Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 7-1312

de Tom Ongena (Open Vld) du 22 juillet 2021

au vice-premier ministre et ministre de la Justice et de la Mer du Nord

Cybersécurité - Électricité verte - Bornes de recharge - Panneaux solaires - Réseau d'électricité - Sécurité - Mesures

piratage informatique
criminalité informatique
énergie électrique
sécurité des systèmes d'information
réseau énergétique
matériel électrique

Chronologie

22/7/2021Envoi question (Fin du délai de réponse: 26/8/2021)
8/9/2021Réponse

Aussi posée à : question écrite 7-1313

Question n° 7-1312 du 22 juillet 2021 : (Question posée en néerlandais)

Aux Pays-Bas, l'«Agentschap Telecom» (AT – Agence des télécommunications) a lancé une mise en garde contre la vulnérabilité du réseau d'électricité. Le développement de l'électricité verte et l'intégration de plus en plus poussée dans le réseau TIC qui l'accompagne rendent le système plus vulnérable aux pirates informatiques (cf. https://nos.nl/artikel/2388977-hackers-kunnen-stroomnet-saboteren-via-zonnepaneel-en-laadpaal).

Les pirates pourraient déséquilibrer, voire carrément détourner à leur profit et paralyser la fourniture électricité. La directrice de l'AT souligne que les producteurs, utilisateurs et fournisseurs de nouveaux services et d'appareils dits intelligents (comme les bornes de recharge) ne sont pas suffisamment conscients des risques.

Les bornes de recharge, dont certaines sont accessibles librement en rue et sont reliées au réseau local, constituent dès lors des cibles potentielles pour les pirates. Il en est de même du logiciel qui régule les panneaux solaires. Si le panneau d'un ménage individuel est piraté, cela ne posera guère de problèmes sur le réseau. Mais il en va autrement lorsque c'est le logiciel de commande des panneaux qui est attaqué. Dans les cas extrêmes, on pourrait compromettre l'approvisionnement énergétique sur une grande échelle, en particulier en cas d'action massive et coordonnée des pirates.

L'inquiétude ressentie aux Pays-Bas n'est pas sans fondement. Dans l'ouest des États-Unis, le réseau d'électricité a déjà été la cible d'un piratage voici deux ans déjà (cf. https://www.eenews.net/stories/1061111289). Bien que les dommages aient été limités, cet épisode a incité tant les services de sécurité que le fournisseur d'électricité concerné à redoubler de vigilance.

La Russie a déjà eu recours à cette technique par le passé. En 2015, le réseau d'électricité ukrainien a été paralysé pendant plusieurs heures à la suite d'une cyberattaque. Près de quatre-vingt-mille personnes ont été privées d'électricité pendant six heures (cf. https://www.reuters.com/article/us-ukraine-cybersecurity-sandworm-idUSKBN0UM00N20160108).

En ce qui concerne le caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une compétence transversale partagée avec les Régions, celles-ci intervenant surtout dans le volet préventif.

Je souhaiterais poser les questions suivantes au/à la ministre.

1) Dans quelle mesure notre réseau d'électricité est-il protégé contre d'éventuelles (cyber)attaques extérieures ? Des attaques ont-elles déjà eu lieu ? Si oui, pouvez-vous préciser le nombre d'attaques lancées contre notre réseau d'électricité ou la production ? Ces attaques ont-elles réussi ?

2) De quelles manières les services de sécurité et autres garantissent-ils la sécurité de nos réseaux d'électricité ? L'électricité que nous importons de l'étranger a-t-elle une influence sur la sécurité de nos réseaux ?

3) Combien de problèmes de sécurité le système de recharge intelligente pose-t-il ?

4) Que peuvent faire les consommateurs pour garantir la sécurité de leurs stations de recharge, panneaux solaires et autres appareils électriques connectés ? Comment les pouvoirs publics peuvent-ils les y aider ?

5) Existe-t-il des projets visant à renforcer la sécurité des bornes de recharge (surtout publiques) et autres appareils de ce genre ? Pourquoi (pas) ?

Réponse reçue le 8 septembre 2021 :

De façon générale pour cette question, je me dois de vous renvoyer à la direction générale de l’Énergie du Service public fédéral (SPF) Économie. En effet, cette dernière dispose d’une vue d’ensemble des services compétents aux niveaux fédéral et régional. Le Centre de crise, sous la tutelle de la ministre de l’Intérieur, pourra également vous éclairer sur les mesures concrètes visant à assurer la sécurité de nos infrastructures critiques.

En ce qui concerne la Justice, on peut apporter les réponses suivantes aux questions posées :

1) La sécurisation du réseau électrique belge ne relève pas de la compétence de la Justice. Cette expertise se situe plutôt au niveau des producteurs d’électricité, des gestionnaires de réseau, du Centre de crise (NCCN), du Centre pour la Cybersécurité (CCB) ainsi que des autorités régionales et fédérales compétentes.

2) La Sûreté de l'État (VSSE) recueille des renseignements sur les menaces (telles que l’espionnage, l’ingérence ou le terrorisme) contre les intérêts fondamentaux tels que la sûreté intérieure et extérieure du pays et le potentiel scientifique et économique belge. Si des informations pertinentes sur des menaces contre les sources d’alimentation électrique belges sont détectées, elles sont partagées avec les institutions compétentes (comme le SPF Économie, le NCCN, les producteurs et distributeurs d’électricité concernés ainsi que les ministres de tutelle).

3) L’objet de cette question ne relève pas non plus de la compétence de la Justice.

4) La Justice ne dispose pas de l’expertise pour pouvoir fournir ce type d’avis. Des mesures de protection de base telles que l’installation adéquate de mises à jour de sécurité et une politique de mots de passe solide pour les appareils connectés à Internet constituent évidemment un premier pas positif.

5) La Justice n’a pas connaissance de projet visant à prendre de telles mesures de sécurité complémentaires.