Les cyberexercices et Belgocybex
protection des données
criminalité informatique
25/6/2013 | Envoi question |
22/7/2013 | Réponse |
Requalification de : demande d'explications 5-3643
Les cyberexercices sont des instruments importants pour évaluer la capacité de réaction d'une société toujours plus dépendante des communications électroniques. En simulant des perturbations techniques, on peut contrôler la réaction des infrastructures critiques comme l'énergie, les transports, les finances et les communications électroniques à des situations de crise.
En 2009, la Commission européenne a déjà incité les États membres à organiser régulièrement des cyberexercices afin de s'exercer à réagir à des incidents de sécurité de grande ampleur et à se préparer à une situation de « disaster recovery » en vue de sécuriser les infrastructures critiques en matière d'information, comme cela a été décrit dans la « Critical Information Infrastructure Protection » COM(2009)-149 de la Commission européenne.
L'Agence européenne chargée de la sécurité des réseaux et de l'information, l'ENISA, a analysé 85 cyberexercices qui ont eu lieu entre 2002 et 2012 dans 22 pays européens. Son rapport d'octobre 2012 révèle que 43 % des exercices ont duré un jour, 32 % ont duré deux à trois jours et 19 % ont pris plus de trois jours. L'ENISA souligne en même temps l'importance de l'implication du secteur privé dans ces exercices. Les secteurs public et privé ont collaboré dans 57 % des exercices, et dans 41 % des cas, il s'agissait d'un exercice public.
L'ENISA décrit huit cyberexercices différents, d'un simple « desk check » visant à contrôler les procédures de crise aux « full simulation exercices » sophistiqués qui soumet les participants à la pression d'un scénario de crise se développant en temps réel.
Mes questions au secrétaire d'État sont les suivantes.
1) Quelles détails pouvez-vous donner sur les cyberexercices auxquels la Belgique a participé ? (durée, quels acteurs publics sont impliqués, objectifs, …) ?
2) Le secteur privé a-t-il aussi été impliqué dans l'exercice Belgocybex ? Pourquoi l'a-t-il été ou ne l'a-t-il pas été ?
3) À quel type de cyberexercice Fedict a-t-il participé ? (CF. ENISA : Desk check, Comms check, Walk through, Workshop, Table-top, Distributed table-top, Command post en Full-simulation) ?
4) Comment évaluez-vous les trois cyberexercices auxquels l'autorité a participé ? Quelles leçons en ont-elles été tirées ?
5) Un calendrier a-t-il déjà été élaboré pour l'organisation et la participation à des cyberexercices nationaux et internationaux durant les prochaines années ? Sera-t-il aussi question d'une collaboration du public et du privé ?
1) La Belgique a participé aux exercices qui ont été organisés au niveau européen par l’ENISA, notamment Cyber Europe 2010 et 2012 et EuroSOPEx régional en 2012. Ces exercices devaient juger les capacités de collaboration des états membres en cas d’un incident sérieux et renforcer la confiance entre les différents services participants. Les deux exercices ont chacun duré une journée. Pour la Belgique les services suivants ont participé à cet exercice: Computer Emergency Response Team (CERT).be ,l’Institut belge des services postaux et des télécommunications (IBPT), le FCCU, le centre de crise, la Défense et lr Service public fédéral Technologie de l'information et de la communication (FEDICT)
La Belgique (Cert.be et l’IBPT) a également participé à l’exercice Cyberatlantic, organisé de concert par l’Europe et les États Unis.
D’autres exercices ont également été réalisés dans le cadre de l’OTAN, pour lesquels les services de la Défense sont compétents.
La Belgique a également développé et exécuté l’exercice BelgoCybex 2012. L’objectif de cet exercice était d’évaluer la capacité de réaction de la Belgique en cas d’incidents ICT de grande envergure. Cet exercice a été développé et exécuté de concert par Cert.be, l’IBPT, le FCCU, le centre de crise, la Défense et Fedict, sous la coordination de Fedict.
2) Le secteur privé n’a pas été impliqué lors du BelgoCybex étant donné que cet exercice était la première évaluation de la procédure de gestion des incidents. Nous avons tout d’abord voulu examiner si les mécanismes de collaboration de l’administration rendent possible une réaction efficace et, le cas échéant, les adapter avant d’impliquer le secteur privé lors d’un prochain exercice.
3) Fedict était responsable de la préparation et a également participé aux exercices Cyber Europe 2010 et BelgoCybex. Fedict a participé à EuroSOPEx. Ces exercices étaient de type ‘distributed table top’ avec simulation d’incidents.
4) Lors de ces exercices nous n’avons pas seulement pu évaluer la façon dont nous pouvons collaborer entre nous, mais également la façon dont nous pouvons collaborer avec nos collègues européens. Nous avons pu identifier les aspects susceptibles d’amélioration. Nous avons aussi pu définir une série d’outils et de fonctionnalités dont nous devrions disposer afin de garantir une collaboration efficace. Les enseignements les plus importants tirés au niveau belge concernaient l’évaluation des incidents et la structuration de la communication entre les différents services.
5) Un exercice européen, CyberEurope 2014, est prévu et est actuellement planifié pour octobre 2014. Fedict participe aux travaux préparatoires. Au niveau belge, nous envisageons de faire participer un nombre de key-players du secteur des télécommunications, du secteur financier et de l’énergie. Nous devons encore contacter les autorités sectorielles compétentes afin d’évaluer si une telle participation est selon elles faisable et quels seraient alors les acteurs potentiels.
Nous envisageons également de faire un nouvel exercice belge. La date, les objectifs et les modalités n’ont jusqu’à présent pas encore été déterminés.