|
|
Projet de cyberdéfense - Coordination fédérale par le premier ministre - Personnel - Proactivité - Cyberattaques - Cyberespionnage - Plan d'action de l'Union européenne contre les cyberattaques - Disaster Recovery Plan
criminalité informatique
protection des données
ministère
service secret
parlement
sûreté de l'Etat
Services du premier ministre
| 19/2/2013 | Envoi question |
| 22/3/2013 | Réponse |
Le 20 novembre 2012, les médias ont fait état des premiers détails de la note fédérale tant attendue sur la cyberdéfense. Les quotidiens De Tijd et De Standaard ont ainsi mentionné l'existence de plans pour la fondation d'un « centre pour la cybersécurité » relevant de la coordination fédérale. Ce centre aurait également pour mission d'inciter les citoyens et les entreprises à être plus attentifs à la sécurité sur Internet. Il compterait une vingtaine d'experts, suivrait tous les incidents informatiques survenus dans ce pays et serait responsable de la politique fédérale en matière de cyberattaques.
Vint ensuite l'annonce d'une décision prise le 21 décembre par le conseil des ministres, à savoir l'élaboration d'une cyberstratégie concrétisant une politique fédérale de sécurité pour les réseaux et les systèmes informatiques en Belgique, politique qui garantit la protection de la vie privée. « La cyberstratégie belge a pour objectif d'identifier la cybermenace, d'améliorer la sécurité et de pouvoir réagir aux incidents. Ce projet est né du travail de la plateforme de concertation pour la sécurité de l’information BelNIS (Belgian Network Information Security). Le conseil des ministres a chargé le premier ministre de la mise ne oeuvre de cette stratégie. »
La stratégie repose sur trois objectifs visant à garantir la cybersécurité de la société moderne:
1. L'ambition d'un cyberespace sûr et fiable, respectant les droits et valeurs fondamentaux de la société moderne ;
2. L'ambition d'une sécurisation et d'une protection optimales des infrastructures et des systèmes publics critiques contre la cybermenace ;
3. L'élaboration d'une propre capacité “Cyber Security”, garante d'une politique de sécurité indépendante et d'une réaction appropriée aux incidents de sécurité.
J'adresse les questions suivantes au premier ministre:
1) Qui assure actuellement la coordination du projet, et comment s'organise la délégation des tâches ?
a) Quel est le rôle dévolu au Comité ministériel du renseignement et de la sécurité en ce qui concerne la coordination du rôle des services de renseignement dans le projet de cyberdéfense ?
b) Dans le cadre de la cyberdéfense, comment se déroule la coopération avec les services publics fédéraux (SPF) Intérieur, Economie, Technologie de l'Information et de la Communication (Fedict), Défense, Politique scientifique et Affaires étrangères ? Cette coopération a-t-elle déjà été formalisée de sorte que la CERT et le SPF Justice soient en mesure d'agir à temps en cas d'incidents ?
c) Le SGRS et la VSSE sont-ils liés par des accords en ce qui concerne leur contribution à la sécurité de nos systèmes informatiques ?
d) Quelle sera la position du nouveau centre pour la cybersécurité par rapport aux plateformes de concertation actuelles de BELNIS et ISMF (Internet Security and Management Forum) ?
2) Votre département est-il partisan d'un plus grand champ de manoeuvre qui le mettrait en mesure, au-delà de simples réactions défensives, de neutraliser les cyberattaques ?
a) De votre point de vue, cette démarche pourrait-elle aussi être proactive ? Le cas échéant, quand et sous quelle autorité ?
b) L'an dernier, à quelles occasions les autorités fédérales ont-elles été impliquées dans des exercices de cybersécurité, et ce aussi bien sur le plan national qu'international ?
3) Le Comité R s'est inquiété à plusieurs reprises de la gestion du personnel des services de renseignement et des obstacles financiers au recrutement de personnel qualifié.
a) Votre cabinet est-il également confronté à ce problème ?
b) Dans votre cabinet, combien de personnes s'occupent-elles de cybersécurité ? Avez-vous, dans ce but, recruté du personnel supplémentaire en 2012 ?
4) En Belgique, dans quelle mesure les classes moyennes, les PME et les indépendants sont-ils victimes du cyberespionnage industriel et économique ?
a) Votre cabinet a-t-il déjà été contacté par des chefs d'entreprise victimes de cyberespionnage industriel et économique et demandeurs d'une intervention plus énergique des autorités ? Disposez-vous de chiffres à ce sujet ? De quelles entreprises s'agit-il ? Ces chefs d'entreprise se sont-ils unis pour donner plus de poids à leurs revendications ?
b) Votre département a-t-il déjà pris des mesures visant à protéger les classes moyennes, les PME et les indépendants contre le cyberespionnage industriel et économique ?
5) Où en est notre pays dans la mise en pratique des recommandations du plan d'action de l'Union européenne contre les cyberattaques ?
a) Existe-t-il déjà un plan national d'urgence contre les incidents informatiques ?
b) Des exercices nationaux de cybersécurité ont-ils déjà été organisés ? Si ce n'est pas le cas, pourquoi ?
c) Dans quelle mesure a-t-on coopéré avec d'autres États membres de l'UE
d) A-t-on déjà pris part à des exercices paneuropéens?
6) Comment concevez-vous l'évolution de la coopération au sein du Benelux en matière de cyberdéfense ? De ce point de vue, privilégiez-vous le Benelux par rapport à l'Europe et à l'OTAN ?
7) Existe-t-il, en guise de plan B, ce que l'on appelle un Disaster Recovery Plan, pour le cas où les systèmes critiques de notre pays seraient victimes d'une cyberattaque ?
a) Cette problématique a-t-elle déjà été traitée au sein de BELNIS et quelle est la situation à ce propos ?
b) Ce plan d'urgence a-t-il déjà été testé ? Quand le sera-t-il ?
8) Le Parlement fédéral est-il suffisamment protégé contre les cyberattaques ? Quelles normes de sécurité sont-elles prévues et pourquoi ?
9) Combien de fois votre cabinet a-t-il été victime de la cybercriminalité en 2012 ?
a) Parmi ces cyberattaques y avait-il également des intrusions avancées ? Quelle est la proportion de cyberintrusions qui avaient pour but explicite l'acquisition d'informations sensibles du secteur public ?
b) Combien d'incidents font-ils actuellement l'objet d'une enquête ?
c) Quel est le nombre d'enquêtes clôturées et de dossiers transmis à la Justice ?
1. La plateforme BELNIS est responsable de la coordination pour la rédaction de la stratégie. Le conseil des ministres m'a chargé en décembre 2012 de la mise en œuvre de cette stratégie.
a) Le Comité ministériel et le Collège du renseignement et sécurité suivront la mise en œuvre de la stratégie et plus particulièrement la création d’un Centre pour la Cyber Sécurité en Belgique, qui serait l’autorité nationale compétente pour la cybersécurité. Un groupe de travail ad hoc sera mis en œuvre dans les prochaines semaines afin d'appuyer techniquement le collège.
b) La collaboration entre les différents services publics se déroule via la plateforme BELNIS. Un groupe de travail de la plateforme BELNIS a rédigé une directive concernant le traitement d'incidents en matière de cybersécurité.
c) Les responsabilités du SGRS et de la Sûreté de l'État pourraient devoir être ajustées au regard de la stratégie définie par le Gouvernement.
d) Le Centre pour Cyber Sécurité en Belgique (CCSB) serait l’autorité nationale compétente pour la cybersécurité. Le CCSB serait permanent et disposerait de ses propres moyens structurels.
Ce CCSB serait chargé:
de la supervision et du suivi de la cybersécurité nationale;
de la gestion des différents projets et de la coordination entre les services concernés (approche intégrée et centralisée);
de la formulation de propositions pour l’adaptation du cadre légal;
de la coordination des sérieux cyberincidents, en coopération avec la Direction Générale du Centre de Crise (conformément aux processus approuvés pour le traitement des incidents de sécurité);
de la mise à jour de la liste point-of-contact pour les cyberincidents;
de la rédaction et de la diffusion des standards, directives et normes de sécurité pour les différents types de système informatique;
de la représentation de la Belgique aux forums internationaux sur la cybersécurité, du suivi des obligations internationales et de la présentation du point de vue national en la matière;
de l’évaluation et de la certification de la sécurité des systèmes d’information et de communication;
de l’exécution d’audits de sécurité et de la rédaction de conseils de sécurité;
du suivi de et de l’information sur les cybermenaces et vulnérabilités générales dans les systèmes informatiques;
de l’information et de la sensibilisation des utilisateurs.
Le CCSB est pressenti comme l’organe central de coordination entre les différents services publics responsables pour la cybersécurité en Belgique. Pour l’exécution de ses tâches, le CCSB collabore avec les services compétents comme, par exemple, le Service public fédéral Affaires étrangères pour ce qui concerne les forums internationaux ou le Service public fédéral Justice pour l’adaptation du cadre légal.
En tant qu’organe central de coordination pour la cybersécurité, le CCSB collaborera avec les services fédéraux et les services concernés des régions et communes.
2. Cette question ne s’applique pas directement à la Chancellerie.
a) La Belgique ne doit pas seulement subir ces attaques mais également pouvoir anticiper d’éventuels incidents. Les réponses à ces questions seront examinées par le Collège du renseignement et sécurité, et le Comité ministériel.
b) En 2012, l'autorité fédérale a été concernée par les exercices cyber suivants:
EUROCYBEX, organisé par ENISA (European Network and Information Security Agency)
Cyber Coalition 2012, organisé par l’OTAN
BELGOCYBEX, organisé par le FedICT
3. a) C’est un défi pour tous les services publics d’attirer du personnel technique compétent et de le conserver.
b) Mon conseiller en sécurité est en charge de cette question. Nous n'avons pas opéré d'engagement supplémentaire.
4. Je vous renvoie dans ce cadre aux analyses et statistiques du CERT et de la police fédérale.
a) Ma cellule stratégique entretient de nombreux contacts avec des entrepreneurs belges. Nous n’établissons pas de statistiques à ce sujet.
b) Mon département n'est pas directement producteur de mesures en la matière. Je vous renvoie aux travaux du CERT. Plus globalement, la protection des systèmes critiques est traité par la loi du 1 juillet 2011 concernant la sécurisation et la protection des infrastructures critiques.
5. Depuis 2009, le pays dispose d'un Computer Emergency Response Team (CERT.be). L'IBPT a été désignée comme autorité sectorielle pour les télécommunications publiques. Les autres aspects du projet de l'Union européenne seront gérés dans le cadre de la mise en œuvre de la décision du Conseil des ministres du 21 décembre 2012. Notre stratégie rencontre partiellement ces recommandations. Il convient d'avancer sur sa mise en œuvre et la création d'une autorité nationale ou d'un centre de référence comme le CCSB.
Ce plan n’existe pas encore.
Le premier exercice national a eu lieu en novembre 2012.
et d) La Belgique a participé a des cyberexercices européens en novembre 2012 et octobre 2012.
6. Il existe, aussi bien avec les Pays-Bas que le Luxembourg, une collaboration pour l’échange d’informations concernant les menaces cyber. Nos services entretiennent des discussions constructives avec les pays du Benelux et maintiennent toutes les options ouvertes en ce qui concerne des collaborations à d’autres niveaux européens ou OTAN.
7. Il n’existe pas actuellement un seul « Disaster Recovery Plan ».
Des initiatives sont engagées à différents niveaux dans ce cadre, au niveau public ou privé. Cette question est examinée au sein de la plateforme BELNIS comme au niveau du centre de crise du Gouvernement.
8. Je vous invite à interroger les autorités compétentes.
9. a) La Chancellerie, comme de nombreux services publics fédéraux, fait l’objet d’attaque et reçoit régulièrement des e-mails contenant des virus dans les documents annexés.
b) La complexité des attaques va de relativement banale à très complexe. La cellule ICT de la Chancellerie s’attache en permanence à l’amélioration des systèmes de détection.
c) A ma connaissance, aucun dossier n’a été transmis à la Justice.