SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2011-2012 Zitting 2011-2012
________________
13 juin 2012 13 juni 2012
________________
Question écrite n° 5-6468 Schriftelijke vraag nr. 5-6468

de Anke Van dermeersch (Vlaams Belang)
van Anke Van dermeersch (Vlaams Belang)

à la vice-première ministre et ministre de l'Intérieur et de l'Égalité des Chances
aan de vice-eersteminister en minister van Binnenlandse Zaken en Gelijke Kansen
________________
Espionnage en ligne - Secrets d'entreprise - Données client - Sécurisation et protection - Mesures - Réglementation Onlinespionage - Bedrijfsgeheimen - Klantengegevens - Beveiliging en bescherming - Maatregelen - Regelgeving 
________________
espionnage industriel
espionnage
criminalité informatique
savoir-faire
protection des données
Chine
industriële spionage
spionage
computercriminaliteit
specialistische kennis
gegevensbescherming
China
________ ________
13/6/2012Verzending vraag
3/1/2013Antwoord
13/6/2012Verzending vraag
3/1/2013Antwoord
________ ________
Aussi posée à : question écrite 5-6467 Aussi posée à : question écrite 5-6467
________ ________
Question n° 5-6468 du 13 juin 2012 : (Question posée en néerlandais) Vraag nr. 5-6468 d.d. 13 juni 2012 : (Vraag gesteld in het Nederlands)

C'est surtout via l'internet que les espions modernes volent des secrets. La Russie et la Chine, principalement, s'adonnent à l'espionnage intensif en ligne. Ils s'emparent, de cette manière, d'un savoir-faire occidental représentant des fortunes. Selon le président d'une commission d'enquête américaine, il s'agit du « plus grand transfert de richesse par le biais du vol et de la piraterie dans l'histoire de l'humanité ». Les résultats de recherches universitaires qui ont demandé des millions d'investissement, les secrets d'entreprise, le renseignement militaire ... tout cela se vole au moyen de l'internet. La nonchalance avec laquelle nous traitons ces informations confidentielles a encore été illustrée aujourd'hui par les hackers qui ont pu s'emparer de données confidentielles relatives aux clients d'une filiale de Belfius et réclament aujourd'hui 150 000 euros en échange de leur non-publication. Ils ont écrit que si nous considérions cela comme du chantage, eux le percevaient plutôt comme une taxe sur les imbéciles qui ne protègent pas les données stockées sur un serveur web. C'est hélas symbolique...

Nous ne disposons pas de matières premières, notre savoir est notre principal, voire notre unique capital. Dans ce contexte, il est tout à fait inacceptable que des entreprises signent des contrats – et ce souvent avec l'aide des autorités provinciales, flamandes ou fédérales – avec de dangereux rivaux économiques comme la Chine et qu'à cette occasion la vente ne se limite pas à des produits finis mais aussi à toute la technologie et à tout le savoir-faire nécessaire à la fabrication de ces produits.

Le professeur Marc Cools a déclaré récemment (dans De Standaard en date du 2 mai) que le pouvoir politique accordait trop peu d'attention à la protection de nos connaissances économiques et scientifiques. Nous ne demandons pas que les services du renseignement pratiquent de l'espionnage industriel. Mais nous demandons une meilleure coopération avec les entreprises afin que soit protégé notre patrimoine scientifique, technologique et économique. Il faut également obliger les acteurs de terrain – entreprises, universités et autorités – à mieux protéger leur savoir-faire. Ils ne peuvent certainement pas le vendre ou le transmettre de la sorte à des puissances étrangères.

1) Quelles mesures le ministre a-t-il prises pour empêcher que notre précieux savoir-faire ne soit volé, donné ou vendu à des rivaux étrangers ?

2) Le ministre travaille-t-il à des adaptations de la réglementation imposant aux banques et aux institutions financières de mieux protéger les données relatives à leurs clients ?

 

Moderne spionnen stelen vooral geheimen via internet. Vooral Rusland en China houden zich intensief bezig met onlinespionage. Ze stelen op die manier fortuinen aan westerse knowhow. Volgens de voorzitter van een onderzoekscommissie in de Verenigde Staten gaat het hier om "de grootste transfer van rijkdom via diefstal en piraterij in de geschiedenis van de mensheid". Onderzoeksresultaten van universiteiten die miljoenen aan investeringen hebben opgeslokt, bedrijfsgeheimen, militaire informatie… het wordt allemaal via het internet gestolen. De nonchalance waarmee met vertrouwelijke informatie wordt omgesprongen, is vandaag nogmaals geïllustreerd door hackers die van een dochterbedrijf van Belfius vertrouwelijke klantengegevens hebben bemachtigd en nu 150 000 euro eisen in ruil voor de niet-publicatie ervan. Ze schreven letterlijk: "U kunt dit chantage noemen, maar wij omschrijven het liever als een idiotentaks voor de onbeschermde opslag van vertrouwelijke gegevens op een webserver." Het is helaas symbolisch…

Wij hebben geen grondstoffen; onze kennis is ons belangrijkste, ja zelfs ons enige kapitaal. In die context is het absoluut onaanvaardbaar dat bedrijven contracten sluiten – dikwijls met de hulp van provinciale, Vlaamse of federale overheden – met gevaarlijke economische rivalen als China waarbij niet alleen afgewerkte producten worden verkocht, maar ook alle technologie en knowhow om die producten te vervaardigen.

Professor Marc Cools stelde onlangs in De Standaard van 2 mei 2012 dat er op politiek vlak te weinig aandacht is voor de bescherming van onze economische en wetenschappelijke kennis. Wij vragen niet dat de inlichtingendiensten aan bedrijfsspionage zouden doen. We vragen wel dat ze minstens beter zouden samenwerken met het bedrijfsleven om onze eigen wetenschappelijke, technologische en economische kennis te beschermen. Ook de actoren – bedrijven, universiteiten en overheden – moeten in de praktijk worden verplicht om hun knowhow beter af te schermen. Ze mogen ze zeker niet zomaar verkopen of doorgeven aan buitenlandse mogendheden.

1) Welke maatregelen heeft de geachte minister genomen om te beletten dat onze kostbare knowhow wordt gestolen, weggegeven of verkocht aan buitenlandse rivalen?

2) Werkt de geachte minister aan aanpassingen aan de regelgeving die banken en financiële instellingen verplicht om hun klantengegevens beter te beveiligen?

 
Réponse reçue le 3 janvier 2013 : Antwoord ontvangen op 3 januari 2013 :

1. En ce qui concerne la contribution des services de renseignements à la protection du potentiel scientifique et économique, je vous renvoie à mes collègues de la Justice ou de la Défense.

En effet, en vertu de l’article 7 de la loi du 30 novembre 1998 organique des services de renseignements et de sécurité, la Sûreté de l'État a notamment pour mission de rechercher, d'analyser et de traiter le renseignement relatif à toute activité qui menace ou pourrait menacer le potentiel scientifique ou économique. L’article 11 de cette même loi confie au Service général du renseignement et de la sécurité cette même mission pour ce qui concerne le potentiel scientifique et économique en rapport avec les acteurs actifs dans les secteurs économiques et industriels liés à la défense.

Je vous renvoie à mon collègue de l’Économie pour ce qui est du droit applicable en matière de protection du savoir-faire développé par les entreprises belge.

Pour ce qui me concerne, outre les compétences générales de prévention des infractions et de protection des personnes et des biens attribuées aux services de police administrative prévues à l’article 14 de la loi du 5 août 1992 sur la fonction de police, l’article 2 § 2 de l’arrêté royal du 18 avril 1988 portant création du Centre de crise attribue à ce dernier des missions en cas de menace à l’encontre des intérêts vitaux de la nation, en ce compris le potentiel économique du pays. Enfin, toujours en tant que ministre de l’Intérieur, la protection des infrastructures critiques, dont certaines contribuent au potentiel économique ou scientifique du pays, relève également de mes compétences.

C’est la raison pour laquelle plusieurs services de mon département, à savoir le Centre de Crise et le Federal Computer Crime Unit de la Police fédérale (FCCU) font partie de la plateforme BelNIS (Belgian National Information Security). Cette plateforme, créée à la suite d’une décision du Conseil des ministres du 30 septembre 2005, a été mise en place sous la présidence de Fedict.

En tant qu’organe de concertation entre les différentes autorités compétentes dans le domaine de la sécurité de l’information, elle a pour mission de collecter les connaissances et d’élaborer des recommandations relevant de cette matière.

Cette plateforme développe actuellement une politique nationale pour la sécurité de l'information, qui a été préparée dans un white paper en 2007.

Dans le cadre du nouveau plan de sécurité national, un dossier programme de criminalité informatique est en cours d’élaboration, l’accent y est mis sur la menace de la cybercriminalité sur l’infrastructure ICT des entreprises et des autorités.

Nous constatons dans les dossiers en cours que chaque système de l’information constitue une cible potentielle pour le cyber-espionnage, à la fois dans les entreprises et les autorités et chez les particuliers.

Afin que les entreprises, les autorités et les particuliers prennent leur responsabilité, la police fédérale effectue des sessions d'informations dans tous ces secteurs.

La sensibilisation à la menace et l’apprentissage des mesures de protection correcte relèvent de la responsabilité partagée de tous ceux qui jouent un rôle social et dirigeant: à la fois les écoles, les entreprises, les organisations et les autorités doivent remplir leur rôle. Il est aussi évident qu'un rôle important est également confié aux médias, à la presse écrite mais surtout aux services d'information dans le cyberspace.

Pour plus d’informations au sujet de la plateforme de concertation BELNIS, je vous renvoie à mon collègue le Secrétaire d’État à la Fonction publique et à la Modernisation des Services publics, en charge notamment de Fedict, lequel pourra par ailleurs fournir des éléments de réponse concernant le CERT.be (Computer Emergeny Response Team) qui est un service public chargé de fournir aux entreprises belges, entre autres, un appui et des conseils en matière de sécurité informatique.

2. Bien que cette question relève de la compétence de mon collègue des Finances, je peux quand même préciser que la protection des systèmes informatiques, des données (des clients) et des services internet des institutions financières contre les menaces d'internet, forme depuis des années un point d'attention prudentiel important. A la demande du superviseur et en collaboration avec le secteur bancaire, deux groupes de travail Febelfin se sont vus confier, en 2007 et 2009, la tâche de définir, suivre et analyser les principaux risques de sécurité et de proposer les adaptations nécessaires relatives à la sécurité respective des :

  • applications et systèmes de e-banking ;

  • systèmes d’informations internes et données (des clients) des institutions financières.

Une attention toute particulière est accordée à la cyber-menace qui connaît une rapide croissance.

Pour garder les cyber-risques sous contrôle, le superviseur prudentiel a publié en 2009 une large série de directives de sécurité pour le secteur dans la circulaire « Services financiers via internet ». Celle-ci s’attarde notamment sur la protection indispensable des systèmes informatiques internes et des données (des clients) contre les menaces d'internet.

Pour plus de renseignements à ce sujet, je vous renvoie à mon collègue des Finances.

1. Wat de bijdrage van de Inlichtingendiensten aan de bescherming van het wetenschappelijk en economisch potentieel betreft, verwijs ik naar mijn collega’s van Justitie of Defensie.

Volgens artikel 7 van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst, is één van de opdrachten van de Staatsveiligheid immers het inwinnen, analyseren en verwerken van inlichtingen die betrekking hebben op elke activiteit die het wetenschappelijk of economisch potentieel bedreigt of zou kunnen bedreigen.

Artikel 11 van deze wet geeft aan de Algemene Dienst inlichting en veiligheid dezelfde opdracht wat betreft het wetenschappelijk of economisch potentieel met betrekking tot de actoren die actief zijn in de economische en industriële sectoren die verbonden zijn met defensie.

Ik verwijs u naar mijn collega van Economie voor het recht dat geldt inzake de bescherming van de knowhow die ontwikkeld wordt door Belgische ondernemingen.

Wat mijzelf betreft: naast de algemene bevoegdheden ter preventie van inbreuken en ter bescherming van personen en goederen, die toegewezen zijn aan de diensten van de bestuurlijke politie en voorzien zijn in artikel 14 van de wet van 5 augustus 1992 op het politieambt, wijst artikel 2 § 2 van het koninklijk besluit van 18 april 1988 tot oprichting van het Coördinatie- en Crisiscentrum aan dit laatste opdrachten toe bij bedreigingen van de vitale belangen van het land, met inbegrip van het economisch potentieel van het land. Tot slot, nog steeds als minister van Binnenlandse Zaken, behoort de bescherming van de kritieke infrastructuren, waarvan sommige bijdragen tot het economisch of wetenschappelijk potentieel van het land, eveneens tot mijn bevoegdheden.

Daarom maken meerdere diensten van mijn departement, namelijk het Crisiscentrum en de Federal Computer Crime Unit van de federale politie (FCCU), deel uit van het platform BelNIS (Belgian National Information Security). Dit platform, dat gecreëerd werd na een beslissing van de ministerraad van 30 september 2005, werd opgericht onder het voorzitterschap van Fedict.

Als overlegorgaan tussen de verschillende bevoegde overheden in het domein van de informatiebeveiliging, heeft het platform als opdracht om kennis te verzamelen en aanbevelingen uit te werken inzake deze materie. Dit platform werkt momenteel aan een nationaal beleid voor de informatiebeveiliging, dat in 2007 voorbereid werd in een white paper.

In het kader van het nieuwe Nationaal veiligheidsplan is een programmadossier informaticacriminaliteit in uitwerking, waarbij de focus wordt gelegd op de dreiging van cybercriminaliteit op de ICT-infrastructuur van bedrijven en overheden.

In de lopende dossiers stellen we vast dat elk informatiesysteem een mogelijk doelwit vormt voor cyberspionage, zowel bij bedrijven en overheden als bij particulieren.

Het is noodzakelijk dat elk van deze partijen zijn informatiesystemen beveiligt om het geheel te kunnen beveiligen.

Opdat zowel bedrijven, overheden als particulieren deze verantwoordelijkheid zouden opnemen, worden vanuit de Federale politie infosessies gegeven in al deze sectoren.

Het bewustmaken omtrent de dreiging en het anleeren van de correcte beveiligingsmaatregelen zijn een gedeelde verantwoordelijkheid van allen die in de maatschappij een leidinggevende rol vervullen: zowel de scholen, bedrijven, organisaties als de overheid dienen hierin hun rol op te nemen. En vanzelfsprekend is ook hier een belangrijke taak weggelegd voor de media, de geschreven pers maar voornamelijk ook voor de informatiediensten in de cyberwereld.

Voor meer informatie over het overlegplatform BELNIS verwijs ik u naar mijn collega de Staats¬secretaris voor Ambtenarenzaken en Modernisering van de Openbare Diensten, die belast is met Fedict. Deze laatste zal bovendien de antwoordelementen kunnen geven inzake CERT.be (Computer Emergeny Response Team), dat een openbare dienst is die belast is met het verstrekken van onder meer ondersteuning en advies inzake de informaticabeveiliging aan de Belgische ondernemingen.

2. Hoewel deze vraag onder de bevoegdheid van mijn collega van Financiën valt, kan ik toch preciseren dat de beveiliging van de informaticasystemen, de (cliënten)gegevens en de internetdiensten van financiële instellingen tegen de bedreigingen van het Internet, al sinds jaren een belangrijk prudentieel aandachtspunt vormt. Op vraag van de toezichthouder en in samenwerking met de banksector werden in dit kader in 2007 en 2009 twee Febelfin-werkgroepen belast met het in kaart brengen, opvolgen en analyseren van de belangrijkste beveiligingsrisico's en het voorstellen van de nodige bijsturingen inzake respectievelijk de beveiliging van:

  • de e-bankingtoepassingen en -systemen;

  • de interne informaticasystemen en (cliënten)gegevens van de financiële instellingen.

Hierbij gaat bijzondere aandacht naar de snel toenemende cyberdreiging.

Om de cyberrisico's onder controle te houden heeft de prudentiële toezichthouder in 2009 ook een uitgebreide set aan beveiligingsrichtlijnen voor de sector gepubliceerd in de circulaire "Financiële diensten via het Internet". Hierin wordt onder andere dieper ingegaan op de noodzakelijke bescherming van de interne informaticasystemen en de (cliënten)gegevens tegen de bedreigingen van het internet.

Voor meer inlichtingen daarover, verwijs ik naar mijn collega van Financiën.