|
|
Terminaux GNL - Infrastructure critique - Sécurité - Cyberattaques - Sabotage - Protection - Mesures
criminalité informatique
piratage informatique
sécurité des systèmes d'information
gaz naturel
infrastructure industrielle
Russie
guerre de l'information
distribution du gaz
sécurité des infrastructures critiques
| 23/1/2023 | Envoi question (Fin du délai de réponse: 23/2/2023) |
| 20/2/2023 | Réponse |
Aussi posée à : question écrite 7-1863
Aussi posée à : question écrite 7-1864
Les pirates informatiques s'intéressent aux terminaux GNL (gaz naturel liquéfié) néerlandais. Ils cherchent à savoir s'il leur est possible de les pirater et réalisent d'autres opérations exploratoires. C'est ce que constatent les experts de la société Dragos spécialisée dans la cyberprotection. Selon le Federal Bureau of Investigation américain (FBI) et d'autres chercheurs, ces groupes ont des liens avec la Russie. Les experts craignent que les terminaux subissent prochainement une cyberattaque et soient éventuellement paralysés. (cf. https://www.rtlnieuws.nl/economie/artikel/5348201/hackers rusland lng gasterminal nederland europese unie cyberoorlog).
Selon Casey Brooks, spécialiste chez Dragos, les groupes de pirates nommés «Xenotime» et «Kamacite» ont déjà analysé en détail les systèmes numériques du terminal GNL de Gasunie dans le chenal d'Eemshaven, dans le port d'Amsterdam. Le FBI a révélé que «Xenotime» et «Kamacite» entretenaient des liens avec les services secrets russes.
L'entreprise néerlandaise ElectricIQ a également signalé une activité accrue autour de l'infrastructure vitale en Europe et aux Pays-Bas. Joep Gommers d'ElectricIQ a déclaré à RTL qu'il est logique que les pirates russes s'en prennent aux terminaux GNL néerlandais: «(traduction) Cela s'inscrit assurément dans le modus operandi et les centres d'intérêt de la Russie en ce moment» (cf. https://finance.yahoo.com/news/russian hackers target dutch lng 170000151.html).
Selon cette entreprise, c'est la première fois que «Xenotime» prend l'Europe pour cible.
En raison de la guerre en Ukraine, les entreprises de cybersécurité observent cette année une hausse sensible du nombre de cyberattaques en général. De janvier à septembre 2022, il est question d'une moyenne mensuelle de plus de cinq millions de cyberattaques isolées, selon les chiffres de l'entreprise de cybersécurité ESET. C'est 20 % de plus qu'en 2021. L'entreprise de cyberprotection Fox-IT estime que la crise énergétique fait planer la menace concrète que des personnes malveillantes s'en prennent à des entreprises actives dans le secteur énergétique. «(traduction) Entre autres dans la chaîne d'approvisionnement pour le transport et la distribution du GNL», déclare un porte-parole de Fox-IT.
Ce n'est pas la première fois que la Russie ou ses citoyens sont accusés d'attaquer l'infrastructure énergétique à l'étranger. Début octobre 2022, le service de sécurité intérieure norvégien a ouvert une enquête sur de nouvelles observations de drones à proximité d'infrastructures capitales, quelques heures seulement après la brève fermeture de l'aéroport de Bergen, proche d'une importante base de la marine norvégienne, à la suite d'observations de drones.
«(traduction) Les drones peuvent être utilisés pour espionner ou simplement semer la panique. La Russie a tout simplement plus à gagner qu'à perdre en déployant des activités de renseignement en Norvège aujourd'hui plutôt qu'avant la guerre», expliquent les autorités.
Des responsables américains ont annoncé dernièrement la découverte d'un système avancé et d'une efficacité alarmante, permettant d'attaquer des installations industrielles et capable notamment de provoquer des explosions dans l'industrie énergétique. Ce programme manipule des appareils présents dans presque toutes les installations industrielles complexes plutôt que de viser des failles inconnues pouvant être corrigées facilement; presque chaque installation pourrait donc en être victime, pensent les experts (cf. https://www.washingtonpost.com/technology/2022/04/13/pipedream malware russia lng/).
En ce qui concerne le caractère transversal de la question écrite: les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le Plan national de sécurité 2022-2025 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.
Je souhaiterais vous poser les questions suivantes.
1) Pouvez-vous me dire si nos services de sécurité ont déjà signalé que la Russie tentait de s'en prendre à nos centrales GNL (comme celle de Zeebrugge), comme c'est le cas aux Pays-Bas? Si oui, pouvez-vous expliquer l'origine de la menace? Dans la mesure où cette information ne met pas en péril la sécurité, pouvez-vous indiquer quelles mesures supplémentaires ont été prises pour renforcer la protection? Si non, pour quelle raison?
2) A-t-on déjà observé des tentatives d'intrusion numérique dans l'infrastructure de telles centrales GNL au cours des trois dernières années? Si oui, combien au total et combien depuis l'année dernière? A-t-on pu identifier l'origine de ces attaques? Quelles étaient les centrales prises pour cible? Quel était l'objectif présumé des pirates?
3) A-t-on signalé des tentatives d'intrusion physique dans de tels terminaux ou des observations non autorisées (au moyen de drones, par exemple) de nos centrales ou autres structures semblables d'approvisionnement énergétique? Si oui, quel a été le nombre d'incidents en 2022? De quelles sanctions les auteurs ont-ils écopé ? S'ils étaient de nationalité étrangère, quelle était-elle? Les auteurs étaient-ils eux-mêmes en activité au sein de ces centrales?
4) La Russie étant parfaitement consciente de la vulnérabilité de notre approvisionnement énergétique, pouvez-vous me dire si des mesures de sécurité supplémentaires ont été prises à l'échelon fédéral pour éviter une ingérence ou un sabotage pouvant affecter notre approvisionnement? Pouvez-vous détailler votre réponse?
5) Pourriez-vous expliquer dans les grandes lignes les mesures tant physiques que numériques qui sont prises pour protéger l'infrastructure gazière contre le sabotage et les cyberattaques? Des mesures supplémentaires sont-elles encore en préparation, sachant que la guerre en Ukraine accroît le risque de sabotage?
6) Dispose-t-on de plans d'urgence à activer en cas de sabotage ou d'attaque de certaines de nos infrastructures énergétiques susceptibles de compromettre la sécurité de notre approvisionnement? Dispose-t-on également de plans de représailles s'il s'avérait que des puissances étrangères sont responsables du sabotage?
7) Peut-on parler d'une vigilance accrue sur ces sites et en particulier dans les terminaux GNL? Si non, pour quelle raison? Si oui, cela concerne-t-il à la fois la protection physique et la protection numérique?
1) La Federal Computer Crime Unit (FCCU) de la direction centrale de la Lutte contre la criminalité grave et organisée (DJSOC) est chargée de lutter contre les formes graves de criminalité informatique, entre autres celles qui nécessitent une réaction rapide en cas d’incidents impliquant des infrastructures critiques et vitales.
Dans un passé récent, la FCCU n’a pas traité de dossiers relatifs à des cyberattaques visant le réseau ou les producteurs de gaz naturel liquéfié (GNL) et elle n’a donc également pas connaissance d’attaques réussies contre ces infrastructures.
Cette question parlementaire porte sur les mesures de prévention. Elle ne relève donc pas de mes compétences mais de la compétence du premier ministre dont dépend le Centre for Cyber Security Belgium (CCB). Elle relève également de la compétence de la Commission de régulation de l’électricité et du gaz (CREG).
2) La banque de données nationale générale (BNG) est une base de données policières dans laquelle sont enregistrés les faits sur base de procès-verbaux résultant des missions de police judiciaire et administrative. Elle permet de réaliser des comptages sur différentes variables statistiques telles que le nombre de faits enregistrés, les modus operandi, les objets utilisés lors de l’infraction, les moyens de transport utilisés, les destinations de lieu, etc.
Sur la base des variables disponibles dans la BNG, il n’est pas possible d’extraire spécifiquement les centrales GNL ou d’autres infrastructures d’approvisionnement énergétique de la base de données.
3) Sur la base des variables disponibles dans la BNG, il n’est pas possible d’extraire spécifiquement les centrales GNL ou d’autres infrastructures d’approvisionnement énergétique de la base de données.
Pour ce qui concerne les éventuelles sanctions, cette question parlementaire ne relève pas de mes compétences mais de la compétence du ministre de la Justice.
L’Organe de coordination pour l’analyse de la menace (OCAM) n’a pas non plus reçu d’informations concernant des tentatives d’intrusion ou d’observations non autorisées.
4) Les services de sécurité et l’OCAM sont attentifs aux signaux d’interférence et de sabotage potentiels. Si nécessaire, l’OCAM ajuste les niveaux de menace, à partir desquels le Centre de crise national (NCCN) peut prendre des mesures supplémentaires.
Pour le surplus, cette question parlementaire ne relève pas de mes compétences mais de la compétence du premier ministre dont dépend le Centre for Cyber Security Belgium (CCB). Elle relève également de la compétence de la Commission de régulation de l’électricité et du gaz (CREG).
5) En ce qui concerne la sécurité des infrastructures critiques, il incombe principalement à l’exploitant d’élaborer un «plan de sécurité de l’exploitant» (PSE) décrivant les mesures permanentes et graduelles à prendre. Les mesures graduelles peuvent être prises par l’exploitant en cas de menace accrue sur la base d’une analyse ponctuelle réalisée par l’OCAM. Ce PSE réglemente les exercices périodiques.
L’autorité sectorielle supervise et contrôle les PSE pour les infrastructures critiques désignées dans son secteur.
Outre ces mesures de sécurité internes, des mesures de protection externes pour les infrastructures critiques peuvent également être décidées par le NCCN en fonction d’une menace accrue concrète, ce qui signifie après une analyse de l’OCAM.
Pour davantage d’informations concernant le secteur de l’énergie, je vous renvoie à la ministre de l’Énergie.
Les mesures de cybersécurité imposées par la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique (loi NIS) prévoient une protection approfondie du réseau et des systèmes d’information des fournisseurs de services essentiels. Pour des informations spécifiques concernant les mesures de cybersécurité, je vous renvoie au CCB.
6) Au sein du Centre de crise national et en collaboration avec la direction générale (DG) Énergie du service public fédéral (SPF) Économie, Elia et Fluxys, un certain nombre de plans d’urgence et de procédures ont été élaborés pour anticiper la gestion d’une crise résultant de (la menace de) l’interruption de l’approvisionnement en énergie. Ces plans et procédures existent pour l’approvisionnement tant pour le gaz que pour l’électricité, et tant pour une rupture d’approvisionnement résultant d’une pénurie que pour un phénomène inattendu. Ces plans ne sont pas spécifiquement conçus dans le contexte d’un sabotage ou d’une attaque malveillante, mais traitent plutôt de la gestion d’une pénurie ou d’un phénomène soudain, indépendamment de sa cause.
Les plans et procédures d’urgence sont basés sur les plans existants dans le secteur (tels que les plans d’Elia, le plan d’urgence gaz de la DG Énergie du SPF Économie) et comprennent à la fois les mesures à prendre pour éviter ou atténuer les conséquences d’une interruption de l’approvisionnement en électricité ou en gaz (telles que la réduction volontaire ou obligatoire de la consommation de gaz ou d’électricité, l’activation du plan de délestage, etc.), ainsi que l’organisation au niveau national (une activation du plan de délestage du gaz ou de l’électricité implique l’activation d’une phase fédérale) et les mesures de gestion des conséquences d’une rupture d’approvisionnement en énergie.
7) Le 27 septembre 2022, le NCCN a envoyé une alerte à tous les exploitants d’infrastructures critiques; dans cette alerte, il leur était demandé de veiller à poursuivre et à assurer la fourniture de leurs services essentiels, de faire preuve d’une vigilance accrue, de respecter strictement les mesures physiques permanentes et graduelles déjà en place en interne telles que stipulées dans le Plan de sécurité respectif de l’exploitant (PSE) et enfin de signaler aux autorités compétentes tout incident comme l’exige l’article 14 de la loi du 1er juillet 2011 relative à la sécurité et à la protection des infrastructures critiques.
Comme répondu à la question 5), la loi NIS prévoit des mesures de cybersécurité qui garantissent une protection approfondie du réseau et des systèmes d’information des fournisseurs de services essentiels. Pour des informations spécifiques concernant la cyber vigilance accrue et les mesures de cybersécurité prises, je vous renvoie au CCB.