Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-4320

de Karl Vanlouwe (N-VA) du 28 décembre 2011

au ministre de la Défense

Attaques et délinquance informatiques - Protection informatique - Organisation du Traité de l'Atlantique Nord (OTAN) - Computer Emergency Response Team (CERT) - Cas particulier de la Défense

criminalité informatique
protection des données
Comités permanents de contrôle des services de police et de renseignements
Institut belge des services postaux et des télécommunications
OTAN
défense stratégique
Belnet
protection des communications
espionnage

Chronologie

28/12/2011Envoi question
25/1/2012Réponse

Réintroduction de : question écrite 5-3123

Question n° 5-4320 du 28 décembre 2011 : (Question posée en néerlandais)

La veille du sommet européen du 22 mars 2011, la Commission européenne et le Service européen pour l'action extérieure (SEAE) ont été touchés pour une cyberattaque, jugée particulièrement grave car elle visait spécialement des directions générales et des fonctionnaires de la Commission européenne.

Dès 2009, la Direction de la Sécurité de la Commission avait établi un plan d'action contre les cyberattaques. Les États membre y étaient priés de créer à l'horizon 2012 un Computer Emergency Response Team capable de détecter les logiciels malveillants. En Belgique, le Computer Emergency Response Team (CERT) est actif depuis 2010 et on s'affaire actuellement à le rendre progressivement opérationnel.

Le CERT remplit sa mission en collaboration et en synergie avec d'autres instances, telles l'IBPT, les Computer Crime Units, le Service public fédéral (SPF) Justice et le Ministère de la Défense. Selon une concertation antérieure, la collaboration entre ces acteurs devait cependant encore être formalisée. Un groupe de travail pour la gestion des incidents serait en train d'élaborer une proposition réglant la coopération entre les divers intervenants fédéraux.

Ces dernières années, les États-Unis ont connu des cyberattaques visant notamment le Sénat, l'avionneur Lockheed Martin et le Pentagone. En mars, 24 000 documents secrets ont été volés chez ce dernier. Google a pu établir que leur messagerie électronique Gmail avait été piratée par des ordinateurs chinois et que les pirates sont parvenus à s'infiltrer dans le réseau du Pentagone par l'intermédiaire des courriels personnels de militaires.

Dans la première Stratégie du Cyberespace, le Pentagone déclare que le cyberespace sera traité comme un domaine opérationnel à l'instar des activités terrestre, maritime, aérienne et spatiale. Selon la Stratégie, la protection des infrastructures critiques contre les cyberattaques extérieures nécessitera une collaboration entre la Défense, l'Intérieur et le secteur privé. Le Pentagone ajoute qu'il coopérera avec les alliés de l'OTAN pour développer une cyberdéfense collective.

L'OTAN a évoqué pour la première fois les cyberattaques dans la déclaration de Lisbonne (novembre 2010) :

« Les cybermenaces se multiplient rapidement et sont de plus en plus sophistiquées. Pour que l'OTAN puisse accéder au cyberespace en permanence et sans entrave, et afin de garantir l'intégrité de ses systèmes critiques, nous tiendrons compte de la dimension informatique des conflits modernes dans la doctrine de l'OTAN, et nous renforcerons la capacité de l’Alliance à détecter et à évaluer les cyberattaques dirigées contre des systèmes revêtant pour elle une importance critique, à les prévenir, à s’en défendre et à s’en relever. (...) L'OTAN travaillera en étroite collaboration avec d'autres acteurs, tels que l’ONU et l'UE. »

C'est pourquoi l'OTAN veut que la Capacité de réaction aux incidents informatiques (NCIRC) soit complètement opérationnelle d'ici 2012, et que tous ses services soient chapeautés par la structure centrale de la Cyber Defence Management Authority (CDMA), qui sécuriserait tous les systèmes de communication et d'information et offrirait un soutien individuel en cas de cyberattaque ponctuelle.

Inutile de souligner que l'internet et les systèmes informatiques intégrés, nationaux et internationaux, sont cruciaux pour le fonctionnement d'un pays. Les États-Unis d'Amérique ont récemment estimé qu'une cyberattaque peut être considérée comme une attaque contre le pays, et tombe par conséquent sous la clause de légitime défense collective contenue (art. 4 & 5) dans le Traité de l'Atlantique Nord. C'est possible par exemple lorsque la cyberattaque vise des informations sensibles ou des réseaux électriques essentiels. Il faut s'interroger sur la réponse à apporter à une cyberattaque.

Le Comité R a publié le 24 août 2011 un rapport sévère à l'égard de la politique fédérale en matière de protection informatique. Il affirme que l'absence d'action fédérale globale en ce domaine rend notre pays particulièrement vulnérable aux attaques contre ses systèmes et ses réseaux d'information vitaux.

Aujourd'hui, plusieurs instances fédérales se préoccupent de sécuriser les systèmes informatiques : l’Autorité nationale de sécurité (ANS), Fedict, le fournisseur d'internet fédéral BelNET et l’Institut belge des services postaux et des télécommunications (IBPT). Toutefois, selon le rapport, aucune d'entre elles ne dispose d'un panorama complet de l'infrastructure critique des systèmes informatiques.

Le Comité R s'inquiète aussi de la gestion du personnel des services de renseignement et de l'insuffisance des moyens qui permettraient d'engager du personnel qualifié.

Enfin, le Comité R observe que la législation belge ne permet de neutraliser des systèmes hostiles étrangers qu'en cas de cyberattaque sur les systèmes de la Défense. Si les attaques visent d'autres SPF ou d'autres infrastructures critiques nationales, on ne peut réagir qu'a posteriori et défensivement, sans pouvoir neutraliser l'assaillant.

Je souhaiterais apprendre du ministre :

1) Quel est le rôle de notre pays dans la définition de la cyberstratégie de l'OTAN ? Qu'a-t-on déjà réalisé ? Le ministre suit-il la Capacité de réaction aux incidents informatiques (NCIRC) ou la Cyber Defence Management Authority (CDMA) de l'OTAN ?

2) Dans quelle mesure les mesures de cyberprotection de l'UE (CERT) et de l'OTAN (NCIRC) sont-elles parallèles et quels sont les points de collaboration ? Dans notre pays, qui coordonne cette collaboration et quels en sont les acteurs ?

3) Le ministre pense-t-il qu'une cyberattaque sur un pays peut être assez grave pour tomber sous le coup des articles 4 et 5 du traité OTAN, autrement dit, être considérée comme une attaque sur tous les États membres de l'OTAN et conduire à des mesures collectives de défense de l'Alliance ?

4) D'après les normes de l'OTAN, la Défense et les services du parlement et du gouvernement fédéraux sont-ils adéquatement protégés contre les cyberattaques ? Quelles normes de sécurité observe-t-on et pourquoi ?

5) Existe-t-il un « Disaster Recovery Plan » en guise de position de repli si les systèmes critiques de notre pays étaient victimes d'une cyberattaque ?

6) Le département du ministre a-t-il déjà désigné un conseiller à la coordination de la sécurité informatique ? Quelle est sa mission et à qui rapporte-t-il ?

7) Comment se déroule la collaboration avec le SPF Justice, lequel coordonne le projet de cyberdéfense ? Le ministre trouver-t-il logique que le SPF Justice le dirige ? Prend-on assez d'initiatives et se concerte-t-on suffisamment ?Respecte-t-on encore les délais prévus ?

- Quel rôle joue la Défense en cette matière ?

- À quelle fréquence annuelle les représentants de la Défense se réunissent avec ceux du SPF Justice pour parler de cyberdéfense ? Est-elle suffisante ?

- le SPF Justice est-il suffisamment informé des projets de l'UE et de l'OTAN en matière de cyberdéfense ? La Défense est-elle adéquatement impliquée ?

8) Comment se passe la collaboration en matière de cyberdéfense avec l'Intérieur, la Défense, Fedict, l'Économie, la Politique scientifique et les Affaires étrangères ? L'a-t-on formalisée pour que le CERT et le SPF Justice puissent réagir en temps utile à un incident ?

9) Quels sont les secteurs prioritaires du projet de cyberdéfense et quels acteurs s'occupent-ils de quels secteurs ?

10) Que peut faire le gouvernement pour réduire la vulnérabilité de notre pays ? Met-on en œuvre une stratégie coordonnée de cyberdéfense?

11) Quel rôle le Comité ministériel du renseignement et de la sécurité joue-t-il dans la coordination du rôle des services de renseignement dans le projet de cyberdéfense ?

12) Le Comité R s'inquiète de la gestion du personnel des services de renseignement et de l'insuffisance des moyens qui permettraient d'engager du personnel qualifié. Le département du ministre est-il confronté au même problème ?

13) Le département partage-t-il le souci d'augmenter les possibilités de neutraliser les cyberattaques, au lieu de ne pouvoir réagir qu'a posteriori et défensivement ?

14) À combien de reprises le Service général du renseignement et de la sécurité (SGRS) a-t-il invité les acteurs concernés à parler de cyberdéfense ? Combien de fois était-ce en réaction à une cyberattaque ? Je souhaiterais connaître les chiffres depuis que la Défense s'en occupe.

15) Combien de fois des documents de la Défense ont-ils été volés à la suite d'une cyberattaque ? Quand cela s'est-il produit, de quels documents s 'agissait-il et quel était leur niveau de sensibilité ? Quelles mesures a-t-on prises ?

16) Quelles infrastructures, identifiées par la Défense comme critiques et sensibles, sont-elles privilégiées en matière de cyberdéfense ?

17) Depuis sa création, combien d'incidents cybercriminels le CERT a-t-il signalés à son département ?

- Je souhaite une ventilation des incidents selon les catégories normaux - sérieux -majeurs, avec quelques exemples pour chacune.

- Combien d'incidents examine-t-on actuellement ?

- Pour combien d'entre eux l'enquête est-elle clôturée et le dossier a-t-il été transmis à la Justice ? Pour combien a-t-il fallu une enquête interdépartementale ?

- Pour combien d'entre eux l'enquête ne peut-elle pas se poursuivre ? Combien d'incidents a-t-on classés en raison d'une mauvaise transmission de l'information ?

Réponse reçue le 25 janvier 2012 :

L’honorable membre est prié de trouver ci-dessous la réponse à ses questions.

Je prie l’honorable membre de se référer à la réponse du premier ministre pour les questions relatives à la politique fédérale en la matière, c’est –à –dire les questions portant les numéros 3, 4, 5, 7, 8, 9, 10, 11 et 17.

1. La Belgique participe activement aux réunions Cyber du Defence Policy and Planning Committee et à l’Information Assurance & Cyber Defence Capability Panel.

Le Nato Computer Incident Response Capability (NCIRC) et la Cyber Defence Management Authority (CDMA) sont des organes où les nations ne sont pas représentées. Le NCIRC fait partie du NATO CIS Services Agency, la CDMA est une autorité qui rapporte au Command, Control & Communication (C3) Board.

La capacité Cyber Defence de la Défense travaille étroitement avec le NCIRC, à l’identification des failles et au traitement des incidents de sécurité.

2. Les mesures de défense cyber de l’Union européenne (UE) et de l’OTAN existent en majeure partie en parallèle. Il existe au sein de l’OTAN et de l’ UE des tentatives prudentes de rapprochement au niveau État-major. Certaines nations PfP qui sont membres de l’UE (AUT, FIN, IRL, SWE) seront bientôt plus étroitement associées aux discussions OTAN (ainsi que AUS, CHE en NZL). Le plan d’action Cyber Defense de l’OTAN prévoit également un certain nombre de points de rapprochement pour des initiatives communes OTAN/ UE.

Le mandat du CERT-UE concerne les mesures de défense cyber des institutions européennes. Ce service collabore avec les autres CERT’s pour ce qui est du développement de sa capacité technique et organisationnelle mais également opérationnelle en échangeant des informations concernant les failles IT et les menaces. Dans ce cadre, il travaille également avec le NCIRC.

Le CERT-UE collabore avec les entités belges suivantes: CERT.BE (Belnet), CERT Défense et Federal Computer Crime Unit (FCCU). Le NCIRC (OTAN) collabore principalement sur le plan belge avec le CERT Défense.

6. La responsabilité au sein de la Défense pour la sécurité des informations et des systèmes de communication et d’information est déterminée par la loi du 30 novembre 1998 organique des services de renseignement et de sécurité. De par cette loi, le Service Général du Renseignement et de la Sécurité (SGRS) a, entre autres, la mission de veiller à la sécurité des systèmes de communication et d’information et au maintien du secret au sein de la Défense. Le Service Général du Renseignement et de la Sécurité rapporte au Chef de la Défense et au ministre de la Défense.

12. Depuis 2006, la Défense investit dans la réalisation de sa propre capacité de Cyber Defence. C’est un défi, comme pour tous les services nationaux et étrangers, de trouver et de conserver du personnel qualifié. Comme tous les services publics, la Défense est soumise à des contrôles financiers, à des procédures de recrutement et à des règles fédérales.

13. Le parlement a élargi les compétences du Service Général du Renseignement et de la Sécurité et a créé la possibilité, dans le cadre de cyber attaques contre les systèmes informatiques et de communication militaires ou contre des systèmes que le ministre de la Défense gère, de neutraliser l’attaque et d’en identifier les auteurs, sans préjudice du droit de réagir immédiatement par une propre cyber attaque conformément aux dispositions du droit des conflits armés.

14. Via la plateforme de concertation pour la sécurité de l’information (BELNIS), les groupes de travail connexes et des canaux d’information spécifiques, le Service Général du Renseignement et de la Sécurité est mensuellement en contact avec les parties concernées. Si le service dispose d’informations qui peuvent être importantes pour les autres services, celles-ci sont immédiatement partagées. En 2011, le Service Général du Renseignement et de la Sécurité a invité toutes les parties afin de partager les informations classifiées au sujet d’un cyber incident.

15. Il y a fréquemment des tentatives d’intrusion sur le réseau avec un accès internet. Dans la plupart des cas, il s’agit d’un malware commun grâce auquel, pour des raisons commerciales, un essaie de voler de l’information dans un nombre élevé de systèmes. Aucune intrusion n’a été constatée sur des systèmes traitant d’informations classifiées.

16. La Défense accorde une attention particulière aux systèmes qui traitent des informations classifiées et aux systèmes utilisés en soutien des opérations militaires.