Attaques et délinquance informatiques - Protection informatique - Politique fédérale - Observations du Comité R
criminalité informatique
protection des données
protection des communications
Comités permanents de contrôle des services de police et de renseignements
défense stratégique
23/12/2011 | Envoi question |
26/1/2012 | Réponse |
Réintroduction de : question écrite 5-3124
Le Comité R a publié le 24 août 2011 un rapport sévère à l'égard de la politique fédérale en matière de protection informatique.
Il affirme que l'absence d'action fédérale globale en ce domaine rend notre pays particulièrement vulnérable aux attaques contre ses systèmes et ses réseaux d'information vitaux.
Aujourd'hui, plusieurs instances fédérales se préoccupent de sécuriser les systèmes informatiques : l’Autorité nationale de sécurité (ANS), le Service public fédéral Technologie de l'information et de la communication (Fedict), le fournisseur d'internet fédéral BelNET et l’Institut belge des services postaux et des télécommunications (IBPT). Toutefois, selon le rapport, aucune d'entre elles ne dispose d'un panorama complet de l'infrastructure critique des systèmes informatiques.
Le Comité R recommande l'élaboration d'une stratégie fédérale de coordination des activités de cyberdéfense.
Le Comité R s'inquiète aussi de la gestion du personnel des services de renseignement et de l'insuffisance des moyens qui permettraient d'engager du personnel qualifié.
Enfin, le Comité R observe que la législation belge ne permet de neutraliser des systèmes hostiles étrangers qu'un cas de cyberattaque sur les systèmes de la Défense. Si les attaques visent d'autres SPF ou d'autres infrastructures critiques nationales, on ne peut réagir qu'a posteriori et défensivement, sans pouvoir neutraliser l'assaillant.
Voici mes questions au premier ministre :
1) Que peut faire le gouvernement pour réduire la vulnérabilité de notre pays ? Met-on en œuvre une stratégie coordonnée de cyberdéfense?
2) Comment explique-t-il l'éparpillement de la politique de protection des systèmes informatiques ? S'agit-il d'une absence de stratégie à l'échelon fédéral ? Quelles sont les conséquences de cet éparpillement ?
3) À l'heure actuelle, qui coordonne le projet et comment délègue-t-on les tâches ?
4) La coordination serait-elle améliorée par la création d'une nouvelle agence ou vaut-il mieux confier la direction du projet à un organe existant ?
5) Quel rôle le Comité ministériel du renseignement et de la sécurité joue-t-il dans la coordination du rôle des services de renseignement dans le projet de cyberdéfense ?
6) Le Service général du renseignement et de la sécurité (SGRS) et la Sûreté de l'État se sont-ils accordés sur leur contribution respective à la sécurité de nos systèmes informatiques ?
7) Pourquoi le Comité R affirme-t-il que le retard de notre pays en matière de protection des systèmes et des réseaux d'information résulte de la politique inadéquate en matière de personnel ? Le Conseil des ministres évoque-t-il ce problème et prend-on des initiatives ?
8) Le gouvernement partage-t-il le souci d'augmenter les possibilités de neutraliser les cyberattaques, au lieu de ne pouvoir réagir qu'a posteriori et défensivement ?
En réponse aux questions posées par l’honorable sénateur, je puis communiquer ce qui suit.
Dans une enquête de contrôle, le Comité permanent de contrôle des services de renseignements et de sécurité a effectivement soulevé une série de questions pertinentes et formulé des recommandations, notamment en ce qui concerne la politique relative à la protection des infrastructures (critiques) des systèmes informatiques.
Les gouvernements précédents, car cette problématique n’est pas neuve, ont déjà pris un certain nombre d’initiatives dans ce domaine et nombreuses sont les institutions de notre pays à avoir déjà consenti des efforts considérables, y compris en matière de collaboration mutuelle.
Le gouvernement, qui est effectivement conscient que cela ne suffit pas encore, réservera à cette problématique toute l’attention qu’elle mérite.
Ainsi, l’accord de gouvernement dispose ce qui suit : « Afin de donner suite aux recommandations du Comité R, le Gouvernement élaborera une stratégie fédérale de sécurité des réseaux et systèmes d’information, dans le respect de la protection de la vie privée ».
A cet égard, le gouvernement s’attachera à réaliser des synergies dans le cadre des initiatives existantes mais développera aussi sur ce plan de nouvelles initiatives.
A cette fin, il pourra faire usage du travail préparatoire déjà réalisé. Le service public fédéral technologie de l'information et de communication (Fedict) a ainsi élaboré l’an passé, en collaboration avec les services ICT des autres institutions et services publics fédéraux, une note de politique relative à la sécurité de l’information des institutions des autorités fédérales. Cette note sera prochainement examinée au sein du Collège des présidents.
Elle sera ensuite soumise au Collège du renseignement et de la sécurité, en même temps que le Livre blanc existant « Pour une politique nationale de sécurité de l’information », qui a récemment été mis à jour par la Plate-forme de Concertation Sécurité de l’information.
Comme je l’ai déjà indiqué, le gouvernement prendra également en considération les recommandations du Comité R ainsi que celles que lui adressera la Commission chargée du suivi parlementaire du Comité permanent de contrôle des services de renseignements et de sécurité.
Vu la situation budgétaire actuelle, le gouvernement sera toutefois aussi contraint de trouver un juste équilibre entre les défis budgétaires auxquels doivent faire face l’ensemble des services ou autorités concernés et l’élaboration d’une stratégie fédérale efficace en la matière, laquelle devra se traduire dans des objectifs opérationnels réalisables.