SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2011-2012 Zitting 2011-2012
________________
7 juin 2012 7 juni 2012
________________
Question écrite n° 5-6424 Schriftelijke vraag nr. 5-6424

de Alexander De Croo (Open Vld)

van Alexander De Croo (Open Vld)

à la vice-première ministre et ministre de l'Intérieur et de l'Égalité des Chances

aan de vice-eersteminister en minister van Binnenlandse Zaken en Gelijke Kansen
________________
Informations numériques sensibles des entreprises - Espionnage industriel - Vol d'informations - Liste des pays sensibles - Mesures préventives - Voyages d'affaires Gevoelige digitale bedrijfsinformatie - Bedrijfsspionage - Informatiediefstal - Lijst van gevoelige landen - Preventieve maatregelen - Zakenreizen 
________________
espionnage industriel
accès à l'information
protection des données
criminalité informatique
voyage
industriële spionage
toegang tot de informatie
gegevensbescherming
computercriminaliteit
reis
________ ________
7/6/2012 Verzending vraag
28/9/2012 Antwoord
7/6/2012 Verzending vraag
28/9/2012 Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 5-6425 Ook gesteld aan : schriftelijke vraag 5-6425
________ ________
Question n° 5-6424 du 7 juin 2012 : (Question posée en néerlandais) Vraag nr. 5-6424 d.d. 7 juni 2012 : (Vraag gesteld in het Nederlands)

Aux États-Unis, les fonctionnaires et les travailleurs des entreprises de pointe américains qui se rendent dans certains pays comme la Chine et la Russie considèrent automatiquement que, dans de nombreux pays, toutes les informations numériques d'une certaine valeur sont interceptées par l'espionnage industriel en vue de la création de voies informatiques détournées (grâce auxquelles, partout dans le monde, des hackers ont accès aux données figurant sur le réseau de l'organisation). Ces suspicions d'espionnage industriel ne relèvent pas de la paranoïa, elles se fondent sur des expériences et la recherche intensive de techniques de défense numériques. Certaines entreprises ont déjà mis sur pied une politique préventive en matière d'espionnage industriel qui est déjà très poussée. McAfee est même tellement préoccupée par d'éventuelles atteintes numériques à la sécurité et par l'espionnage industriel que l'entreprise déclare refuser formellement qu'un appareil qui a été inspecté à la frontière d'un pays suspect soit raccordé à son propre réseau. J'aimerais savoir si les entreprises de notre pays sont conscientes des risques de vol d'informations industrielles sensibles grâce à l'installation d'un logiciel enregistreur de frappe (keylogger).

J'aimerais obtenir une réponse aux questions suivantes :

1) Dans quelle mesure la Sûreté de l'État et d'autres services ainsi que le Service public fédéral (SPF) Économie mènent-ils des actions de prévention à destination des entreprises pour attirer leur attention sur le fait que les informations conservées sur des supports numériques (smartphone, USB, ordinateur portable, etc.) peuvent être manipulées dans certains pays lors de voyage d'affaires, ce qui permet à ces pays de s'emparer d'informations ? Nos services ont-ils déjà reçu des plaintes concernant d'éventuels vols d'informations figurant sur des appareils numériques ou des clés USB à l'occasion de voyages d'affaires ? Quels pays se rendent-ils coupables de ce genre d'activités ? Existe-t-il une liste de pays à risques et, dans l'affirmative, pouvez-vous la communiquer ?

2) Vos services et/ou la Sûreté de l'État informent-ils plus particulièrement les entreprises à ce sujet et/ou offrez-vous une aide ou une protection d'une autre manière ? Dans l'affirmative, pouvez-vous donnez des explications ? Dans la négative, pourquoi, et ne jugez-vous pas que ce serait utile ?

3) L'autorité prend-elle des mesures spéciales, lorsque de hauts fonctionnaires, des diplomates ou des ministres se rendent dans les pays en question, pour empêcher ces pays de pratiquer l'espionnage numérique ? Dans la négative, pourquoi ?

 

Amerikaanse overheidsmedewerkers en werknemers van topbedrijven uit de VS die naar bepaalde landen afreizen zoals China en Rusland, gaan er in vele landen automatisch vanuit dat alle digitale informatie van enige waarde onderschept wordt door bedrijfsspionage voor het creëren van een soort digitale achteringang (waarmee hackers vanaf waar dan ook ter wereld toegang hebben tot de data op het netwerk van de organisatie). Deze vermoedens van bedrijfsspionage zijn niet gebaseerd op paranoia maar wel op ervaringen en het uitgebreide onderzoek naar digitale verdedigingstechnieken. Sommige bedrijven hebben reeds een preventief beleid ingevoerd qua bedrijfsspionage en gaan hierin zeer ver. McAfee is zelfs zo bezorgd over potentiële digitale beveiligingsinbreuken en bedrijfsspionage, dat het bedrijf zegt pertinent geen toestel aan te sluiten op het eigen netwerk als dit geïnspecteerd is aan de grens van een verdacht land. Ik had graag vernomen of het bedrijfsleven in ons land zich bewust is van de risico's op diefstal van gevoelige bedrijfsinformatie door het installeren van "keylogging software".

Ik had dan ook volgende vragen voor de geachte minister:

1) In hoeverre doen de staatsveiligheid en andere diensten alsook de Federale Overheidsdienst (FOD) Economie aan preventie naar bedrijven toe wat betreft het gegeven dat informatie die bewaard wordt op digitale dragers (smartphone, USB, draagbare computer, enz.) kan gemanipuleerd worden in bepaalde landen waar zij op zakenreis naartoe gaan zodat deze landen informatie kunnen bemachtigen? Hebben onze diensten reeds klachten ontvangen van mogelijke informatiediefstal van digitale toestellen of USB-sleutels naar aanleiding van zakenreizen? Welke landen maken zich schuldig aan dit soort activiteiten? Bestaat er een lijst met risicolanden en zo ja, kan u die vrijgeven?

2) Geven uw diensten en/of de staatsveiligheid meer bepaald naar het bedrijfsleven toe voorlichting over dit onderwerp en/of biedt u op andere wijze ondersteuning of bescherming? Zo ja, kan u dit toelichten? Zo neen, waarom niet en acht u dit niet aangewezen?

3) Treft de overheid speciale maatregelen wanneer hogere ambtenaren, diplomaten of regeringsleden naar de desbetreffende landen afreizen om te voorkomen dat deze landen op digitale wijze spioneren? Zo nee, waarom niet?

 
Réponse reçue le 28 septembre 2012 : Antwoord ontvangen op 28 september 2012 :

Plusieurs services de mon département, à savoir le Centre de Crise et le Federal Computer Crime Unit de la Police fédérale (FCCU) font partie de la plateforme BelNIS (Belgian National Information Security). Cette plateforme, créée à la suite d’une décision du conseil des ministres du 30 septembre 2005, a été mise en place sous la présidence de Fedict.

En tant qu’organe de concertation entre les différentes autorités compétentes dans le domaine de la sécurité de l’information, elle a pour mission de collecter les connaissances et d’élaborer des recommandations relevant de cette matière.

Cette plateforme développe actuellement une politique nationale pour la sécurité de l'information, qui a été préparée dans un white paper en 2007.

Dans le cadre du nouveau plan de sécurité national, un dossier programme de criminalité informatique est en cours d’élaboration, l’accent y est mis sur la menace de la cybercriminalité sur l’infrastructure ICT des entreprises et des autorités.

Nous constatons dans les dossiers en cours que chaque système de l’information constitue une cible potentielle pour le cyber-espionnage, à la fois dans les entreprises et les autorités et chez les particuliers.

Afin que les entreprises, les autorités et les particuliers prennent leur responsabilité, la police fédérale effectue des sessions d'informations dans tous ces secteurs.

La sensibilisation à la menace et l’apprentissage des mesures de protection correcte relèvent de la responsabilité partagée de tous ceux qui jouent un rôle social et dirigeant: à la fois les écoles, les entreprises, les organisations et les autorités doivent remplir leur rôle. Il est aussi évident qu'un rôle important est également confié aux médias, à la presse écrite mais surtout aux services d'information dans le cyberspace.

Pour plus d’informations au sujet de la plateforme de concertation BELNIS, je vous renvoie à mon collègue le Secrétaire d’État à la Fonction publique et à la Modernisation des Services publics, en charge notamment de Fedict, lequel pourra par ailleurs fournir des éléments de réponse concernant le CERT.be (Computer Emergeny Response Team) qui est un service public chargé de fournir aux entreprises belges, entre autres, un appui et des conseils en matière de sécurité informatique.

Pour le surplus, cette question relève de la compétence de mes collègues de la Justice et des affaires étrangères.

Meerdere diensten van mijn departement, namelijk het Crisiscentrum en de Federal Computer Crime Unit van de federale politie (FCCU), deel uit van het platform BelNIS (Belgian National Information Security). Dit platform, dat gecreëerd werd na een beslissing van de ministerraad van 30 september 2005, werd opgericht onder het voorzitterschap van Fedict.

Als overlegorgaan tussen de verschillende bevoegde overheden in het domein van de informatiebeveiliging, heeft het platform als opdracht om kennis te verzamelen en aanbevelingen uit te werken inzake deze materie. Dit platform werkt momenteel aan een nationaal beleid voor de informatiebeveiliging, dat in 2007 voorbereid werd in een white paper.

In het kader van het nieuwe Nationaal veiligheidsplan is een programmadossier informaticacriminaliteit in uitwerking, waarbij de focus wordt gelegd op de dreiging van cybercriminaliteit op de ICT-infrastructuur van bedrijven en overheden.

In de lopende dossiers stellen we vast dat elk informatiesysteem een mogelijk doelwit vormt voor cyberspionage, zowel bij bedrijven en overheden als bij particulieren.

Het is noodzakelijk dat elk van deze partijen zijn informatiesystemen beveiligt om het geheel te kunnen beveiligen.

Opdat zowel bedrijven, overheden als particulieren deze verantwoordelijkheid zouden opnemen, worden vanuit de Federale politie infosessies gegeven in al deze sectoren.

Het bewustmaken omtrent de dreiging en het anleeren van de correcte beveiligingsmaatregelen zijn een gedeelde verantwoordelijkheid van allen die in de maatschappij een leidinggevende rol vervullen: zowel de scholen, bedrijven, organisaties als de overheid dienen hierin hun rol op te nemen. En vanzelfsprekend is ook hier een belangrijke taak weggelegd voor de media, de geschreven pers maar voornamelijk ook voor de informatiediensten in de cyberwereld.

Voor meer informatie over het overlegplatform BELNIS verwijs ik u naar mijn collega de Staatssecretaris voor Ambtenarenzaken en Modernisering van de Openbare Diensten, die belast is met Fedict. Deze laatste zal bovendien de antwoordelementen kunnen geven inzake CERT.be (Computer Emergency Response Team), dat een openbare dienst is die belast is met het verstrekken van onder meer ondersteuning en advies inzake de informaticabeveiliging aan de Belgische ondernemingen.