Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 7-803

de Stephanie D'Hose (Open Vld) du 9 novembre 2020

au secrétaire d'État à la Digitalisation, chargé de la Simplification administrative, de la Protection de la vie privée et de la Régie des bâtiments, adjoint au Premier ministre

Cybercriminalité - Cybersécurité - Entreprises - Sûreté de l'État - Cyberattaques - Conseils pour la sécurisation des données

criminalité informatique
espionnage industriel
protection des communications
protection des données
service secret
piratage informatique
Pays-Bas
entreprise
sûreté de l'Etat

Chronologie

9/11/2020 Envoi question (Fin du délai de réponse: 10/12/2020 )
10/12/2020 Réponse

Réintroduction de : question écrite 7-339

Question n° 7-803 du 9 novembre 2020 : (Question posée en néerlandais)

Je me réfère à la réponse du ministre de la Justice à une précédente question écrite n° 6-277 de la sénatrice Martine Taelman. Interrogé sur la manière dont la Sûreté de l'État assiste les entreprises face à la menace de cyberattaques, le ministre a donné la réponse suivante en 2018: "La Sûreté de l'État n'assure pas le suivi du type de cybercriminalité dont il est question dans la question parlementaire."

Je me réfère aussi au récent rapport du Service général de renseignement et de sécurité des Pays-Bas (Algemene Inlichtingen- en Veiligheidsdienst, AIVD), "Offensief cyberprogramma, een ideaal businessmodel voor Staten", publié en 2019. Contrairement à ce qui se passe dans notre pays, les services de renseignement néerlandais suivent directement la cybercriminalité visant les entreprises.

C'est aussi pour des motifs économiques que des États lancent des cyberattaques.

Les enquêtes de l'AIVD ont entre autres établi que certains États veulent moderniser rapidement leur économie et que dans ce but, ils sont prêts à voler sournoisement, et parfois à une échelle presque industrielle, des technologies innovantes occidentales et notamment néerlandaises.

Grâce aux connaissances acquises illicitement, ces États veulent implémenter ces technologies dans leur économie et/ou les produire eux-mêmes à moindre coût. Cela met en péril la capacité d'innovation économique et l'emploi aux Pays-Bas. Il va sans dire que la situation est la même, mutatis mutandis, dans notre pays.

Un autre exemple cité par l'AIVD est celui d'un État qui, par le truchement d'une de ses entreprises publiques, essaye de s'emparer d'une multinationale. En même temps, l'État en question lance des cyberattaques sournoises contre le bureau d'avocats qui encadre juridiquement ce rachat, dans le but d'obtenir des informations confidentielles à ce sujet. Cela permet audit État d'être au courant des résultats de l'entreprise et des risques qu'elle court, et ainsi de connaître les autres candidats acquéreurs, leurs offres et leurs conditions. Par conséquent, cet État peut adapter sa stratégie de reprise et calibrer au plus juste son offre et ses conditions. De telles pratiques menacent l'équité des règles du jeu de notre économie.

Concrètement, l'AIVD suit directement et activement les cyberattaques lancées contre les entreprises, ce qui n'est pas le cas dans notre pays.

L'AIVD investit dans ses capacités de recherche afin de pouvoir identifier précocement, clarifier et, si possible, éliminer les risques de cyberattaques orchestrées par des États. L'AIVD prête ainsi son concours à la détection et neutralisation de telles attaques visant des entreprises.

Il informe également les victimes de cyberattaques dans le monde des entreprises et organise des séances de sensibilisation à l'intention des cibles potentielles de ces attaques.

Il dispense en outre aux entreprises vitales des conseils spécifiques sur mesure pour la sécurisation des données.

On peut lire dans le rapport: "Grâce aux informations secrètes auxquelles nous avons accès, nous donnons des conseils de sécurisation uniques et sérieux et permettons à d'autres d'agir."

Mentionnons également le Réseau national de détection (Nationaal Detectie Netwerk, NDN), au sein duquel l'AIVD, le Service militaire de renseignement et de sécurité (Militaire Inlichtingen- en Veiligheidsdienst, MIVD) et le National Cyber Security Center (NCSC) collaborent étroitement pour renforcer la cybersécurité des services publics et des entreprises vitales (cf. https://www.cybersecurityalliantie.nl/het-nederlandse-cybersecurity-landschap/cybersecurity-landschap/cybersecurity-landschap/nationaal-detectie-netwerk).

La présente question porte sur une compétence transversale (matières régionales - économie - entrepreneuriat).

Je souhaiterais poser les questions suivantes:

1) Pouvez-vous me dire si, comme les Pays-Bas, notre pays a également été la cible de cyberattaques orchestrées par des États pour des motifs économiques (vol d'innovations, obtention d'informations sur des sociétés en vue d'un rachat, etc.)? Dans la négative, pouvez-vous détailler votre réponse? Dans l'affirmative, combien de ces cas a-t-on enregistrés annuellement en 2017, 2018 et 2019 et quels étaient les États responsables des cyberattaques à des fins économiques?

2) L'AIVD néerlandais conclut que de plus en plus d'États développeront et mettront en application un cyberprogramme offensif à visées économiques. Partagez-vous ce constat? Et la Sûreté de l'État? Dans la négative, pour quelles raisons? Dans l'affirmative, pouvez-vous dresser une liste détaillée des actions entreprises par la Sûreté de l'État pour anticiper les cyberattaques? Combien d'équivalents temps plein s'y consacrent-ils concrètement?

3) Quels montants investit-on dans les capacités de recherche du/des service(s) de sécurité afin de pouvoir identifier précocement, clarifier et, si possible, éliminer les risques de cyberattaques orchestrées par des États?

4) La Sûreté de l'État offre-t-elle son assistance pour la détection et neutralisation des cyberattaques contre les entreprises, comme le fait l'AIVD aux Pays-Bas? Dans la négative, pour quelles raisons? Dans l'affirmative, pouvez-vous donner des informations sur les moyens consacrés, le nombre annuel de dossiers et les résultats?

5) Combien de séances de sensibilisation a-t-on organisées à l'intention de cibles potentielles de ces attaques dans des secteurs vitaux de notre économie? Pouvez-vous préciser le nombre et le contenu de ces séances?

6) La Sûreté de l'État dispense-t-elle aux entreprises vitales de notre pays des conseils spécifiques sur mesure pour la sécurisation des données, comme c'est le cas aux Pays-Bas? Dans l'affirmative, pouvez-vous préciser combien de fois elle le fait? Ce nombre est-il suffisant? Dans la négative, pour quelles raisons?

7) Comment évaluez-vous l'approche néerlandaise, c'est-à-dire la collaboration étroite entre l'AIVD, le MIVD et le NCSC au sein du Réseau national de détection en vue de la sécurisation des services publics et des entreprises vitales? Existe-t-il quelque chose de semblable dans notre pays? Dans l'affirmative, pouvez-vous détailler votre réponse? Ces mesures sont-elles suffisantes? Dans la négative, pour quelles raisons?

8) Pouvez-vous expliquer en détail notre stratégie en ce qui concerne les cyberprogrammes offensifs à visées économiques de certains États?

Réponse reçue le 10 décembre 2020 :

La cybersécurité étant de la compétence du premier ministre, Monsieur Alexander De Croo, je vous invite à lui adresser votre question.