Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-5135

de Karl Vanlouwe (N-VA) du 6 janvier 2012

au ministre des Entreprises publiques, de la Politique scientifique et de la Coopération au développement, chargé des Grandes Villes

Cyberdéfense - Computer emergency response team

statistique officielle
criminalité informatique
protection des données
Agence européenne chargée de la sécurité des réseaux et de l'information
service secret
sûreté de l'Etat

Chronologie

6/1/2012 Envoi question
9/1/2013 Requalification

Requalifiée en : demande d'explications 5-2912

Question n° 5-5135 du 6 janvier 2012 : (Question posée en néerlandais)

La veille du sommet européen du 22 mars 2011, la Commission européenne et le Service européen pour l'action extérieure (SEAE) ont été les victimes d'une cyberattaque, jugée particulièrement grave car elle visait spécifiquement certaines directions générales et certains fonctionnaires de la Commission européenne.

Dès 2009, la Direction de la Sécurité de la Commission a établi un plan d'action contre les cyberattaques. Les États membre y étaient priés de créer d'ici 2012 un Computer Emergency Response Team capable de détecter les logiciels malveillants. En Belgique, le Computer Emergency Response Team (CERT) est actif depuis 2010 et on s'affaire actuellement à le rendre progressivement opérationnel.

La création du CERT s'articule en quatre phases. En septembre 2009, on a commencé à installer l'infrastructure critique, laquelle a été élargie au grand public en janvier 2010. Nous sommes actuellement dans la troisième phase, qui voit l'extension des heures d'ouverture (juillet 2011).

Selon vous, le CERT remplit sa mission en collaboration et en synergie avec d'autres instances, telles l'Institut belge des services postaux et des télécommunications (IBPT), les Computer Crime Units, le Service public fédéral (SPF) Justice et la Défense. Cette collaboration doit cependant encore être formalisée. Un groupe de travail pour la gestion des incidents serait en train d'élaborer une proposition réglant la coopération entre les divers intervenants fédéraux.

Le Comité R a publié le 24 août 2011 un rapport sévère à l'égard de la politique fédérale en matière de protection informatique. Il affirme que l'absence d'action fédérale globale en ce domaine rend notre pays particulièrement vulnérable aux attaques contre ses systèmes et réseaux d'information vitaux.

Aujourd'hui, plusieurs instances fédérales se préoccupent de sécuriser les systèmes informatiques : l’Autorité nationale de sécurité (ANS), le Service public fédéral Technologie de l'information et de la communication (Fedict), le fournisseur d'internet fédéral BelNET et l’IBPT. Toutefois, selon le rapport, aucune d'entre elles ne dispose d'un panorama complet de l'infrastructure critique des systèmes informatiques.

Le Comité R s'inquiète aussi de la gestion du personnel des services de renseignement et de l'insuffisance de moyens permettant d'engager du personnel qualifié.

Enfin, le Comité R observe que la législation belge ne permet de neutraliser des systèmes hostiles étrangers qu'en cas de cyberattaque sur les systèmes de la Défense. Si les attaques visent d'autres SPF ou d'autres infrastructures critiques nationales, on ne peut réagir qu'a posteriori et défensivement, sans pouvoir neutraliser l'assaillant.

Voici mes questions au ministre :

1. Depuis sa création, combien d'incidents cybercriminels ont-ils été signalés au CERT ?

a. Combien d'incidents examine-t-on actuellement ? Combien d'entre eux nécessitent-ils une enquête interdépartementale ?

b. Dans combien de cas le CERT a-t-il dénoncé des actes de cyberdélinquance à d'autres autorités, et lesquelles (tant nationales qu'étrangères) ?

c. Pour combien d'entre eux l'enquête est-elle clôturée et le dossier a-t-il été transmis à la Justice ?

d. Pour combien d'entre eux l'enquête ne peut-elle pas se poursuivre ? Combien d'incidents a-t-on classés en raison d'une mauvaise transmission de l'information ?

e. Je souhaite une ventilation des incidents selon les catégories normaux - sérieux - majeurs, avec quelques exemples pour chacune.

2. Comment se déroule l'entrée en action du CERT ?

a. Comment le ministre évalue-t-il la phase 1 (infrastructure critique) et la phase 2 (élargissement au grand public) ?

b. Quelles sont les heures d'ouverture étendues du CERT, annoncées comme phase 3 ?

c. Peut-on affirmer que la notoriété du CERT auprès du public cible est suffisante ?

d. Combien de visites le site a-t-il reçues depuis sa création, et comment ce nombre évolue-t-il ?

e. Quand le CERT sera-t-il totalement opérationnel ? Quel budget (par phase) y a-t-on affecté ?

3. Selon les normes de l'Union européenne, les SPF et les services du parlement fédéral sont-ils suffisamment protégés contre les cyberattaques ? Quelles normes de sécurité observe-t-on et pourquoi ?

4. Existe-t-il un « Disaster Recovery Plan » en guise de plan B si les systèmes critiques de notre pays étaient victimes d'une cyberattaque ?

5. Le département du ministre a-t-il déjà désigné un conseiller à la coordination de la sécurité de l'information ? Quelle est sa mission et à qui fait-il rapport?

6. Comment se déroule la collaboration avec le SPF Justice, lequel coordonne le projet de cyberdéfense ? Est-il logique que ce soit le SPF Justice qui le dirige, et pas le SPF Économie dont dépend le CERT.be ? Constate-t-on des problèmes sur le plan de la coopération et des échanges d'informations ? À quelle fréquence annuelle les représentants du SPF Économie se réunissent avec ceux du SPF Justice pour parler de cyberdéfense ? Est-elle suffisante ?

7. Comment se passe la collaboration en matière de cyberdéfense avec l'Intérieur, Fedict, la Défense, la Politique scientifique et les Affaires étrangères ? L'a-t-on formalisée pour que le CERT et le SPF Justice puissent réagir en temps utile à un incident ?

8. Quels sont les secteurs prioritaires du projet de cyberdéfense et quels acteurs s'occupent-ils de quels secteurs ?

9. Que peut faire le gouvernement pour réduire la vulnérabilité de notre pays ? Met-on en œuvre une stratégie coordonnée de cyberdéfense ?

10. Le Comité R s'inquiète de la gestion du personnel des services de renseignement et de l'insuffisance de moyens permettant d'engager du personnel qualifié. Le département du ministre est-il confronté au même problème ?

11. Le département partage-t-il le souci d'augmenter les possibilités de neutraliser les cyberattaques, au lieu de ne pouvoir réagir qu'a posteriori et défensivement ?

12. Combien de fois des documents du SPF Économie ont-ils été volés à la suite d'une cyberattaque ? Quand cela s'est-il produit, de quels documents s 'agissait-il et quel était leur niveau de sensibilité ? Quelles mesures a-t-on prises ?

13. Quelles infrastructures, identifiées par le SPF Économie comme critiques et sensibles, sont-elles privilégiées en matière de cyberdéfense ?