Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-8183

de Karl Vanlouwe (N-VA) du 19 février 2013

au secrétaire d'État à la Fonction publique et à la Modernisation des Services publics, adjoint au ministre des Finances et du Développement durable, chargé de la Fonction publique

Projet de cyberdéfense - Cyberstratégie fédérale - Relations de coopération - Normes de sécurité - Disaster Recovery Plan - Personnel - Proactivité - Fedict - Cyberattaques

criminalité informatique
protection des données
parlement
ministère

Chronologie

19/2/2013Envoi question
15/3/2013Réponse

Question n° 5-8183 du 19 février 2013 : (Question posée en néerlandais)

Le 20 novembre 2012, les médias ont fait état des premiers détails de la note fédérale tant attendue sur la cyberdéfense. Les quotidiens De Tijd et De Standaard ont ainsi mentionné l'existence de plans pour la fondation d'un « centre pour la cybersécurité » relevant de la coordination fédérale. Ce centre aurait également pour mission d'inciter les citoyens et les entreprises à être plus attentifs à la sécurité sur Internet. Il compterait une vingtaine d'experts, suivrait tous les incidents informatiques survenus dans ce pays et serait responsable de la politique fédérale en matière de cyberattaques.

Vint ensuite l'annonce d'une décision prise le 21 décembre par le conseil des ministres, à savoir l'élaboration d'une cyberstratégie concrétisant une politique fédérale de sécurité pour les réseaux et les systèmes informatiques en Belgique, politique qui garantit la protection de la vie privée. « La cyberstratégie belge a pour objectif d’identifier la cybermenace, d’améliorer la sécurité et de pouvoir réagir aux incidents. Ce projet est né du travail de la plateforme de concertation pour la sécurité de l’information BelNIS (Belgian Network Information Security). Le Conseil des ministres a chargé le premier ministre de la mise en œuvre de cette stratégie. »

La stratégie repose sur trois objectifs visant à garantir la cybersécurité de la société moderne:

1. L'ambition d'un cyberespace sûr et fiable, respectant les droits et valeurs fondamentaux de la société moderne ;

2. L'ambition d'une sécurisation et d'une protection optimales des infrastructures et des systèmes publics critiques contre la cybermenace ;

3. L'élaboration d'une propre capacité « Cyber Security », garante d'une politique de sécurité indépendante et d'une réaction appropriée aux incidents de sécurité.

J'adresse les questions suivantes au secrétaire d'État:

1) Comment se déroule la coopération avec le service public fédéral (SPF) compétent pour la coordination du projet de cyberdéfense ?

a) De quelle manière Fedict a-t-il été consulté en ce qui concerne l'élaboration d'une cyberstratégie fédérale ? Selon le secrétaire d'État, à quoi ressemblerait la stratégie idéale ?

b) Le SPF Justice est-il toujours compétent pour la coordination ?

c) Quelle influence le cabinet du premier ministre et le Comité ministériel du renseignement et de la sécurité exercent-ils sur la définition de la cyberstratégie ?

2) Dans le cadre de la cyberdéfense, comment se déroule la coopération avec le cabinet du premier ministre, les SPF Intérieur, Économie, Technologie de l'Information et de la Communication (Fedict), Défense, Politique scientifique et Affaires étrangères ? Cette coopération a-t-elle déjà été formalisée de sorte que la CERT et le SPF Justice soient en mesure d'agir à temps en cas d'incidents ?

3) Quelle sera la position du nouveau centre pour la cybersécurité par rapport aux plateformes actuelles de concertation de BelNIS et ISMF (Internet Security and Management Forum) ?

4) Le Parlement fédéral et les services publics fédéraux sont-ils suffisamment protégés contre les cyberattaques selon les normes de l'Union européenne ? Quelles normes de sécurité sont-elles prévues et pourquoi ?

5) Existe-t-il, en guise de plan B, ce que l'on appelle un Disaster Recovery Plan, pour le cas où les systèmes critiques de notre pays seraient victimes d'une cyberattaque ?

a) Cette problématique a-t-elle déjà été traitée au sein de BelNIS et quelle est la situation à ce propos ?

b) Quel est le rôle dévolu à Fedict dans l'élaboration de ce plan d'urgence ?

6) Le Comité R s'est inquiété à plusieurs reprises de la gestion du personnel des services de renseignement et des obstacles financiers au recrutement de personnel qualifié.

a) Le département du secrétaire d'État est-il également confronté à ce problème ?

b) Au sein de Fedict, combien de personnes s'occupent-elles de cybersécurité ? A-t-on, dans ce but, recruté du personnel supplémentaire en 2012 ?

7) Le département du secrétaire d'État est-il partisan d'un plus grand champ de manœuvre qui le mettrait en mesure, au-delà de simples réactions défensives, de neutraliser les cyberattaques ?

a) Selon le secrétaire d'État, cette démarche pourrait-elle aussi être proactive ? Le cas échéant, quand et sous quelle autorité ?

b) L'an dernier, à quelles occasions son département a-t-il été impliqué dans des exercices de cybersécurité, et ce aussi bien sur le plan national qu'international ?

8) Combien de fois les systèmes de Fedict ont-t-ils été victimes de la cybercriminalité en 2012 ?

a) Parmi ces cyberattaques y avait-il également des intrusions avancées ? Quelle est la proportion de cyberintrusions qui avaient pour but explicite l'acquisition d'informations sensibles du secteur public ?

b) Combien d'incidents font-ils actuellement l'objet d'une enquête ?

c) Quel est le nombre d'enquêtes clôturées et de dossiers transmis à la Justice ?

d) Quelle est la procédure actuelle en cas de cyberintrusion dans les systèmes informatiques fédéraux ? Quand interviennent des acteurs comme la CERT, la FCCU et la Justice ?

Réponse reçue le 15 mars 2013 :

1) a+b+c) Suivant la décision du Conseil des ministres du 21 décembre 2012, le premier ministre est chargé de la mise en œuvre de cette stratégie. Il n'y a pas encore de Service public fédéral (SPF) désigné pour coordonner sa mise en œuvre. Le Service public fédéral Technologie de l'information et de la communication (FEDICT) a pris part à l'élaboration de la cyberstratégie fédérale en tant que membre de la plateforme Belnis.

2) Voir la réponse à la question 1

3) Voir la réponse à la question 1

4) Chaque entité fédérale organise sa propre protection. Dans la foulée de la loi du 15 août 2012 relative à la création et à l'organisation d'un intégrateur de services fédéral, Fedict réunira un Information Security Management Forum (ISMF) des conseillers en sécurité de l'information des services publics fédéraux, en vue d'harmoniser les mesures de sécurité. Ce forum fonctionne déjà sur une base volontaire depuis 2011. Les normes ISO de la série 27000, qui constituent les bonnes pratiques de la profession, constituent le référentiel de ces travaux.

5) a+b) Conformément à la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, cette problématique est sectorielle. Pour le secteur des communications électroniques, cette responsabilité relève du « ministre ayant les Communications électroniques dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration ou un membre de l'Institut belge des services postaux et des télécommunications » (article 3 de la loi). Fedict n'est pas l'autorité désignée pour ce secteur. Belnis est informé par l’Institut belge des services postaux et des télécommunications (IBPT) de l'avancement de la mise en œuvre de la loi.

6) a+b) Computer Emergency Response Team (CERT CERT.be, dont l'organisation relève de Fedict conformément à l'arrêté royal du 9 mai 2012, est confronté à cette difficulté. Cette question n’est pas d’application pour Fedict. Au sein de Fedict, 3.2 FTE s’occupent des aspects de cyber-sécurité. En 2012 aucun recrutement en la matière n’a eu lieu.

7) a+b) Dans le cadre de CERT.be, de meilleures capacités de surveillance des réseaux et de détection des attaques potentielles pourraient être mises en place dans le respect des législations existantes. Ces capacités permettraient de mieux informer les cibles potentielles et de préparer des schémas de réponse en cas d’attaque avérée. En 2012, Fedict a encadré l’organisation de l’exercice belge BelgoCybex2012 et y a participé en tant que « player ». Fedict a également participé à l’exercice européen Cyber-Europe 2012 en tant que coordinateur belge et en tant que « player ».

8) a+b+c+d) En 2012, Fedict a fait l'objet de sept tentatives de déni de service sur ses systèmes, aucune tentative d’intrusion n’a été détectée. Pour tous les incidents cités ci-avant, Fedict a introduit une plainte auprès de la Federal Computer Crime Unit (FCCU). Chez Fedict, la règle en vigueur prévoit le dépôt de plainte pour toute attaque sur les systèmes d’information. Tant Cert.be que la FCCU recommandent d'être informés des attaques sur les systèmes d’information.