dans un ‘nombre limité’, tempère le ministre de la Mobilité, avant de couper-court aux détails en invoquant le principe de précaution.
‘Pour des raisons de sécurité évidentes, il est logique que la SNCB ne communique pas publiquement sur les circonstances exactes des cyberattaques auxquelles elle est confrontée et sur les mesures précises qu’elle prend pour les éviter’, motive Georges Gilkinet, ne fournissant d’ailleurs aucun chiffre à propos d’Infrabel.
Le niveau de cybermenace auquel le gestionnaire du réseau doit faire face serait similaire à celui ciblant tous les chemins de fer européens. Un niveau en augmentation.
Autorités informées
Quant aux mesures de sécurité prises pour renforcer la protection des systèmes informatiques du rail belge, le ministre de la Mobilité assure que le processus ou le logiciel à l’origine de la fuite a été amélioré, que des formations ont été dispensées et qu’une sensibilisation a été menée auprès des agents de la SNCB.
‘Ces fuites ont été signalées à l’Autorité de protection des données. Ce n’est que dans le cas d’une seule fuite de données qu’il y a eu un risque élevé pour les droits et libertés. Dans ce cas, les personnes concernées ont également été informées de la fuite de données’, souligne Georges Gilkinet.
Notons qu’aucune information n’a été publiée sur d’éventuelles poursuites des auteurs, et qu’aucune précision n’émane des rapports annuels des entreprises ferroviaires relative au budget affecté à la cybersécurité.
En tant qu’entreprise stratégique, Infrabel doit notifier aux autorités compétentes toute cyberattaque sur ses systèmes essentiels.
‘Infrabel respecte scrupuleusement ses obligations en la matière et prend toutes les mesures utiles pour faire face au niveau de menace actuel de cybercriminalité auquel elle est soumise et pour préparer l’évolution de ce niveau de menace’, affirme le ministre de la Mobilité.