Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-4302

de Karl Vanlouwe (N-VA) du 23 décembre 2011

au vice-premier ministre et ministre des Affaires étrangères, du Commerce extérieur et des Affaires européennes

Attaques et délinquance informatiques - Protection informatique - Union européenne (UE) - Organisation du Traité de l'Atlantique Nord (OTAN) - Cas particulier du Service public fédéral Affaires étrangères

criminalité informatique
protection des données
protection des communications
espionnage
Comités permanents de contrôle des services de police et de renseignements
OTAN
défense stratégique
Institut belge des services postaux et des télécommunications
Belnet
ministère
piratage informatique

Chronologie

23/12/2011Envoi question
5/3/2012Réponse

Réintroduction de : question écrite 5-3127

Question n° 5-4302 du 23 décembre 2011 : (Question posée en néerlandais)

La veille du sommet européen du 22 mars 2011, la Commission européenne et le Service européen pour l'action extérieure (SEAE) ont été touchés pour une cyberattaque, jugée particulièrement grave car elle visait spécialement des directions générales et des fonctionnaires de la Commission européenne.

Dès 2009, la Direction de la Sécurité de la Commission avait établi un plan d'action contre les cyberattaques. Les États membre y étaient priés de créer à l'horizon 2012 un Computer Emergency Response Team capable de détecter les logiciels malveillants. En Belgique, le Computer Emergency Response Team (CERT) est actif depuis 2010 et on s'affaire actuellement à le rendre progressivement opérationnel.

Ces dernières années, les États-Unis ont connu des cyberattaques visant notamment le Sénat, l'avionneur Lockheed Martin et le Pentagone. En mars, 24 000 documents secrets ont été volés chez ce dernier. Google a pu établir que leur messagerie électronique Gmail avait été piratée par des ordinateurs chinois et que les pirates sont parvenus à s'infiltrer dans le réseau du Pentagone par l'intermédiaire du courriel personnel de militaires.

L'OTAN a évoqué pour la première fois les cyberattaques dans la déclaration de Lisbonne

« Les cybermenaces se multiplient rapidement et sont de plus en plus sophistiquées. Pour que l'OTAN puisse accéder au cyberespace en permanence et sans entrave, et afin de garantir l'intégrité de ses systèmes critiques, [elle tiendra] compte de la dimension informatique des conflits modernes dans la doctrine de l'OTAN, et [renforcera sa] capacité à détecter et à évaluer les cyberattaques dirigées contre des systèmes revêtant pour elle une importance critique, à les prévenir, à s’en défendre et à s’en relever. (...) L'OTAN travaillera en étroite collaboration avec d'autres acteurs, tels que l’ONU et l'UE. »

C'est pourquoi l'OTAN veut que la Capacité de réaction aux incidents informatiques (NCIRC) soit complètement opérationnelle d'ici 2012, et que tous ses services soient chapeautés par la structure centrale de la Cyber Defence Management Authority (CDMA), qui sécuriserait tous les systèmes de communication et d'information et offrirait un soutien individuel en cas de cyberattaque ponctuelle.

Inutile de souligner que l'internet et les systèmes informatiques intégrés, nationaux et internationaux, sont cruciaux pour le fonctionnement d'un pays. Les États-Unis d'Amérique ont récemment estimé qu'une cyberattaque peut être considérée comme une attaque contre le pays, et tombe par conséquent sous la clause de légitime défense collective contenue (art. 4 & 5) dans le Traité de l'Atlantique Nord. C'est possible par exemple lorsque la cyberattaque vise des informations sensibles ou des réseaux électriques essentiels. Il faut s'interroger sur la réponse à apporter à une cyberattaque.

À l'heure actuelle, il reste difficile de détecter l'origine d'une cyberattaque. Par exemple, l'attaque sur la Commission européenne provenait d'Asie du Sud-Est et celle sur Google de Chine centrale. Pour le moment, il est quasiment impossible de dire qui en est responsable. Des organisations criminelles qui disposent d'ordinateurs pilotables - appelés botnets - peuvent diriger ou lancer une attaque informatique à l'insu des autorités.

Le Comité R a publié le 24 août 2011 un rapport sévère à l'égard de la politique fédérale en matière de protection informatique. Il affirme que l'absence d'action fédérale globale en ce domaine rend notre pays particulièrement vulnérable aux attaques contre ses systèmes et ses réseaux d'information vitaux.

Aujourd'hui, plusieurs instances fédérales se préoccupent de sécuriser les systèmes informatiques : l’Autorité nationale de sécurité (ANS), le Service public fédéral Technologie de l'information et de la communication (Fedict), le fournisseur d'internet fédéral BelNET et l’Institut belge des services postaux et des télécommunications (IBPT). Toutefois, selon le rapport, aucune d'entre elles ne dispose d'un panorama complet de l'infrastructure critique des systèmes informatiques.

Le Comité R s'inquiète aussi de la gestion du personnel des services de renseignement et de l'insuffisance des moyens qui permettraient d'engager du personnel qualifié.

Enfin, le Comité R observe que la législation belge ne permet de neutraliser des systèmes hostiles étrangers qu'en cas de cyberattaque sur les systèmes de la Défense. Si les attaques visent d'autres SPF ou d'autres infrastructures critiques nationales, on ne peut réagir qu'a posteriori et défensivement, sans pouvoir neutraliser l'assaillant.

C'est pourquoi j'aimerais apprendre du ministre :

1) Dans notre pays, à quel stade la transposition des recommandations du Plan d'action contre les cyberattaques en est-elle ?

2) Dans quelle mesure les mesures de cyberprotection de l'UE et de l'OTAN sont-elles parallèles et quels sont les points de collaboration ?

3) D'après les normes de l'Union européenne, les Services publics fédéraux et les services du parlement et du gouvernement fédéraux sont-ils adéquatement protégés contre les cyberattaques ? Quelles normes de sécurité observe-t-on et pourquoi ?

4) Existe-t-il un « Disaster Recovery Plan » en guise de position de repli si les systèmes critiques de notre pays étaient victimes d'une cyberattaque ?

5) Le département du ministre a-t-il déjà désigné un conseiller à la coordination de la sécurité informatique ? Quelle est sa mission et à qui rapporte-t-il ?

6) Comment se déroule la collaboration avec le SPF Justice, lequel coordonne le projet de cyberdéfense ? Le ministre trouve-t-il que le SPF Justice est le coordonnateur idéal ? Prend-on assez d'initiatives et se concerte-t-on suffisamment ? Respecte-t-on encore les délais prévus ?

- Quel rôle joue le SPF Affaires étrangères en cette matière ?

- À quelle fréquence annuelle les représentants du SPF Affaires étrangères se réunissent avec ceux du SPF Justice pour parler de cyberdéfense ? Est-elle suffisante ?

- le SPF Justice est-il suffisamment informé des projets de l'UE en matière de cyberdéfense ?Le SPF Affaires étrangères est-il adéquatement impliqué ?

7) Comment se passe la collaboration en matière de cyberdéfense avec l'Intérieur, l'Économie, la Politique scientifique et la Défense, ? L'a-t-on formalisée pour que le CERT et le SPF Justice puissent réagir en temps utile à un incident ?

8) Quels sont les secteurs prioritaires du projet de cyberdéfense et quels acteurs s'occupent-ils de quels secteurs ?

9) Que peut faire le gouvernement pour réduire la vulnérabilité de notre pays ? Met-on en œuvre une stratégie coordonnée de cyberdéfense?

10) Quel rôle le Comité ministériel du renseignement et de la sécurité joue-t-il dans la coordination du rôle des services de renseignement dans le projet de cyberdéfense ?

11) Le Comité R s'inquiète de la gestion du personnel des services de renseignement et de l'insuffisance des moyens qui permettraient d'engager du personnel qualifié. Le département du ministre est-il confronté au même problème ?

12) Le département partage-t-il le souci d'augmenter les possibilités de neutraliser les cyberattaques, au lieu de ne pouvoir réagir qu'a posteriori et défensivement ?

13) Combien de fois le SPF Affaires étrangères et ses postes extérieurs ont-ils été confrontés à des cyberattaques ? Quand se sont-elles produites et l'information dérobée peut-elle être qualifiée de sensible ? Quelles mesures a-t-on prises depuis lors ?

14) Quelles infrastructures, identifiées par le SPF Affaires étrangères comme critiques et sensibles, sont-elles privilégiées en matière de cyberdéfense ?

17) Depuis sa création, combien d'incidents cybercriminels le CERT a-t-il signalés au département des Affaires étrangères ?

- Je souhaite une ventilation des incidents selon les catégories normaux - sérieux -majeurs, avec quelques exemples pour chacune.

- Combien d'incidents examine-t-on actuellement ?

- Pour combien d'entre eux l'enquête est-elle clôturée et le dossier a-t-il été transmis à la Justice ? Pour combien a-t-il fallu une enquête interdépartementale ?

- Pour combien d'entre eux l'enquête ne peut-elle pas se poursuivre ? Combien d'incidents a-t-on classés en raison d'une mauvaise transmission de l'information ?

Réponse reçue le 5 mars 2012 :

  1. En ce qui concerne les recommandations adressées aux États membres, je puis vous informer que la Belgique a mis en place un CERT au niveau national, le « Belgian National Computer Emergency Response Team ».

    Aucun exercice de planification de contingences n’a par contre été réalisé au niveau national.

  2. L’UE et l’Organisation du Traité de l'Atlantique nord (OTAN) ont développé des capacités dans le domaine de la sécurité cybernétique mais chaque organisation a une optique qui lui est propre. Des liens existent entre les deux organisations dans le domaine de la sécurité cybernétique. Une collaboration accrue pourrait toutefois être mutuellement bénéfique. La Belgique plaide en ce sens au sein des deux organisations.

  3. Il convient de se référer en première instance à la réponse du premier ministre. La sécurité doit être constamment adaptée aux moyens sans cesse changeants des cyberpirates et à l'évolution des systèmes. Les normes européennes sont mises en oeuvre au sein de notre Service publique fédéral (SPF) pour autant qu'elles soient prévues pour les informations contenues dans le réseau concerné.

  4. Il convient de se référer à la réponse du premier ministre. Diverses mesures sont prises afin de garantir la continuité des services critiques, mais il n'existe pas encore de Disaster Recovery Plan global.

  5. Notre SPF dispose depuis longtemps déjà d'un « Chief Security Officer » qui, parallèlement à d'autres tâches, coordonne les différents services chargés de la sécurité. Il fait rapport au Président du Comité de direction.

  6. Il n'existe pas de projet de cyberdéfense, la question est donc sans objet.

  7. La collaboration en matière de cyberdéfense entre les différents SPF est très développée, ainsi qu'avec le CERT et s'opère pour une part au travers d'organes officiels. Une collaboration est également mise en place dans ce domaine avec les organisations internationales, comme l'UE.

  8. Il n'existe pas de projet de cyberdéfense, la question est donc sans objet.

  9. Il convient de se référer à la réponse du premier ministre.

  10. Il convient de se référer à la réponse du premier ministre.

  11. Etre efficace nécessite aussi bien un soutien externe, des normes externes, une coordination et une politique claire et bien documentée que des moyens internes suffisants. Ces derniers supposent également le choix des justes priorités. Tous ces éléments ne sont pas toujours suffisamment présents.

  12. Étant donné la sensibilité des données traitées, pouvant provenir de l'intérieur du pays ou d'un pays partenaire, et de l'importance pour la Belgique de ne pas divulguer prématurément des positions de négociation, la sécurisation doit être optimale. Les évolutions internationales et techniques nous forceront à prendre des mesures très énergiques.

  13. Il est constamment fait état de divers incidents de sécurité, fort différents en termes d'importance et de complexité. Une partie de ceux-ci peuvent très certainement être qualifiés de cyberattaques, au regard de la définition de ce terme. Or, étant donné que les techniques utilisées sont semblables aux formes plus générales de cybercriminalité, il est très difficile – comme le fait remarquer l'honorable membre – non seulement d'identifier les véritables auteurs, mais également d'établir avec certitude l'objectif visé par les auteurs. D'où la quasi impossibilité de quantifier l'un ou l'autre.

    Il n'est pas exclu que des informations assez sensibles aient été obtenues. En fonction des incidents, des mesures circonstanciées sont prises qui constituent une réaction à la nature de l'incident, et des questions fondamentales sont également posées. Le SPF travaille en permanence à l'amélioration de la sécurité de son réseau sur la base des règles et normes internationales et des meilleures pratiques généralement reconnues.

  14. Il convient de se référer à la réponse du premier ministre. Notre SPF considère que les structures les plus critiques sont celles nécessaires à la réalisation de sa mission, en tenant compte de l'impact que pourrait avoir un incident sur sa mission.

  15. Les avertissements du CERT sont disponibles sur leur site web public. Le CERT ne fournissant ni suivi ni monitoring des réseaux de notre SPF, c'est à ce dernier qu'il appartient de signaler certains incidents au CERT afin de bénéficier de conseils et de soutien supplémentaires. Cette pratique est fréquente, mais, inversement, aucun incident ne nous a été signalé.