Les pouvoirs publics belges en charge de Heartbleed

11/04/14 à 14:14 - Mise à jour à 14:14

Source: Datanews

Aussitôt après l'annonce de Heartbleed, tant CERT.BE que Fedict ont fait savoir qu'ils prenaient des mesures pour évaluer la menace et la contrer le cas échéant.

Les pouvoirs publics belges en charge de Heartbleed

Tant CERT.BE (la 'computer emergency respons team' qui dépend de Belnet) que le service public fédéral ICT, Fedict, sont intervenus dès l'annonce du bug Heartbleed.

"CERT.BE a assumé directement son rôle de coordination", affirme Jeroen Gobin, "et a informé ses contacts auprès des autorités belges et du secteur privé." Outre les institutions publiques, cela concerne plusieurs organisations sectorielles (telles Febelfin pour le monde bancaire), un certain nombre d'entreprises d'utilité publique, etc. Tous les clients de Belnet (comme les instituts d'enseignement) ont également été informés. Les entreprises et institutions concernées ont pu alors effectuer leurs propres analyses à propos du risque encouru par leurs clients et utilisateurs pour lesquels CERT.BE "peut assurément offrir son aide par la suite". Par ailleurs, si CERT.BE a reçu des questions à propos de Heartbleed, elle n'a pas entendu parler d'incidents ou de fuites.

Une équipe de crise chez Fedict

Chez Fedict, lundi matin, dès l'annonce du bug Heartbleed, l'on a aussitôt créé une "équipe de crise multidisciplinaire", selon Peter Strickx, CTO. L'on a aussi élaboré un plan d'approche centralisé, et "tous les managers ICT des institutions publiques ont été prévenus". Ils ont reçu notamment un questionnaire 'oui/non' sur base duquel ils pouvaient rationnaliser leur processus décisionnel.

Les systèmes supportés par le service de Fedict ont également été analysés. "L'impact de Heartbleed est resté assez limité", affirme Peter Strickx. Toute une série d'implémentations exploitaient une version OpenSSL sans problème, tandis que les 'appliances' utilisés s'avérèrent non impactées après examen. Tous les systèmes touchés ont ensuite été adaptés, alors que les certificats requis étaient remplacés et que mardi, "tous les systèmes de Fedict étaient patchés". Ultérieurement, il y eut une communication ciblée vers les clients de services spécifiques de Fedict, tels id & access management, service bus, etc.

Une communication de crise?

Pour un problème qui n'est pas qualifié à la légère comme l'un des principaux bugs de l'histoire d'internet, la communication de crise semble assez tiède. Même si Heartbleed risque potentiellement de dégrader la confiance dans le commerce via les magasins web et autres, la communication relative à de possibles problèmes est confiée ou non au simple bon vouloir du magasin, de la banque ou de l'institution concerné.

Tant CERT.BE que Fedict se disent prêts à aider leurs clients, mais explicitement, l'initiative leur est laissée. Ne serait-ce que parce qu'en fin de compte, ils en assument la responsabilité. Chez Fedict, l'on évalue cependant les dommages possibles et la nécessité d'une large communication. Peter Strickx insiste du reste sur l'avantage du développement open source, parce qu'aussitôt après la découverte du bug de programmation, la communication s'est faite de manière large et dans les 24 heures, le problème au niveau du code a été résolu.

En savoir plus sur:

Nos partenaires