Le service healthdata.be (Sciensano) traite chaque rapport d'incident selon une procédure opérationnelle standard (POS). Une version publique de cette POS « HD Incident Management Process » est également disponible sur ce portail : docs.healthdata.be.

Pour soumettre un incident lié aux projets et applications en production, et facilités ou gérés par le service healthdata.be de Sciensano, vous devez d'abord vous connecter au portail Services et Support de HD.

Après l'étape de connexion, vous arriverez sur la page principale du portail.

Sur la page principale, vous devez sélectionner « Obtenir de l'aide ».

Pour soumettre une demande sur la plateforme healthdata.be, vous devez d'abord vous connecter au portail Services et Support de HD: Jira Service management (JSM) portal.

Après l'étape de connexion, vous arriverez sur la page principale du portail.

Sur la page principale, vous devez sélectionner « Demander quelque chose ».

QUEL EST LE PROBLÈME ?

Nous bloquons les e-mails de votre organisation parce que la configuration de vos services de messagerie et/ou de DNS peut permettre aux spammeurs/pirates informatiques d'en abuser. Plus précisément, votre configuration actuelle permet à d'autres expéditeurs d'usurper l'identité de votre organisation en leur permettant d'imiter le « Header From» de l'e-mail de votre organisation.

En d'autres termes, ils peuvent envoyer des messages de phishing et de spam qu'il est impossible de distinguer des e-mails authentiques de votre organisation.

Si vous êtes responsable de la gestion de votre infrastructure TIC, lisez ce qui suit. Sinon, transmettez ce message à votre département TIC ou au service TIC qui gère votre infrastructure TIC.

COMMENT RÉSOUDRE LE PROBLÈME ?

Vous devez vérifier que votre configuration répond aux exigences de sécurité du « Sender Alignment ». Plus précisément, vos services de messagerie et votre DNS doivent être configurés conformément aux normes TIC.

Ces configurations sont courantes, bien documentées et prises en charge par les hébergeurs :

• https://dmarcian.com/alignment/
• https://mxtoolbox.com/dmarc/spf/spf-alignment
• https://o365info.com/how-does-sender-verification-work-how-we-identify-spoof-mail-the-fiveheros-spf-dkim-dmarc-exchange-and-exchange-online-protection-part-9-of-9/

Nous avons constaté que ce problème est fréquent dans les organisations qui ont déplacé leur infrastructure TIC vers des services en Cloud tels que Microsoft (O365), Amazon, Google et MS Azure sans configurer correctement l'infrastructure TIC (qui n'est pas gérée par ces fournisseurs).

Les configurations et les recommandations doivent être mises en œuvre sur l'infrastructure TIC du client, qu'elle soit interne ou externe. Les DNS et les services de messagerie sont les principales plateformes TIC pour ces actions.

L'UTILISATION DE DIFFÉRENTS DOMAINES LORS DE L'ENVOI D'E-MAILS

Les e-mails contiennent une « Envelope From » et un « Header From ». Les deux doivent correspondre pour éviter que l'e-mail ne soit bloqué.

Quelques exemples :

1. Un service public utilise son nouveau nom de domaine dans le « Header From » en son ancien nom de domaine dans l'« Envelope From ».

• Envelope From = noreply@publicservice.fgov.be
• Header From = noreply@publicservice.belgium.be

➔ Ces e-mails seront bloqués.

Remarque : Comme il s'agit d'une adresse « noreply », l'expéditeur ne remarquera même pas que l'e-mail est rejeté.

2. Une organisation utilise un service Cloud (Freshservice) pour son outil d'assistance et l'« Envelope From » n'a pas été modifié.

• Envelope From = bounces+us.3.52773-helpdesk=organisation.be@emailus.freshservice.com
• Header From = helpdesk@organisation.be

➔ Ces e-mails seront bloqués.

3. Une entreprise utilise un service Cloud (Amazon SES) pour envoyer la notification de l'envoi et « Envelope From » n'a pas été modifié.

• Envelope From = 01020188573f374-96de6437-9134-45f4-8aa6-3e9ac18d5848-000000@euwest-1.amazonses.com
• Header From = noreply@company.be

➔ Ces e-mails seront bloqués.