Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 7-373

de Carina Van Cauter (Open Vld) du 27 février 2020

à la première ministre, chargée de Beliris et des Institutions culturelles fédérales

Test élémentaire de cybersécurité pour les entreprises - Projet de courriels sécurisés

sécurité des systèmes d'information
Pays-Bas
courrier électronique

Chronologie

27/2/2020Envoi question (Fin du délai de réponse: 2/4/2020)
9/4/2020Réponse

Question n° 7-373 du 27 février 2020 : (Question posée en néerlandais)

Je me réfère au récent rapport du Service général de renseignement et de sécurité des Pays-Bas (Algemene Inlichtingen- en Veiligheidsdienst, AIVD) "Offensief cyberprogramma, een ideaal businessmodel voor Staten", publié en 2019. Contrairement à ce qui se passe dans notre pays, les services de renseignement néerlandais suivent directement la cybercriminalité visant les entreprises.

Je me réfère également aux réponses du vice-premier ministre et ministre de la Justice et du ministre de l'Agenda numérique à des questions écrites antérieures (n° 7-334 et n° 7-336), qui m'ont toutes les deux redirigée vers vous.

C'est aussi pour des motifs économiques que des États lancent des cyberattaques.

Les enquêtes de l'AIVD ont entre autres établi que certains États veulent moderniser rapidement leur économie et que dans ce but, ils sont prêts à voler sournoisement, et parfois à une échelle presque industrielle, des technologies innovantes occidentales et notamment néerlandaises.

Grâce aux connaissances acquises illicitement, ces États veulent implémenter ces technologies dans leur économie et/ou les produire eux-mêmes à moindre coût.Cela met en péril la capacité d'innovation économique et l'emploi.

Un autre exemple cité par l'AIVD est celui d'un État qui, par le truchement d'une de ses entreprises publiques, essaye de s'emparer d'une multinationale. En même temps, l'État en question lance des cyberattaques sournoises contre le bureau d'avocats qui encadre juridiquement ce rachat, dans le but d'obtenir des informations confidentielles à ce sujet. Cela permet audit État d'être au courant des résultats de l'entreprise et des risques qu'elle court, et ainsi de connaître les autres candidats acquéreurs, leurs offres et leurs conditions. Par conséquent, cet État peut adapter sa stratégie de reprise et calibrer au plus juste son offre et ses conditions. De telles pratiques menacent l'équité des règles du jeu de notre économie.

Au sein du Réseau national de détection (Nationaal Detectie Netwerk, NDN), l'AIVD, le Service militaire de renseignement et de sécurité (Militaire Inlichtingen- en Veiligheidsdienst, MIVD) et le National Cyber Security Center (NCSC) collaborent étroitement pour renforcer la sécurité numérique des services publics et des entreprises vitales.

Le Digital Trust Center (DTC) lance aujourd'hui son Test élémentaire de cybersécurité. Cet outil d'accès facile permet aux entrepreneurs de tester et d'améliorer eux-mêmes et rapidement leur sécurité numérique C'est indispensable: chaque année, une entreprise sur cinq est en butte à un cyberincident qui occasionne par exemple un vol de données comme des fichiers de clientèle, voire un dommage financier.

Je me réfère également à l'actualité récente marquée par la cyberattaque massive à but lucratif (ransomware) qui a touché une importante entreprise cotée en bourse, active dans le secteur des métiers à tisser.

La présente question porte sur une compétence transversale (matières régionales - économie - entrepreneuriat).

Je souhaiterais poser les questions suivantes:

1) Que vous inspire l'initiative du NDN de proposer aux entreprises un "Test élémentaire de cybersécurité" et d'en faire activement la promotion?

2) Notre pays dispose-t-il d'un dispositif similaire qui permet à chaque entreprise de se faire tester gratuitement? Dans la négative, pourquoi pas et êtes-vous partisane d'une pareille initiative pour le futur?

3) Êtes-vous au courant du projet néerlandais de "courriels sécurisés" dans lequel des acteurs privés et publics unissent leurs efforts pour implémenter des standards sécurisés de courriels et des projets pilotes connexes lancés par le NDN ? Existe-t-il dans notre pays un projet similaire et, dans l'affirmative, pouvez-vous détailler votre réponse?

Réponse reçue le 9 avril 2020 :

1) La cybersécurité est une responsabilité partagée. Le Centre pour la cybersécurité Belgique (CCB) connaît l’initiative du NDN – Réseau national de détection néerlandais – et offre des services similaires par le biais d’autres projets et systèmes.

L’amélioration de la cybersécurité des entreprises constitue un objectif majeur du CCB. Le CCB reçoit quotidiennement de nombreuses informations de systèmes qui scannent l’Internet afin de détecter des infections et vulnérabilités face à certains risques informatiques. De manière très ciblée et en collaboration avec les fournisseurs d’accès à Internet, les propriétaires des systèmes vulnérables ou infectés sont directement informés. Il a ainsi déjà été possible d’éviter plusieurs infections et attaques de rançongiciels.

2) En octobre 2018, la «Cyber Security Coalition Belgium» a lancé le «Cybersecurity Scan» destiné aux PME. Celui-ci est disponible sur son site Internet. À l’aide de différentes questions, les PME peuvent tester le niveau de protection des fichiers et de l’infrastructure informatique de leur organisation. À l’issue du scan de sécurité, les PME reçoivent une série de conseils pratiques pour accroître leur cybersécurité.

Le CCB siège au sein du conseil d’administration de la «Cyber Security Coalition» et a participé à la réalisation de ce «Cybersecurity Scan» pour les PME.

Le CCB met à disposition sur son site Internet un guide de référence en ligne sur la cybersécurité. Ce guide fournit un aperçu des mesures de cybersécurité de base et plus avancées pour les organisations professionnelles au travers de plus de cent cinquante mesures de sécurité.

Diverses sociétés privées de cybersécurité vérifient quotidiennement les vulnérabilités et les systèmes infectés des entreprises, entre autres. Lorsque le CCB est informé de vulnérabilités et de risques importants, il partage ces informations au sein du secteur concerné.

Par ailleurs, de nombreuses initiatives sont dans le pipeline du CCB afin d’encore étendre les services proposés aux entreprises. Au nombre de ces initiatives figure ainsi une augmentation des possibilités de scanning des vulnérabilités propres.

Le CCB est au courant du projet néerlandais de «courriels sécurisés». Le guide de référence précité sur la cybersécurité, qui a été élaboré par le CCB en collaboration avec, entre autres, la «Cyber Security Coalition» et qui est disponible en ligne, contient des directives similaires visant à promouvoir des normes pour les courriels sécurisés.

De concert avec les principaux fournisseurs d’accès à Internet de notre pays, le CCB examine aussi régulièrement les éventuelles mesures communes susceptibles d’améliorer la cybersécurité en Belgique.