|
|
Cyberattaques - Acteurs étatiques - Vie privée - Cybersécurité - Chiffres et tendances
guerre de l'information
université
protection des communications
espionnage industriel
sécurité des systèmes d'information
| 2/6/2022 | Envoi question (Fin du délai de réponse: 7/7/2022) |
| 11/7/2022 | Réponse |
Aussi posée à : question écrite 7-1652
Aussi posée à : question écrite 7-1653
Dernièrement, la Seconde Chambre des Pays-Bas a organisé une audition relative à la loi sur les services de renseignement et de sécurité. Il y a notamment été question de la sécurité numérique aux Pays-Bas, laquelle représente, depuis plusieurs années, une part de plus en plus grande des activités des services de sécurité (cf. https://www.scienceguide.nl/2021/06/aivd hoger onderwijs is zich totaal niet bewust van digitale dreiging/).
Selon le responsable du Service général de renseignement et de sécurité des Pays-Bas, la menace provient surtout de pays comme la Russie et la Chine. Cette dernière puissance cherche principalement à s'emparer de connaissances précieuses. «Nous voyons que les attaques sont parfois dirigées contre des intérêts militaires et politiques. Elles sont alors surtout le fait des services de renseignement et de sécurité russes. Mais elles visent aussi à obtenir des positions économiques dominantes ; la Chine entre autres est très active dans ce domaine.»
Il cite par ailleurs les secteurs de pointe néerlandais, dans lesquels les entreprises et les établissements d'enseignement collaborent au sein de l'enseignement professionnel supérieur et de l'enseignement scientifique. «Il suffit d'observer les secteurs de pointe des Pays-Bas pour savoir à peu près ce que recherchent les services de sécurité chinois. Notre modèle économique de revenus et notre sécurité sont donc vraiment en danger», ajoute-t-il.
La Belgique est confrontée au même problème : il y a quelque temps, la haute école VIVES a été une des victimes de cyberattaques (cf. https://www.vrt.be/vrtnws/nl/2022/04/12/cyberaanval hogeschool vives/), et un peu plus tard, c'est une attaque générale sous forme de «Distributed Denial of Service» (DDOS) contre BELNET qui a paralysé l'internet des hautes écoles (cf. https://itdaily.be/nieuws/security/ddos aanval op belnet haalt internet hoger onderwijs onderuit/ ).
En ce qui concerne le caractère transversal de la question écrite : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une matière transversale, partagée entre l'autorité fédérale et les Régions, ces dernières intervenant surtout dans le volet préventif.
Je souhaiterais donc poser les questions suivantes.
1) Pouvez-vous donner un aperçu du nombre d'universités et de hautes écoles qui ont été victimes d'une cyberattaque ? Quel a été leur nombre au cours des cinq dernières années ? De quel type d'attaque s'agissait-il (DDOS, attaque par logiciel rançonneur, etc.) ? À combien le préjudice financier total est-il estimé ? Dans combien de cas des données ont-elles été capturées ?
2) A-t-on déjà eu des signes indiquant qu'en matière de protection numérique, le secteur de l'enseignement est en retard sur d'autres secteurs ? Si oui, qui a envoyé ces signes et quelle suite leur a-t-on donnée ?
3) De quel pays la plupart des attaques contre nos établissements d'enseignement proviennent-elles ? Combien d'attaques de ce type sont lancées depuis la Belgique ? Quelles sont les méthodes les plus utilisées ? Dans quel but ces attaques sont-elles lancées ? Ces attaques suivent-elles certains schémas ?
4) Outre les attaques par logiciel rançonneur, à quel autre type d'attaques a-t-on encore eu affaire dans l'enseignement ? Comment y a-t-on réagi ? Les auteurs de ces attaques ont-ils été pris ? Si oui, quelles peines leur a-t-on infligées ?
5) Que comptent faire nos autorités pour rendre nos infrastructures numériques, en particulier nos universités et hautes écoles, plus résistantes aux attaques organisées ? Où en est-on à cet égard ? Qu'est-il encore prévu ? Les actions concernent-elles essentiellement le logiciel ou bien est-il également question du matériel, à remplacer ou à rénover ? Pourquoi ?
6) Reconnaissez-vous qu'à côté de la menace d'attaques par logiciel rançonneur, il existe une menace émanant d'acteurs étatiques qui se livrent à de l'espionnage – visant entre autres à obtenir des connaissances dans le domaine des technologies de pointe et des informations – et à des sabotages ? Si oui, quelles actions ciblées allez-vous entreprendre en réaction aux signes invitant les administrations à être plus attentives à leur sécurité numérique ? Si non, pour quelle raison ?
7) Admettez-vous que les activités des acteurs étatiques doivent faire l'objet d'une plus grande attention dans la protection (numérique) de nos centres d'expertise ? Si oui, comment allez-vous procéder concrètement en collaboration avec les universités, les hautes écoles et les services de sécurité ? Quelles sont les mesures en chantier ? Si non, pour quelle raison ?
La cybersécurité est de la compétence du premier ministre. Je vous communique donc les informations dont je dispose, mais je vous invite également à poser la question au premier ministre.
1) J’ai contacté le CCB (Center for Cybersecurity Belgium) afin d’avoir plus d’informations à ce sujet. Ce dernier ne dispose malheureusement pas d’une image complète du nombre de cyberincidents dans les universités et les hautes écoles. Ces organisations ne sont pas tenues de lui faire rapport en vertu de la législation NIS.
2) Le CCB ne dispose pas d’indicateurs spécifiques pour le secteur de l’éducation. Nous ne pouvons donc pas conclure que le secteur dans son ensemble est à la traîne par rapport aux autres secteurs publics.
3) L’attribution d’une cyberattaque est très complexe et difficile. Il est souvent impossible de déterminer de quel pays ou de quelle zone provient une attaque. Les techniques utilisées, telles que les botnets, font appel à des systèmes compromis qui, à leur tour, mènent les attaques. Ainsi, une attaque réalisée à partir d’un appareil belge peut parfaitement être contrôlée depuis un opérateur situé à l’étranger.
4) Les établissements d’enseignement supérieur sont aussi régulièrement victimes d’attaques DDoS (distributed denial-of-service). Une attaque DDoS ou attaque par déni de service distribué tente de mettre hors service un serveur en le surchargeant d’un très grand nombre de demandes. Le serveur est incapable de traiter le grand nombre de demandes et le site web ou l’application devient indisponible pendant un certain temps, jusqu’à ce que l’attaque cesse ou soit atténuée.
La plus connue est l’attaque DDoS à grande échelle contre le réseau Belnet en mai 2021. Belnet a immédiatement investi dans de lourdes mesures de protection supplémentaires. Plus précisément, il s’agit de la mise en œuvre d’un centre externe d’épuration (cloud scrubbing center) au réseau Belnet qui absorbe et filtre le trafic du réseau. Le centre d’épuration sert en premier lieu à protéger le réseau Belnet lui-même et donc pas à protéger les clients individuels. Pour la protection des clients individuels, Belnet propose à ses affiliés un service de protection anti-DDoS, qui sera entièrement renouvelé et adapté à l’évolution des besoins de la communauté Belnet d’ici fin 2022.
Au cours des trois premiers mois de 2022, Belnet a dû activer son centre externe d’épuration environ trois fois plus souvent qu’au quatrième trimestre de 2021. En effet, les attaques sur des clients spécifiques étaient plus nombreuses et si puissantes qu’elles menaçaient de saturer les liaisons montantes du réseau Belnet. Même si le nombre d’activations de cette couche de protection supplémentaire reste faible, chaque activation évite un impact sur le réseau qui ne peut être sous-estimé.
En outre, après l’attaque DDoS sur son réseau, Belnet a mis en place un programme d’amélioration des services afin de renforcer la résilience de son réseau contre les cyberattaques. Il est important de noter que le programme ne comprend pas seulement des points d’action techniques, mais aussi une série d’améliorations dans les domaines des processus et de la communication. La majorité des ajustements et des améliorations ont déjà été mis en œuvre.
Pendant la pandémie de Covid, les écoles étaient plus que jamais dépendantes des plateformes d’apprentissage numériques (telles que Smartschool) et de leurs propres réseaux pour garantir la continuité de l’enseignement. Au cours de cette période, des attaques DDoS ont aussi parfois été signalées contre des écoles secondaires, lancées par les étudiants eux-mêmes dans le but d’entraver l’enseignement à distance. Les auteurs ont parfois pu être identifiés.
Suite à ces attaques, CERT.be, le service opérationnel du CCB, a développé une série de conseils pour les écoles: https://www.cert.be/sites/default/files/ddos_nl_final.pdf.
Concernant l’appréhension des auteurs de ces actes, je vous invite à interroger la ministre de l’Intérieur.
5) Chaque organisation est responsable de sa propre cybersécurité. Le CCB joue un rôle de coordination et peut offrir un soutien sous forme d’informations, d’outils et de conseils aux organisations qui le souhaitent, y compris aux universités et aux hautes écoles. Le CCB a élaboré des lignes directrices spécifiques aux institutions publiques (BSG – Baseline Security Guidelines) qui fournissent des indications minimales pour la mise en œuvre et l’évaluation d’un plan de sécurité de l’information. Ces lignes directrices fournissent une assistance aux responsables du traitement des données, mais aussi aux consultants en sécurité, aux responsables du traitement des données et aux responsables informatiques. En outre, afin de rendre les institutions publiques plus résistantes aux attaques, le CCB propose une gamme de services de cybersécurité, tels que des formations et des tests pen, auxquels les universités et les hautes écoles peuvent avoir recours. Le CCB dispose également d’un système d’alerte précoce (Early Warning System), grâce auquel les organisations d’importance vitale (notamment le potentiel scientifique et économique de notre pays) reçoivent des alertes précoces et ciblées sur les principales vulnérabilités et menaces.
Le CCB prévoit d’offrir plusieurs de ces services d’alerte à toutes les organisations de notre pays dès la fin de cette année, via un nouveau portail. Ainsi, toutes les entités impliquées dans l’enseignement supérieur en Belgique pourront en bénéficier. L’objectif des initiatives du CCB est d’aider les organisations à lutter contre les vulnérabilités tant humaines que techniques.
En ce qui concerne les mesures futures, le CCB se prépare à mettre en œuvre la future directive européenne NIS2 sur les mesures pour un niveau commun élevé de cybersécurité dans l’Union européenne (UE), dont le texte est encore en cours de finalisation et devra être transposé au niveau belge. Cette directive élargira les règles existantes pour les fournisseurs de services essentiels et les fournisseurs de services numériques, par rapport à la loi actuelle du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt public pour la sécurité publique. La directive exigera des États membres qu’ils imposent des règles relatives aux mesures de sécurité et à la notification des incidents à tous les organismes de recherche importants, moyens et essentiels. Dans le cadre européen, ces obligations ne s’appliquent pas aux établissements d’enseignement, et uniquement aux organisations dont l’objectif principal est de mener des recherches appliquées ou des développements expérimentaux en vue d’exploiter les résultats de ces recherches à des fins commerciales. Toutefois, les États membres peuvent eux-mêmes imposer ces obligations à tous les établissements d’enseignement supérieur s’ils le souhaitent.
Même si les nouvelles règles ne seront probablement pas entièrement mises en œuvre avant 2024-2025, le CCB s’emploie déjà à sensibiliser tous les acteurs concernés afin d’encourager le renforcement des cybercapacités avant même que le cadre juridique ne change.
6) Dans la stratégie nationale de cybersécurité pour 2021-2025, la Belgique identifie les services militaires et de renseignement étrangers comme l’une des plus grandes menaces pour l’État et la population belges, aux côtés des cybercriminels, des groupes terroristes et des hacktivistes. Ces menaces sont prises au sérieux et sont surveillées de près par la Sûreté de l’État (VSSE).
7) Les institutions de la connaissance sont des acteurs très importants. Si elles sont incluses dans la future directive NIS2, ces institutions peuvent faire appel aux services de la CCB tels que le EAW (système d’alerte précoce) déjà évoqué. En plus de cela, le CCB continuera de travailler sur son système d’alerte rapide afin d’avertir les petits opérateurs économiques des vulnérabilités, en plus des fournisseurs de services essentiels.