SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
13 mai 2013 13 mei 2013
________________
Question écrite n° 5-8997 Schriftelijke vraag nr. 5-8997

de Nele Lijnen (Open Vld)

van Nele Lijnen (Open Vld)

à la vice-première ministre et ministre de l'Intérieur et de l'Égalité des Chances

aan de vice-eersteminister en minister van Binnenlandse Zaken en Gelijke Kansen
________________
Cybercriminalité - Cyberattaques ciblées - Entreprises - Sites web de l'administration fédérale - Technique du watering hole - Sécurisation Cybercrime - Gerichte cyberaanvallen - Bedrijven - Websites van de federale overheid – Watering hole-techniek - Beveiliging 
________________
virus informatique
administration centrale
petites et moyennes entreprises
criminalité informatique
piratage informatique
protection des données
administration électronique
site internet
computervirus
centrale overheid
kleine en middelgrote onderneming
computercriminaliteit
computerpiraterij
gegevensbescherming
elektronische overheid
internetsite
________ ________
13/5/2013 Verzending vraag
18/9/2013 Rappel
12/11/2013 Rappel
13/12/2013 Herkwalificatie
23/1/2014 Antwoord
13/5/2013 Verzending vraag
18/9/2013 Rappel
12/11/2013 Rappel
13/12/2013 Herkwalificatie
23/1/2014 Antwoord
________ ________
Requalifiée en : demande d'explications 5-4554 Requalifiée en : demande d'explications 5-4554
________ ________
Question n° 5-8997 du 13 mai 2013 : (Question posée en néerlandais) Vraag nr. 5-8997 d.d. 13 mei 2013 : (Vraag gesteld in het Nederlands)

Dans un rapport récent, l'entreprise américaine Symantec a indiqué que le nombre de cyberattaques ciblées avait augmenté de 42 % en 2012. Ces attaques visent principalement à s'emparer de droits intellectuels et ce sont surtout les petites et moyennes entreprises (PME), les industries et le secteur public qui sont attaqués. Si l'objectif des criminels n'est pas de dérober à tout prix les informations de ces entreprises, ces dernières sont utilisées pour permettre aux criminels de s'attaquer à de plus grosses entreprises et ce, par le biais de la technique du « watering hole ». Un cybercriminel implante un agent maliciaux dans un site web fréquemment visité par les utilisateurs qu'il veut atteindre. À leur insu, les visiteurs du site infecté se retrouvent, par exemple, avec un cheval de Troie ou un malware. Ensuite, le cybercriminel peut s'introduire dans l'ordinateur ou le site web de l'organisation qu'il visait. L'entreprise dont le site web est attaqué n'est donc qu'un intermédiaire innocent. Il est tout à fait possible que les criminels subtilisent en une fois, par exemple les données bancaires ou les droits intellectuels des entreprises. L'objectif n'est donc pas de faire un maximum de victimes mais d'atteindre quelques cibles très spécifiques.

Les entreprises ignorent le rôle qu'elles jouent dans ce processus. Elles pensent que les cybercriminels ne s'intéressent pas à elles et qu'ils s'attaquent plutôt à l'administration ou à des multinationales. Ce n'est pas le cas. Aux États-Unis (EU), la première victime n'est plus l'administration mais le secteur industriel. Lorsque des criminels ont besoin de données (données bancaires, contrats, données personnelles,...), ils ne s'attaquent pas aux grosses entreprises mieux sécurisées mais aux plus petites qui, collaborant étroitement avec ces dernières, disposent de nombreuses données à leur sujet. C'est la raison pour laquelle ce ne sont pas les dirigeants de ces entreprises qui sont attaqués mais l'administration qui a accès aux documents.

Je souhaiterais poser les questions suivantes à la ministre :

1) La ministre dispose-t-elle de chiffres sur le nombre de cyberattaques contre des PME au cours des cinq dernières années ? Peut-elle me les communiquer ?

2) Est-il question, tout comme aux EU, d'une augmentation du nombre de cyberattaques ciblées contre les PME ? Des secteurs spécifiques sont-ils également visés chez nous, tels que le secteur public ou l'industrie ?

3) Par le passé, des sites web de l'administration fédérale ou d'entreprises publiques ont-ils déjà été victimes de la technique dite du « watering hole », technique dont l'autorité était la cible ? Des sites web de l'administration fédérale ont-ils déjà été utilisés comme « intermédiaire » ou la ministre a-t-elle connaissance d'instances dont les PC ont été contaminés après visite d'un site web contaminé ? Dans l'affirmative, la ministre peut-elle détailler sa réponse ? Dans la négative, les services chargés de la sécurité de ces sites web sont-ils en mesure de constater ces infractions ?

3) La ministre estime-t-elle possible que dans notre pays, des entreprises fassent office d'intermédiaires pour permettre aux criminels d'atteindre les données d'entreprises plus importantes ou de l'administration, ces données étant mieux sécurisées ? La ministre a-t-elle déjà reçu des avis d'entreprises ayant été victimes de ce procédé ? Peut-elle me communiquer ces chiffres ?

5) Dans la négative, les services chargés de la sécurité de ces sites web sont-ils en mesure de constater des infractions telles que la technique dite du watering hole ?

6) Est-il très courant, pour l'administration, de limiter le nombre de sites web à visiter ou le personnel peut-il en général visiter à peu près tous les sites ? La ministre peut-elle détailler sa réponse ?

7) Si des restrictions sont imposées, est-ce pour des raisons de cybersécurité ou dans l'intérêt de la productivité ?

8) Est-il très courant, pour l'administration, de réinitialiser régulièrement le mot de passe des ordinateurs, amenant l'utilisateur à devoir en choisir un nouveau ? La ministre est-elle partisane de cette pratique ?

9) Lorsque l'on découvre sur un ordinateur de l'administration un « cheval de Troie », un « malware », ... susceptible de révéler des (risques d') infractions, est-il courant de créer un nouveau mot de passe pour cet ordinateur ?

 

In een recent rapport stelt het Amerikaanse bedrijf Symantec dat het aantal gerichte cyberaanvallen in 2012 met 42 % is toegenomen. Het hoofddoel van deze aanvallen is het stelen van intellectuele eigendom, waarbij kleine en middelgrote ondernemingen (kmo's), de industrie en de overheidssector vooral aangevallen worden. Is het doel van de criminelen niet per se om info te stelen van die bedrijven, dan fungeren de bedrijven als slachtoffer in een poging om grotere bedrijven aan te vallen. Dit via de zogenaamde "watering hole" techniek. Een cybercrimineel plant hierbij een "exploit" op een gekozen website die veel bezocht wordt door gebruikers van de site die hij eigenlijk wil treffen. Nietsvermoedende bezoekers van de geïnfecteerde site installeren zo bijvoorbeeld een trojan of malware. Vervolgens kan de crimineel in de pc's of de website van de organisatie die hij eigenlijk wilde binnendringen. Het bedrijf waarvan de website wordt aangevallen is dus slechts een onwetende tussenpersoon. Het is zeer goed mogelijk dat de criminelen in een adem ook bijvoorbeeld bankgegevens of intellectuele eigendommen stelen van de bedrijven. Het doel is dus niet om zoveel mogelijk slachtoffers te maken, wel om enkele zeer specifieke targets te bereiken.

Bedrijven hebben aldus geen weet van hun rol in dit proces. Ze denken dat cybercriminelen hen met rust laten en eerder de overheid of multinationals aanvallen. Dit klopt dus niet. In de Verenigde Staten (VS) is niet langer de overheid, wel de nijverheidssector het primaire slachtoffer. Wanneer criminelen gegevens (bijvoorbeeld bankgegevens, contracten, persoonlijke gegevens, …) nodig hebben, vallen ze niet de beter beveiligde grote bedrijven aan, maar wel de kleinere die nauw met hen samenwerken en dus veel gegevens over hen hebben. Om die reden worden ook niet de leiders van deze bedrijven aangevallen, maar wel de administratie die toegang heeft tot de documenten.

Graag had ik de minister volgende vragen gesteld:

1) Heeft de minister cijfers over het aantal cyberaanvallen tegen kmo's in de afgelopen vijf jaar? Kan ze die meedelen?

2) Is er net als in de VS sprake van een toename in het aantal gerichte cyberaanvallen tegen kmo's? Worden ook bij ons specifieke sectoren zoals de overheidssector of de industrie geviseerd?

3) Zijn er in het verleden al websites van de federale overheid het slachtoffer geworden van de zogenaamde "watering hole" techniek, waarbij de overheid het target was? Zijn websites van de federale overheid reeds gebruikt als 'tussenpersoon', of heeft de minister weet van instanties waarbij overheidspc's werden besmet na het bezoeken van een besmette website? Indien ja, kan ze dat toelichten? Indien neen, zijn de diensten die waken over de veiligheid van deze websites in staat om dergelijke inbreuken vast te stellen?

4) Acht de minister het mogelijk dat bedrijven in ons land als tussenpersoon fungeren voor criminelen om aan de gegevens van grotere bedrijven of de overheid te komen, daar deze laatste vaak beter beveiligd zijn? Heeft ze reeds meldingen gehad van bedrijven die hiervan het slachtoffer werden? Kan ze die cijfers meedelen?

5) Zo niet, zijn de diensten die waken over de veiligheid van deze websites in staat om dergelijke inbreuken zoals de watering hole techniek vast te stellen?

6) Is het een wijdverspreide praktijk bij de overheid om het aantal te bezoeken websites te beperken, of kan het overheidspersoneel in het algemeen zowat alle websites bezoeken? Kan de minister dat toelichten?

7) Indien er restricties zijn, is dit omwille van de cyberveiligheid of de productiviteit?

8) Is het een wijdverspreide praktijk bij de overheid om regelmatig het paswoord van de computers te resetten, waardoor een nieuw moet worden gekozen door de gebruiker? Is de minister hier een voorstander van?

9) Wanneer op een pc van de overheid een trojan, malware, … wordt ontdekt die kan wijzen op potentiële (gevaren met betrekking tot) inbreuken, is het dan de standaardpraktijk om op die pc een nieuw wachtwoord in te stellen?

 
Réponse reçue le 23 janvier 2014 : Antwoord ontvangen op 23 januari 2014 :

Le gouvernement a adopté le 21 décembre 2012, une stratégie nationale « Cyber Security » et chargé le premier ministre de sa mise en œuvre.

Le 19 décembre 2013, le Conseil des ministres a approuvé un projet d’AR pour la création d’un Centre pour la Cybersécurité Belgique (CCB), sous la compétence du premier ministre.

Les objectifs de cet organe sont :

  • de renforcer la cybersécurité et la sécurité de l’internet pour les citoyens, les entreprises et les autorités, y compris la gestion de crise en cas de cyberincidents ;

  • d’offrir une plateforme pour tous les partenaires concernés ;

  • de coordonner la présence de la Belgique aux forums internationaux ;

  • et d’élaborer et de veiller à la mise en oeuvre de standards, normes et directives pour les systèmes informatiques de l’autorité.

Questions 1, 2 et 3.

Actuellement, plusieurs enquêtes judiciaires concernant des « cyber attaques » sont en cours, gérées par le Parquet Fédéral.

Au sein de mon département, il n’y a pas de données disponibles concernant le nombre d’attaques contre des pme et/ou des sites web de l’autorité fédérale.

La FCCU de la police judiciaire fédérale a toutefois procédé à une analyse stratégique sur l'impact potentiel et les dommages de la cybercriminalité dans la société belge. Pour le calcul de ces dommages, l'étude belge s’est basée sur de semblables études scientifiques dans différents pays limitrophes sur les statistiques de la police, des renseignements provenant de diverses entreprises de sécurité et informations statistiques générales sur l'économie belge et sa population.

Plusieurs modèles ont été appliqués en l’occurrence. L'étude a conclu que la perte annuelle en Belgique s'élève à 3 milliards d'euros. En plus des revenus que les cybercriminels d'acquièrent le montant des dommages se compose principalement du coût pour les réparer à l’issue de l'incident cybernétique.

D’autant plus que la cybercriminalité a été retenue comme phénomène prioritaire dans le PNS 2012-2015, la police judiciaire a élaboré un dossier de programme.

Les divers points d’action y contenus prévoient de renforcer les connaissances et les capacités de tous les agents de police dans ce domaine.

Simultanément, l'accent est mis sur la lutte contre les réseaux de zombies et sur le renforcement des capacités pour la protection des infrastructures essentielles ICT, tant des entreprises privées et des autorités publiques.

Dans l'exercice d'optimisation actuellement en cours à la police fédérale, ces priorités sont également prises en considération.

Dans le cadre de dossiers opérationnels, mais aussi pour les aspects politiques visant à améliorer l'action de la police et de la coopération internationale, il y a des consultations régulières avec Europol et Interpol.

De regering heeft op 21 december 2012 een nationale “Cybersecurity” strategie goedgekeurd en de eerste minister belast met de uitvoering daarvan.

Op 19 december 2013 heeft de ministerraad een ontwerp van koninklijk besluit (KB) goedgekeurd voor de oprichting van een Centrum voor Cyberveiligheid België (CCB), onder de bevoegdheid van de eerste minister.

De doelstellingen van dit orgaan zijn:

  • de cyberveiligheid en de veiligheid van het internet te versterken voor de burgers, de ondernemingen en de overheden, inclusief het crisisbeheer in geval van cyberincidenten;

  • een overlegplatform aan te bieden aan alle betrokken partners;

  • de aanwezigheid van België op de internationale fora te coördineren;

  • en te waken over het opstellen en het toepassen van standaarden, normen en richtlijnen voor de informaticasystemen van de overheid.

Vragen 1, 2 en 3.

Momenteel zijn er verschillende gerechtelijke onderzoeken betreffende “cyberaanvallen” aan de gang, die beheerd worden door het Federaal Parket.

Binnen mijn departement zijn er geen gegevens beschikbaar betreffende het aantal aanvallen tegen kmo’s en/of websites van de federale overheid.

De FCCU van de federale gerechtelijke politie heeft weliswaar een strategische analyse gemaakt naar de mogelijke impact en schade van cybercriminaliteit op de Belgische samenleving. Voor de berekening van deze schade baseerde de Belgische studie zich op gelijkaardige wetenschappelijke studies in verschillende buurlanden, op politiële statistieken, op informatie van diverse securitybedrijven en op algemene statistische informatie omtrent de Belgische economie en bevolking.

Verschillende modellen werden hierbij gehanteerd. De studie kwam tot de conclusie dat de jaarlijkse schade voor België oploopt tot 3 miljard euro. Naast de inkomsten die de cybercriminelen verwerven bestaat dit schadebedrag voornamelijk uit de kosten voor het herstel van de schade na het cyberincident.

Te meer daar de cybercriminaliteit weerhouden werd als prioritair fenomeen in het NVP 2012-2015, heeft de federale gerechtelijke politie een programmadossier opgesteld.

De verschillende actiepunten die hierin zijn opgenomen voorzien in het versterken van de kennis en de capaciteit van alle politiemensen in dit domein.

Gelijktijdig wordt gefocust op de bestrijding van botnets en op de uitbouw van capaciteit voor de bescherming van vitale ICT infrastructuur, zowel van privé-bedrijven als van publieke overheden.

In de optimalisatieoefening die thans bij de Federale politie aan de gang is, worden deze prioriteiten mee in rekening gebracht.

In het kader van de operationele dossiers, maar tevens voor beleidsmatige aspecten ter verbetering van de actie van de politiediensten en de internationale samenwerking, is er geregeld overleg met Europol en met Interpol.