Les systèmes IT utilisés par l’aéroport néerlandais de Schiphol pour les contrôles frontaliers notamment sont mal sécurisés contre les cyber-attaques. C’est ainsi que l’aéroport recourt à un logiciel désuet avec des failles bien connues. L’aéroport ne prend en outre pas assez de mesures préventives, alors que ses plans catastrophes ne sont pas ce qu’ils devraient être.
Voilà ce que révèle la Nederlandse Algemene Rekenkamer (Cour des comptes générale néerlandaise) dans un rapport. Il est question ici des systèmes IT utilisés par la police dans l’aéroport néerlandais. Un système IT de libre service, un second au guichet d’enregistrement et un troisième au pré-screening entre autres ont été passés au crible.
Opérationnel sans agrément
Le logiciel de deux des systèmes IT est opérationnel sans l’agrément pourtant nécessaire, conclut la Cour des comptes. Il s’agit en l’occurrence des systèmes de libre service et du guichet des passeports. Tous deux n’ont en fait pas été au terme de la procédure d’agrément du ministère de la Défense.
La politique de sécurité de la défense prescrit des tests de sécurité annuels. Dans la pratique, il n’y a cependant que peu, voire aucun test de ce genre effectué sur les trois systèmes IT au contrôle des frontières. Ces tests n’avaient même jamais encore été réalisés sur les systèmes de pré-évaluation et au guichet des passeports. Le test de sécurité sur le système de libre service avait été, lui, bel et bien effectué, mais de manière plus limitée que prévu. De plus, les recommandations d’après-test ne sont suivies que partiellement. L’Algemene Rekenkamer met en garde contre le fait que des bugs dans les systèmes continuent ainsi d’exister, ce qui entraîne de possibles abus par des cybercriminels.
‘Des menaces d’initié représentent un réel danger’
La Cour des comptes conclut en outre que les protocoles d’autorisation ne sont pas en ordre dans certains systèmes IT, ce qui fait que des menaces d’initié représentent un réel danger. C’est ainsi que le système de pré-screening était accessible au moyen d’un mot de passe par défaut qu’on pouvait trouver via Google. Deux des trois systèmes examinés n’étaient de plus pas connectés au Security Operations Center de Schiphol.
En préparation à des cyber-attaques, des plans-catastrophes sont aussi mis en oeuvre. Ceux-ci ne sont toutefois pas spécifiques, conclut la Cour des comptes. C’est ainsi que ces plans ne décrivent pas d’incidents concrets, ce qui laisse la porte ouvert à l’improvisation en cas d’incident éventuel. De plus, les scénarios dans les plans-catastrophes ne prévoient pas suffisamment d’exercices.
En collaboration avec Dutch IT-Channel.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici