SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2011-2012 Zitting 2011-2012
________________
29 aôut 2012 29 augustus 2012
________________
Question écrite n° 5-6941 Schriftelijke vraag nr. 5-6941

de Bart Tommelein (Open Vld)

van Bart Tommelein (Open Vld)

à la ministre de la Justice

aan de minister van Justitie
________________
Sûreté de l'État - Achat de matériel de communication - Liens entre les fournisseurs et les puissances étrangères - Homologation Staatsveiligheid - Aankoop communicatiemateriaal - Banden van leveranciers met buitenlandse mogendheden - Homologatie 
________________
service secret
sûreté de l'Etat
confidentialité
Comités permanents de contrôle des services de police et de renseignements
équipement informatique
Organe de coordination pour l'analyse de la menace
protection des données
geheime dienst
staatsveiligheid
vertrouwelijkheid
Vaste Comités van Toezicht op de politie- en inlichtingendiensten
gegevensverwerkende installatie
Coördinatieorgaan voor de dreigingsanalyse
gegevensbescherming
________ ________
29/8/2012Verzending vraag
26/10/2012Antwoord
29/8/2012Verzending vraag
26/10/2012Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 5-6940 Ook gesteld aan : schriftelijke vraag 5-6940
________ ________
Question n° 5-6941 du 29 aôut 2012 : (Question posée en néerlandais) Vraag nr. 5-6941 d.d. 29 augustus 2012 : (Vraag gesteld in het Nederlands)

Cette question porte sur l'achat de matériel de communication et informatique, ainsi que sur les liens de certains producteurs et/ou fournisseurs, avec des puissances étrangères. Selon des experts en télécommunication, il est tout à fait possible que des fournisseurs intègrent dans leur matériel ce que l'on appelle des « portes dérobées » en vue de transferts d'informations.

Je me réfère au rapport d'activités 2011 du Comité R (p. 108) : « Le Comité permanent R recommande la plus grande prudence dans le choix des équipements techniques sécurisés qui seront utilisés pour traiter les informations sensibles et classifiées. Le Comité reprend les recommandations du Livre blanc de la Plateforme de concertation sur la sécurité de l’information, et recommande que les équipements techniques soient évalués, certifiés et homologués - en termes de fiabilité et de sécurité - selon des critères et procédures qui répondent aux normes de l’Union européenne. »

En outre, le Comité permanent R recommande que l’octroi de marchés à des fournisseurs de matériel de ce type soit assorti d’une obligation de disposer d’une habilitation de sécurité. L’enquête de sécurité préalable devrait porter une attention particulière aux liens éventuels de ces fournisseurs avec certains services de renseignement étrangers.

1. Pouvez-vous indiquer dans quelle mesure les recommandations du Livre blanc de la Plateforme de concertation sur la sécurité de l’information sont systématiquement appliquées lorsque, respectivement, le SGRS, la VSSE, l'OCAM et les services d'appui achètent du matériel ?

2. Pouvez-vous indiquer dans quelle mesure les équipements techniques sont évalués, certifiés et homologués - en ce qui concerne leur fiabilité et leur sécurité - selon des critères et procédures qui répondent aux normes de l'Union européenne lorsque, respectivement, le SGRS, la VSSE, l'OCAM et les services d'appui achètent du matériel informatique, de communication et de télécommunication ? Si ce n'est pas encore le cas, pouvez-vous donner des explications détaillées, et indiquer si vous êtes disposé à procéder à ces contrôles aussi rapidement que possible ?

3. Pouvez-vous indiquer dans quelle mesure l'octroi de marchés de matériel informatique, de communication et de télécommunication pour le SGRS, la VSSE, l'OCAM et les services d'appui est assorti d'une obligation de disposer d'une habilitation de sécurité ? Est-ce déjà le cas actuellement ? Dans la négative, pourquoi, et êtes-vous disposé à instaurer cette mesure ?

 

Deze vraag betreft de aankoop van communicatiemateriaal en informatica en de banden van bepaalde producenten en/of leveranciers met buitenlandse mogendheden. Volgens telecomexperts is het perfect mogelijk dat leveranciers in hun apparatuur zogenaamde achterdeurtjes inbouwen om informatie weg te sluizen.

Ik verwijs tevens naar het activiteitenverslag 2011 van het Comité I (pg 108): "Het Vast Comité I beveelt de grootste omzichtigheid aan bij de keuze van beveiligde technische uitrustingen voor de verwerking van gevoelige en geclassificeerde informatie. Het Comité neemt de aanbevelingen over van het Witboek van het Overlegplatform voor de informatieveiligheid en beveelt aan dat technische uitrustingen worden geëvalueerd, gecertificeerd en gehomologeerd - wat betreft hun betrouwbaarheid en veiligheid - volgens criteria en procedures die beantwoorden aan de normen van de Europese Unie.

Het Vast Comité I beveelt daarenboven aan dat bij de gunning van opdrachten aan leveranciers van dergelijk materieel het bezit van een veiligheidsmachtiging wordt opgelegd. In het kader van het voorafgaandelijke veiligheidsonderzoek zou bijzondere aandacht moeten worden besteed aan de eventuele banden van die leveranciers met sommige buitenlandse inlichtingendiensten.".

1. Kan u meedelen in hoeverre bij de aankoop van respectievelijk bij de ADIV, de VSSE, het OCAD en de ondersteunende diensten, de aanbevelingen van het Witboek van het Overlegplatform voor de informatieveiligheid systematisch worden toegepast?

2. Kan u meedelen in hoeverre respectievelijk bij de aankopen van informatica, communicatie en telecom bij de ADIV, de VSSE, het OCAD en de ondersteunende diensten, de technische uitrustingen wordt geëvalueerd, gecertificeerd en gehomologeerd - met betrekking tot hun betrouwbaarheid en veiligheid - volgens criteria en procedures die beantwoorden aan de normen van de Europese Unie? Kan dit uitvoerig worden toegelicht mocht dit nog niet het geval zijn en kan u aangeven of u bereid bent dit zo snel mogelijk door te voeren?

3. Kan u meedelen in hoeverre respectievelijk bij de gunning van de aankopen van informatica, communicatie en telecom bij de ADIV, de VSSE, het OCAD en de ondersteunende diensten, aan leveranciers van dergelijk materieel het bezit van een veiligheidsmachtiging wordt opgelegd? Is dit nu reeds het geval? Zo neen, waarom niet en is de minister bereid dit te implementeren?

 
Réponse reçue le 26 octobre 2012 : Antwoord ontvangen op 26 oktober 2012 :
  1. La Sûreté de l'État suit les recommandations formulées dans le Livre blanc de la Plateforme de concertation sur la sécurité de l’information pour autant que - compte tenu des exigences en vigueur pour les données classifiées - des normes plus strictes ne soient pas d’application. Cela vaut tant pour le matériel et les logiciels que pour l'environnement physique, les procédures et le personnel.

  2. Concernant la réponse à cette question, il y a lieu d'établir une distinction entre les notions d' « évaluation », de « certification » et d' « homologation ».

    2.1. Evaluation des équipements techniques.

    La Sûreté de l'État ne dispose pas de la capacité nécessaire pour évaluer la qualité et la fiabilité du matériel de communication. Pour ce faire, le service se base sur les prospections d'autres services et sur les constats d'instances ayant effectué des tests.

    2.2. Certification des équipements techniques.

    L'équipement technique de la Sûreté de l'État doit satisfaire à un certain nombre de normes relatives à la sécurité (qui ne concernent pas la fiabilité) pour pouvoir être certifié. Les contrôles réalisés à cette fin portent non seulement sur le matériel, mais également sur la configuration, l'environnement, les procédures et le personnel. En ce qui concerne la communication interne et externe d'informations classifiées "secret" ainsi que le traitement de ces données en interne, la Sûreté de l'État utilise du matériel agréé pour un usage aux niveaux « secret UE » et « secret OTAN ». Les normes imposées à cet effet sont plus strictes que les normes définies dans le Livre blanc de la Plateforme de concertation sur la sécurité de l’information.

    La Sûreté de l'État indique qu'à sa connaissance, il n’existe pas de matériel belge certifié pour le niveau « secret ». Ce genre de matériel certifié est dès lors acquis à l’étranger.

    2.3. Homologation.

    L'homologation consiste à vérifier la conformité d’un système dans son intégralité – à savoir le matériel, les logiciels, le personnel, les procédures, l'environnement et la sécurité physique - à un niveau de sécurité donné. L'Autorité nationale de Sécurité (ANS) est chargée de cette procédure d'homologation.

    Le système utilisé par la Sûreté de l'État concernant les communications avec les partenaires externes est homologué pour le niveau « secret ». Le service a introduit une demande d'homologation pour un système supplémentaire.

  3. Les firmes et les personnes belges qui fournissent des services à la Sûreté de l'État (installation, consultance, maintenance) et qui sont en contact avec du matériel classifié doivent posséder une habilitation de sécurité du niveau "secret" - voire « très secret ». Il en va de même pour les firmes étrangères sises en Belgique.

    Les firmes ou les personnes étrangères qui proposent ce type de matériel ou de services et qui ne sont pas présentes en Belgique doivent disposer d'une habilitation de sécurité délivrée par une instance ou un pays tiers.

  1. De Veiligheid van de Staat volgt de aanbevelingen van het Witboek van het Overlegplatform voor de informatieveiligheid voor zover er –gelet op de vereisten die gelden voor geclassificeerde gegevens - geen strengere normen van toepassing zijn Dit is van toepassing zowel voor hardware en software als voor de fysieke omgeving, procedures en personeel.

  2. Voor het antwoord op deze vraag moet een onderscheid gemaakt worden tussen de begrippen “evaluatie”, “certificatie” en “homologatie”.

    2.1. Evaluatie van technische uitrustingen.

    De Veiligheid van de Staat heeft geen eigen capaciteit om de kwaliteit en betrouwbaarheid van communicatiemateriaal te evalueren. De dienst baseert zich hiervoor op prospecties door andere diensten en op de bevindingen van instanties die testen hebben uitgevoerd.

    2.2. Certificatie van technische uitrustingen.

    De technische uitrusting van de Veiligheid van de Staat moet aan een aantal normen inzake veiligheid voldoen (dit impliceert niet de betrouwbaarheid) en wordt dan ook gecertificeerd. Hiertoe wordt niet alleen de veiligheid van het materiaal gecontroleerd maar ook de configuratie, de omgeving de procedures en het personeel. Voor de interne en externe communicatie van geheim geclassificeerde informatie en voor de interne verwerking van deze gegevens gebruikt de Veiligheid van de Staat materiaal dat goedgekeurd is voor gebruik op niveau “EU secret” en “NAVO secret”. De normen die hiervoor opgelegd worden, zijn strenger dan deze vastgelegd in het Witboek van het Overlegplatform voor de informatieveiligheid.

    Voor zover de Veiligheid van de Staat weet, bestaat er geen materiaal van Belgische makelij dat gecertificeerd is voor niveau geheim. Dergelijk gecertificeerd materiaal wordt dan ook in het buitenland aangeschaft.

    2.3. Homologatie.

    Bij homologatie wordt beoordeeld of het volledige systeem – dit wil zeggen zowel de hard- en software als het personeel, de procedures, de omgeving en de fysieke veiligheid – geschikt is voor een bepaald veiligheidsniveau. Deze homologatie is de taak van de Nationale Veiligheidsoverheid (NVO).

    Het systeem dat door de Veiligheid van de Staat gebruikt wordt voor de communicatie met externe partners is gehomologeerd op het niveau geheim. De dienst heeft een aanvraag tot homologatie ingediend voor een bijkomend systeem.

  3. Belgische firma’s en personen die diensten leveren aan de Veiligheid van de Staat (installatie, consultancy, onderhoud) en daarbij in aanraking komen met geclassificeerd materiaal, moeten over een veiligheidsmachtiging van het niveau geheim –soms zelfs zeer geheim- beschikken. Dit geldt ook voor buitenlandse firma’s met een zetel in België.

    Buitenlandse firma’s of personen die dergelijk materiaal of diensten aanbieden en die niet aanwezig zijn in België, moeten over een veiligheidsmachtiging beschikken die is toegekend door een ander land of instantie.