| SÉNAT DE BELGIQUE | BELGISCHE SENAAT | ||||||||
| ________ | ________ | ||||||||
| Session 2019-2020 | Zitting 2019-2020 | ||||||||
| ________ | ________ | ||||||||
| 27 février 2020 | 27 februari 2020 | ||||||||
| ________ | ________ | ||||||||
| Question écrite n° 7-373 | Schriftelijke vraag nr. 7-373 | ||||||||
de Carina Van Cauter (Open Vld) |
van Carina Van Cauter (Open Vld) |
||||||||
à la première ministre, chargée de Beliris et des Institutions culturelles fédérales |
aan de eerste minister, belast met Beliris en de Federale Culturele Instellingen |
||||||||
| ________ | ________ | ||||||||
| Test élémentaire de cybersécurité pour les entreprises - Projet de courriels sécurisés | Basisscan cyberweerbaarheid bedrijven - Veilig e-mailproject | ||||||||
| ________ | ________ | ||||||||
| sécurité des systèmes d'information Pays-Bas courrier électronique |
informatiebeveiliging Nederland elektronische post |
||||||||
| ________ | ________ | ||||||||
|
|
||||||||
| ________ | ________ | ||||||||
| Question n° 7-373 du 27 février 2020 : (Question posée en néerlandais) | Vraag nr. 7-373 d.d. 27 februari 2020 : (Vraag gesteld in het Nederlands) | ||||||||
Je me réfère au récent rapport du Service général de renseignement et de sécurité des Pays-Bas (Algemene Inlichtingen- en Veiligheidsdienst, AIVD) "Offensief cyberprogramma, een ideaal businessmodel voor Staten", publié en 2019. Contrairement à ce qui se passe dans notre pays, les services de renseignement néerlandais suivent directement la cybercriminalité visant les entreprises. Je me réfère également aux réponses du vice-premier ministre et ministre de la Justice et du ministre de l'Agenda numérique à des questions écrites antérieures (n° 7-334 et n° 7-336), qui m'ont toutes les deux redirigée vers vous. C'est aussi pour des motifs économiques que des États lancent des cyberattaques. Les enquêtes de l'AIVD ont entre autres établi que certains États veulent moderniser rapidement leur économie et que dans ce but, ils sont prêts à voler sournoisement, et parfois à une échelle presque industrielle, des technologies innovantes occidentales et notamment néerlandaises. Grâce aux connaissances acquises illicitement, ces États veulent implémenter ces technologies dans leur économie et/ou les produire eux-mêmes à moindre coût.Cela met en péril la capacité d'innovation économique et l'emploi. Un autre exemple cité par l'AIVD est celui d'un État qui, par le truchement d'une de ses entreprises publiques, essaye de s'emparer d'une multinationale. En même temps, l'État en question lance des cyberattaques sournoises contre le bureau d'avocats qui encadre juridiquement ce rachat, dans le but d'obtenir des informations confidentielles à ce sujet. Cela permet audit État d'être au courant des résultats de l'entreprise et des risques qu'elle court, et ainsi de connaître les autres candidats acquéreurs, leurs offres et leurs conditions. Par conséquent, cet État peut adapter sa stratégie de reprise et calibrer au plus juste son offre et ses conditions. De telles pratiques menacent l'équité des règles du jeu de notre économie. Au sein du Réseau national de détection (Nationaal Detectie Netwerk, NDN), l'AIVD, le Service militaire de renseignement et de sécurité (Militaire Inlichtingen- en Veiligheidsdienst, MIVD) et le National Cyber Security Center (NCSC) collaborent étroitement pour renforcer la sécurité numérique des services publics et des entreprises vitales. Le Digital Trust Center (DTC) lance aujourd'hui son Test élémentaire de cybersécurité. Cet outil d'accès facile permet aux entrepreneurs de tester et d'améliorer eux-mêmes et rapidement leur sécurité numérique C'est indispensable: chaque année, une entreprise sur cinq est en butte à un cyberincident qui occasionne par exemple un vol de données comme des fichiers de clientèle, voire un dommage financier. Je me réfère également à l'actualité récente marquée par la cyberattaque massive à but lucratif (ransomware) qui a touché une importante entreprise cotée en bourse, active dans le secteur des métiers à tisser. La présente question porte sur une compétence transversale (matières régionales - économie - entrepreneuriat). Je souhaiterais poser les questions suivantes: 1) Que vous inspire l'initiative du NDN de proposer aux entreprises un "Test élémentaire de cybersécurité" et d'en faire activement la promotion? 2) Notre pays dispose-t-il d'un dispositif similaire qui permet à chaque entreprise de se faire tester gratuitement? Dans la négative, pourquoi pas et êtes-vous partisane d'une pareille initiative pour le futur? 3) Êtes-vous au courant du projet néerlandais de "courriels sécurisés" dans lequel des acteurs privés et publics unissent leurs efforts pour implémenter des standards sécurisés de courriels et des projets pilotes connexes lancés par le NDN ? Existe-t-il dans notre pays un projet similaire et, dans l'affirmative, pouvez-vous détailler votre réponse? |
Ik verwijs naar het recente rapport van de Nederlandse Algemene Inlichtingen- en Veiligheidsdienst (AIVD) «offensief cyberprogramma, een ideaal businessmodel voor staten» van 2019. In tegenstelling tot ons land volgt de Nederlandse inlichtingendienst cybercrime in het bedrijfsleven rechtstreeks op. Ik verwijs tevens naar het antwoord op een eerdere schriftelijke vraag (nr. 7-734) van de vice-eersteminister en minister van Justitie die naar u verwees voor de antwoorden en het antwoord van de minister van Digitale Agenda op mijn vraag (stuk nr. 336) die eveneens naar u verwees voor het antwoord. Offensieve Cyberaanvallen vanuit staten worden ook vanuit een economisch motief uitgevoerd. Zo heeft de AIVD in zijn onderzoeken onder meer onderkend dat bepaalde staten hun economie versneld willen moderniseren en hierbij bereid zijn heimelijk en op soms bijna industriële schaal innovatieve westerse en Nederlandse technologieën te stelen. Met behulp van deze gestolen kennis willen deze staten die technologieën integreren in hun eigen economie en/of zelf gaan produceren tegen een lagere marktprijs. Dit bedreigt het economisch innovatievermogen en de werkgelegenheid. In een ander onderkend voorbeeld dat de AIVD aanhaalt probeert een staat met behulp van een staatsbedrijf een internationale onderneming over te nemen. Deze staat voert tegelijkertijd heimelijke digitale aanvallen uit op het advocatenkantoor dat deze overname juridisch begeleidt met als doel vertrouwelijke informatie te verkrijgen over de overname. Hierdoor is deze staat precies op de hoogte van alle bedrijfsresultaten en -risico's. Hiermee heeft deze staat zicht op de overnameconcurrenten en hun overnamevoorwaarden en -biedingen. Hierdoor kan deze staat zijn overnamestrategie aanpassen en precies het juiste overnamebod met de juiste voorwaarden uitbrengen. Dergelijke praktijken bedreigen het level playing field van ons bedrijfsleven. Binnen het Nationaal Detectie Netwerk (NDN) werken de AIVD, de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en het Nationaal Cyber Security Centrum (NCSC) nauw samen om overheden en vitale bedrijven digitaal veiliger te maken. Het Digital Trust Center (DTC) lanceert vandaag haar Basisscan Cyberweerbaarheid. Hiermee kunnen ondernemers zelf op een laagdrempelige manier in korte tijd hun digitale veiligheid doorlichten en verbeteren. Dit is hard nodig, één op de vijf bedrijven heeft jaarlijks te maken met een cyberincident dat leidt tot bijvoorbeeld diefstal van data zoals klantgegevens of zelfs financiële schade. Ik verwijs tevens naar de recente actualiteit en de grootschalige cyberaanval met financiële doeleinden (ransomware) die een belangrijk beursgenoteerd bedrijf actief in de weefmachines trof. Deze vraag betreft een transversale aangelegenheid (gewestbevoegdheid – economie – ondernemen). Graag had ik u dan ook volgende vragen voorgelegd: 1) Hoe reageert u op het initiatief van de NDN om aan bedrijven een «Basisscan Cyberweerbaarheid» aan te bieden en waarbij dit actief wordt gepromoot? 2) Bestaat er iets gelijkaardigs in ons land waarbij elk bedrijf zich kosteloos kan laten doorlichten? Zo neen, waarom niet en bent u een gelijkaardig initiatief in de toekomst genegen? 3) Bent u vertrouwd met het Nederlandse «veilige e-mailproject» waarbij private en publieke partijen de handen in elkaar slaan om veilige e-mailstandaarden te implementeren en de pilootprojecten die hierrond werden opgezet vanuit de NDN? Bestaat er een gelijkaardig project in ons land en zo ja, kan u dit toelichten? |
||||||||
| Réponse reçue le 9 avril 2020 : | Antwoord ontvangen op 9 april 2020 : | ||||||||
1) La cybersécurité est une responsabilité partagée. Le Centre pour la cybersécurité Belgique (CCB) connaît l’initiative du NDN – Réseau national de détection néerlandais – et offre des services similaires par le biais d’autres projets et systèmes. L’amélioration de la cybersécurité des entreprises constitue un objectif majeur du CCB. Le CCB reçoit quotidiennement de nombreuses informations de systèmes qui scannent l’Internet afin de détecter des infections et vulnérabilités face à certains risques informatiques. De manière très ciblée et en collaboration avec les fournisseurs d’accès à Internet, les propriétaires des systèmes vulnérables ou infectés sont directement informés. Il a ainsi déjà été possible d’éviter plusieurs infections et attaques de rançongiciels. 2) En octobre 2018, la «Cyber Security Coalition Belgium» a lancé le «Cybersecurity Scan» destiné aux PME. Celui-ci est disponible sur son site Internet. À l’aide de différentes questions, les PME peuvent tester le niveau de protection des fichiers et de l’infrastructure informatique de leur organisation. À l’issue du scan de sécurité, les PME reçoivent une série de conseils pratiques pour accroître leur cybersécurité. Le CCB siège au sein du conseil d’administration de la «Cyber Security Coalition» et a participé à la réalisation de ce «Cybersecurity Scan» pour les PME. Le CCB met à disposition sur son site Internet un guide de référence en ligne sur la cybersécurité. Ce guide fournit un aperçu des mesures de cybersécurité de base et plus avancées pour les organisations professionnelles au travers de plus de cent cinquante mesures de sécurité. Diverses sociétés privées de cybersécurité vérifient quotidiennement les vulnérabilités et les systèmes infectés des entreprises, entre autres. Lorsque le CCB est informé de vulnérabilités et de risques importants, il partage ces informations au sein du secteur concerné. Par ailleurs, de nombreuses initiatives sont dans le pipeline du CCB afin d’encore étendre les services proposés aux entreprises. Au nombre de ces initiatives figure ainsi une augmentation des possibilités de scanning des vulnérabilités propres. Le CCB est au courant du projet néerlandais de «courriels sécurisés». Le guide de référence précité sur la cybersécurité, qui a été élaboré par le CCB en collaboration avec, entre autres, la «Cyber Security Coalition» et qui est disponible en ligne, contient des directives similaires visant à promouvoir des normes pour les courriels sécurisés. De concert avec les principaux fournisseurs d’accès à Internet de notre pays, le CCB examine aussi régulièrement les éventuelles mesures communes susceptibles d’améliorer la cybersécurité en Belgique. |
1) Cyberveiligheid is een gedeelde verantwoordelijkheid. Het Centrum voor cyberveiligheid België (CCB) kent het initiatief van de NDN – «Nationaal Detectie Netwerk» – en biedt gelijkaardige diensten aan via andere projecten en systemen. De verbetering van de cyberveiligheid van ondernemingen is een belangrijke doelstelling van het CCB. Het CCB ontvangt dagelijks heel wat informatie van systemen die dagelijks het internet scannen voor infecties en kwetsbaarheden voor bepaalde cyberrisico’s. Heel gericht en in samenwerking met de Internet service providers worden de eigenaars van de kwetsbare of geïnfecteerde systemen rechtstreeks geïnformeerd. Zo konden reeds meerdere infecties en ransomware aanvallen vermeden worden. 2) In oktober 2018 lanceerde de Cyber Security Coalition Belgium de KMO Security Scan. Ze wordt ter beschikking gesteld op haar website. Aan de hand van verschillende vragen, kunnen KMO’s testen hoe goed de bestanden en computerinfrastructuur van hun organisatie beveiligd zijn. Na de veiligheidsscan krijgen ze een aantal praktische tips om de cyberweerbaarheid te verhogen. Het CCB zetelt in de raad van bestuur van de Cyber Security Coalition en heeft meegewerkt aan de totstandkoming van deze KMO Security Scan. Het CCB stelt een online cybersecurity referentiegids ter beschikking op haar website. Via meer dan honderdvijftig veiligheidsmaatregelen geeft de gids een overzicht van basis- en meer geavanceerde cyberveiligheidsmaatregelen voor professionele organisaties. Verschillende private cybersecuritybedrijven controleren dagelijks op kwetsbaarheden en geïnfecteerde systemen bij onder andere bedrijven. Wanneer het CCB op de hoogte wordt gesteld van belangrijke kwetsbaarheden en risico’s, dan wordt deze info door het CCB gedeeld binnen de relevante sector. Het CCB heeft eveneens heel wat initiatieven klaarstaan om de dienstverlening naar de bedrijven toe nog verder uit te breiden. Meer scanning mogelijkheden naar eigen kwetsbaarheden zit sowieso in deze lijst. 3) Sinds 2015 brengt de Cyber Security Coalition Belgium vertegenwoordigers van de overheidssector, de privésector en de academische wereld samen in één organisatie. Die benadering is uniek in België en zorgt ervoor dat ervaring en kennis rond cyberveiligheid kunnen worden uitgewisseld en dat een bewustmakingsbeleid inzake cyber security kan worden uitgewerkt. Het CCB is op de hoogte van het Nederlandse «veilige e-mailproject». In de boven vermelde online cybersecurity referentiegids, die werd opgesteld door het CCB in samenwerking met onder meer de Cyber Security Coalition, zijn gelijkaardige richtlijnen opgenomen die tot doel hebben veilige e-mailstandaarden te promoten. Samen met de voornaamste Internet service providers van ons land bespreekt het CCB ook regelmatig de mogelijke gemeenschappelijke maatregelen die de cyberveiligheid in ons land kunnen verbeteren. |