Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 6-1068

de Martine Taelman (Open Vld) du 25 octobre 2016

au secrétaire d'État à la Lutte contre la fraude sociale, à la Protection de la vie privée et à la Mer du Nord, adjoint à la ministre des Affaires sociales et de la Santé publique

Rançongiciels - Chiffres pour la Belgique - Succès du projet « No more ransom » - Centre européen de lutte contre la cybercriminalité - Projets concrets belges préventifs et curatifs - Adhésion de la Belgique au projet « No more ransom »

criminalité informatique
virus informatique

Chronologie

25/10/2016Envoi question (Fin du délai de réponse: 24/11/2016)
24/11/2016Réponse

Aussi posée à : question écrite 6-1067

Question n° 6-1068 du 25 octobre 2016 : (Question posée en néerlandais)

Je me réfère au projet No more ransom de la police néerlandaise, d'Europol, d'Intel Security et de Kaspersky Lab. Le projet offre une assistance aux internautes victimes de hackers qui prennent des fichiers en otage et exigent une rançon.

Le site www.nomoreransom.org propose sept programmes en guise d'antidote aux techniques connues de verrouillage de fichiers ou d'ordinateurs. Le site permet aux victimes de déterminer de quel type de rançongiciel («ransomware») il s'agit et quels sont les remèdes possibles.

Aux Pays-Bas, le projet anticybercriminalité «No more ransom» est déjà venu en aide à 2 500 personnes durant les deux mois qui ont suivi son lancement. Les victimes ont ainsi économisé 1,35 millions d'euros, selon la police.

Le 8 juillet 2016, on a appris que 2 000 entreprises s'étaient déclarées victimes d'un rançongiciel, un logiciel qui bloque un ordinateur. L'utilisateur ne peut le débloquer qu'en payant une rançon. Les rançongiciels coûtent beaucoup d'argent à nos entreprises.

Un nombre toujours croissant de pays s'associent à l'initiative. Il s'agit de la Bosnie, de la Bulgarie, de la Colombie, de l'Espagne, de la France, de la Hongrie, de l'Irlande, de l'Italie, de la Lettonie, de la Lituanie, du Portugal, du Royaume-Uni et de la Suisse.

Quant au caractère transversal de la question: les différents gouvernements et les chaînons du système de sécurité sont d'accord sur les phénomènes contre lesquels il faudra lutter en priorité ces quatre prochaines années. Ils sont définis dans la note cadre de Sécurité intégrale et le Plan national de sécurité pour la période 2016-2019, et ont été débattus lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La présente question porte sur une compétence transversale régionale, le rôle des Régions étant surtout lié au volet préventif.

Je souhaiterais une réponse aux questions suivantes:

1) Pouvez-vous indiquer combien de cas de rançongiciel ont été communiqués aux autorités ces trois dernières années? Le cas échéant, pouvez-vous ventiler ces chiffres entre les plaintes déposées par des entreprises et celles portées par des particuliers, puisque la Federal Computer Crime Unit a déjà diffusé les données relatives aux entreprises? Pouvez-vous estimer le préjudice économique? Disposez-vous de chiffres sur les dommages subis par notre économie en raison de rançongiciels?

2) Comment réagissez-vous au succès du projet No more ransom de la police néerlandaise, Europol, Intel Security et Kaspersky Lab?

3) Pouvez-vous dresser l'inventaire des projets concrets, préventifs et curatifs, que notre pays mène contre les rançongiciels?

4) Comment réagissez-vous à l'appel à s'associer à ce projet que le Centre européen de lutte contre la cybercriminalité lance à tous les services policiers nationaux? Pouvez-vous dire si notre pays y participera et préciser très concrètement le calendrier et le budget?

Réponse reçue le 24 novembre 2016 :

Concernant vos questions relative au « ransomware », je renvoie l'honorable membre à mon collègue, le ministre de la Sécurité et l’Intérieur, ministre de tutelle de la police et de la Computeur Crime Unit (CCU), compétent en la matière.

Pour ce qui relève de ma compétence, je viens d’adopter avec mes collègues européens le règlement européen 2016/679 sur la protection des données qui impose, à l’article 32, la mise en œuvre de mesures techniques et organisationnelles par le responsable du traitement et le sous-traitant afin de garantir un niveau de sécurité adapté au risque. Parmi celles-ci : la pseudonymisation et le chiffrement des données à caractère personnel, des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique et une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. En outre, leur mise en œuvre dépend de l'état des connaissances, les coûts de mise en œuvre et la nature, la portée, le contexte et les finalités du traitement ainsi que les risques pour les droits et libertés des personnes physiques. Le respect de ces exigences peut être démontré par l’application d’un code de conduite ou d’un mécanisme de certification approuvé.

L’article 35 du règlement européen impose en outre que pour les traitements à risque, le responsable du traitement et le sous-traitant effectuent une analyse d’impact relative à la protection des données, décrivant les mesures de sécurité. Cette analyse d’impact doit être communiquée à la Commission de la protection de la vie privée, qui peut imposer des mesures de sécurité supplémentaire.

Enfin, les articles 33 et 34 imposent au responsable du traitement et au sous-traitant de notifier dans les septante-deux heures aux autorités de protection des données et aux personnes concernées toute violation de données à caractère personnel, en indiquant les faits et les mesures prises pour y remédier.