Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-6941

de Bart Tommelein (Open Vld) du 29 aôut 2012

à la ministre de la Justice

Sûreté de l'État - Achat de matériel de communication - Liens entre les fournisseurs et les puissances étrangères - Homologation

service secret
sûreté de l'Etat
confidentialité
Comités permanents de contrôle des services de police et de renseignements
équipement informatique
Organe de coordination pour l'analyse de la menace
protection des données

Chronologie

29/8/2012Envoi question
26/10/2012Réponse

Aussi posée à : question écrite 5-6940

Question n° 5-6941 du 29 aôut 2012 : (Question posée en néerlandais)

Cette question porte sur l'achat de matériel de communication et informatique, ainsi que sur les liens de certains producteurs et/ou fournisseurs, avec des puissances étrangères. Selon des experts en télécommunication, il est tout à fait possible que des fournisseurs intègrent dans leur matériel ce que l'on appelle des « portes dérobées » en vue de transferts d'informations.

Je me réfère au rapport d'activités 2011 du Comité R (p. 108) : « Le Comité permanent R recommande la plus grande prudence dans le choix des équipements techniques sécurisés qui seront utilisés pour traiter les informations sensibles et classifiées. Le Comité reprend les recommandations du Livre blanc de la Plateforme de concertation sur la sécurité de l’information, et recommande que les équipements techniques soient évalués, certifiés et homologués - en termes de fiabilité et de sécurité - selon des critères et procédures qui répondent aux normes de l’Union européenne. »

En outre, le Comité permanent R recommande que l’octroi de marchés à des fournisseurs de matériel de ce type soit assorti d’une obligation de disposer d’une habilitation de sécurité. L’enquête de sécurité préalable devrait porter une attention particulière aux liens éventuels de ces fournisseurs avec certains services de renseignement étrangers.

1. Pouvez-vous indiquer dans quelle mesure les recommandations du Livre blanc de la Plateforme de concertation sur la sécurité de l’information sont systématiquement appliquées lorsque, respectivement, le SGRS, la VSSE, l'OCAM et les services d'appui achètent du matériel ?

2. Pouvez-vous indiquer dans quelle mesure les équipements techniques sont évalués, certifiés et homologués - en ce qui concerne leur fiabilité et leur sécurité - selon des critères et procédures qui répondent aux normes de l'Union européenne lorsque, respectivement, le SGRS, la VSSE, l'OCAM et les services d'appui achètent du matériel informatique, de communication et de télécommunication ? Si ce n'est pas encore le cas, pouvez-vous donner des explications détaillées, et indiquer si vous êtes disposé à procéder à ces contrôles aussi rapidement que possible ?

3. Pouvez-vous indiquer dans quelle mesure l'octroi de marchés de matériel informatique, de communication et de télécommunication pour le SGRS, la VSSE, l'OCAM et les services d'appui est assorti d'une obligation de disposer d'une habilitation de sécurité ? Est-ce déjà le cas actuellement ? Dans la négative, pourquoi, et êtes-vous disposé à instaurer cette mesure ?

Réponse reçue le 26 octobre 2012 :

  1. La Sûreté de l'État suit les recommandations formulées dans le Livre blanc de la Plateforme de concertation sur la sécurité de l’information pour autant que - compte tenu des exigences en vigueur pour les données classifiées - des normes plus strictes ne soient pas d’application. Cela vaut tant pour le matériel et les logiciels que pour l'environnement physique, les procédures et le personnel.

  2. Concernant la réponse à cette question, il y a lieu d'établir une distinction entre les notions d' « évaluation », de « certification » et d' « homologation ».

    2.1. Evaluation des équipements techniques.

    La Sûreté de l'État ne dispose pas de la capacité nécessaire pour évaluer la qualité et la fiabilité du matériel de communication. Pour ce faire, le service se base sur les prospections d'autres services et sur les constats d'instances ayant effectué des tests.

    2.2. Certification des équipements techniques.

    L'équipement technique de la Sûreté de l'État doit satisfaire à un certain nombre de normes relatives à la sécurité (qui ne concernent pas la fiabilité) pour pouvoir être certifié. Les contrôles réalisés à cette fin portent non seulement sur le matériel, mais également sur la configuration, l'environnement, les procédures et le personnel. En ce qui concerne la communication interne et externe d'informations classifiées "secret" ainsi que le traitement de ces données en interne, la Sûreté de l'État utilise du matériel agréé pour un usage aux niveaux « secret UE » et « secret OTAN ». Les normes imposées à cet effet sont plus strictes que les normes définies dans le Livre blanc de la Plateforme de concertation sur la sécurité de l’information.

    La Sûreté de l'État indique qu'à sa connaissance, il n’existe pas de matériel belge certifié pour le niveau « secret ». Ce genre de matériel certifié est dès lors acquis à l’étranger.

    2.3. Homologation.

    L'homologation consiste à vérifier la conformité d’un système dans son intégralité – à savoir le matériel, les logiciels, le personnel, les procédures, l'environnement et la sécurité physique - à un niveau de sécurité donné. L'Autorité nationale de Sécurité (ANS) est chargée de cette procédure d'homologation.

    Le système utilisé par la Sûreté de l'État concernant les communications avec les partenaires externes est homologué pour le niveau « secret ». Le service a introduit une demande d'homologation pour un système supplémentaire.

  3. Les firmes et les personnes belges qui fournissent des services à la Sûreté de l'État (installation, consultance, maintenance) et qui sont en contact avec du matériel classifié doivent posséder une habilitation de sécurité du niveau "secret" - voire « très secret ». Il en va de même pour les firmes étrangères sises en Belgique.

    Les firmes ou les personnes étrangères qui proposent ce type de matériel ou de services et qui ne sont pas présentes en Belgique doivent disposer d'une habilitation de sécurité délivrée par une instance ou un pays tiers.