Voilà ce que révèle la Nederlandse Algemene Rekenkamer (Cour des comptes générale néerlandaise) dans un rapport. Il est question ici des systèmes IT utilisés par la police dans l'aéroport néerlandais. Un système IT de libre service, un second au guichet d'enregistrement et un troisième au pré-screening entre autres ont été passés au crible.

Opérationnel sans agrément

Le logiciel de deux des systèmes IT est opérationnel sans l'agrément pourtant nécessaire, conclut la Cour des comptes. Il s'agit en l'occurrence des systèmes de libre service et du guichet des passeports. Tous deux n'ont en fait pas été au terme de la procédure d'agrément du ministère de la Défense.

La politique de sécurité de la défense prescrit des tests de sécurité annuels. Dans la pratique, il n'y a cependant que peu, voire aucun test de ce genre effectué sur les trois systèmes IT au contrôle des frontières. Ces tests n'avaient même jamais encore été réalisés sur les systèmes de pré-évaluation et au guichet des passeports. Le test de sécurité sur le système de libre service avait été, lui, bel et bien effectué, mais de manière plus limitée que prévu. De plus, les recommandations d'après-test ne sont suivies que partiellement. L'Algemene Rekenkamer met en garde contre le fait que des bugs dans les systèmes continuent ainsi d'exister, ce qui entraîne de possibles abus par des cybercriminels.

'Des menaces d'initié représentent un réel danger'

La Cour des comptes conclut en outre que les protocoles d'autorisation ne sont pas en ordre dans certains systèmes IT, ce qui fait que des menaces d'initié représentent un réel danger. C'est ainsi que le système de pré-screening était accessible au moyen d'un mot de passe par défaut qu'on pouvait trouver via Google. Deux des trois systèmes examinés n'étaient de plus pas connectés au Security Operations Center de Schiphol.

En préparation à des cyber-attaques, des plans-catastrophes sont aussi mis en oeuvre. Ceux-ci ne sont toutefois pas spécifiques, conclut la Cour des comptes. C'est ainsi que ces plans ne décrivent pas d'incidents concrets, ce qui laisse la porte ouvert à l'improvisation en cas d'incident éventuel. De plus, les scénarios dans les plans-catastrophes ne prévoient pas suffisamment d'exercices.

En collaboration avec Dutch IT-Channel.

Voilà ce que révèle la Nederlandse Algemene Rekenkamer (Cour des comptes générale néerlandaise) dans un rapport. Il est question ici des systèmes IT utilisés par la police dans l'aéroport néerlandais. Un système IT de libre service, un second au guichet d'enregistrement et un troisième au pré-screening entre autres ont été passés au crible.Le logiciel de deux des systèmes IT est opérationnel sans l'agrément pourtant nécessaire, conclut la Cour des comptes. Il s'agit en l'occurrence des systèmes de libre service et du guichet des passeports. Tous deux n'ont en fait pas été au terme de la procédure d'agrément du ministère de la Défense.La politique de sécurité de la défense prescrit des tests de sécurité annuels. Dans la pratique, il n'y a cependant que peu, voire aucun test de ce genre effectué sur les trois systèmes IT au contrôle des frontières. Ces tests n'avaient même jamais encore été réalisés sur les systèmes de pré-évaluation et au guichet des passeports. Le test de sécurité sur le système de libre service avait été, lui, bel et bien effectué, mais de manière plus limitée que prévu. De plus, les recommandations d'après-test ne sont suivies que partiellement. L'Algemene Rekenkamer met en garde contre le fait que des bugs dans les systèmes continuent ainsi d'exister, ce qui entraîne de possibles abus par des cybercriminels.La Cour des comptes conclut en outre que les protocoles d'autorisation ne sont pas en ordre dans certains systèmes IT, ce qui fait que des menaces d'initié représentent un réel danger. C'est ainsi que le système de pré-screening était accessible au moyen d'un mot de passe par défaut qu'on pouvait trouver via Google. Deux des trois systèmes examinés n'étaient de plus pas connectés au Security Operations Center de Schiphol.En préparation à des cyber-attaques, des plans-catastrophes sont aussi mis en oeuvre. Ceux-ci ne sont toutefois pas spécifiques, conclut la Cour des comptes. C'est ainsi que ces plans ne décrivent pas d'incidents concrets, ce qui laisse la porte ouvert à l'improvisation en cas d'incident éventuel. De plus, les scénarios dans les plans-catastrophes ne prévoient pas suffisamment d'exercices. En collaboration avec Dutch IT-Channel.