SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
25 juin 2013 25 juni 2013
________________
Question écrite n° 5-9407 Schriftelijke vraag nr. 5-9407

de Karl Vanlouwe (N-VA)
van Karl Vanlouwe (N-VA)

au secrétaire d'État à la Fonction publique et à la Modernisation des Services publics, adjoint au ministre des Finances et du Développement durable, chargé de la Fonction publique
aan de staatssecretaris voor Ambtenarenzaken en Modernisering van de Openbare Diensten, toegevoegd aan de minister van Financiën en Duurzame Ontwikkeling, belast met Ambtenarenzaken
________________
La cybersécurité et la cyberdéfense De cyberveiligheid en cyberdefensie 
________________
criminalité informatique
protection des données
service secret
computercriminaliteit
gegevensbescherming
geheime dienst
________ ________
25/6/2013Verzending vraag
15/7/2013Antwoord
25/6/2013Verzending vraag
15/7/2013Antwoord
________ ________
Herkwalificatie van : vraag om uitleg 5-3588
Ook gesteld aan : schriftelijke vraag 5-9406		 Herkwalificatie van : vraag om uitleg 5-3588
Ook gesteld aan : schriftelijke vraag 5-9406
________ ________
Question n° 5-9407 du 25 juin 2013 : (Question posée en néerlandais) Vraag nr. 5-9407 d.d. 25 juni 2013 : (Vraag gesteld in het Nederlands)

Le 20 novembre 2012, les médias ont fait état des premiers détails de la note fédérale tant attendue sur la cyberdéfense. Les quotidiens De Tijd et De Standaard ont ainsi mentionné l'existence de projets de fondation d'un « centre pour la cybersécurité », lequel devrait assurer la coordination fédérale. Ce centre aurait également pour mission d'inciter les citoyens et les entreprises à être plus attentifs à la sécurité sur internet. Il compterait une vingtaine d'experts, suivrait tous les incidents informatiques survenus dans notre pays et serait responsable de la politique fédérale en matière de cyberattaques.

Vint ensuite l'annonce d'une décision prise le 21 décembre par le Conseil des ministres, à savoir l'élaboration d'une cyberstratégie concrétisant une politique fédérale de sécurité pour les réseaux et les systèmes informatiques en Belgique, politique qui garantit la protection de la vie privée. « La cyberstratégie belge a pour objectif d’identifier la cybermenace, d’améliorer la sécurité et de pouvoir réagir aux incidents. Ce projet est né du travail de la plateforme de concertation pour la sécurité de l’information BelNIS (Belgian Network Information Security). Le conseil des ministres a chargé le premier ministre de la mise en œuvre de cette stratégie. »

La stratégie repose sur trois objectifs visant à garantir la cybersécurité de la société moderne :

1. L'ambition d'un cyberespace sûr et fiable, respectant les droits et valeurs fondamentaux de la société moderne ;

2. L'ambition d'une sécurisation et d'une protection optimales des infrastructures et des systèmes publics critiques contre la cybermenace ;

3. L'élaboration d'une propre capacité « Cyber Security », garante d'une politique de sécurité indépendante et d'une réaction appropriée aux incidents de sécurité.

J'aimerais poser les questions suivantes à la ministre :

1) Qui est actuellement compétent pour la coordination du projet et comment s'effectue la délégation des tâches ?

a) Quel est le rôle dévolu au Comité ministériel du renseignement et de la sécurité en ce qui concerne la coordination du rôle des services de renseignement dans le projet de cyberdéfense ?

b) Dans le cadre de la cyberdéfense, comment se déroule la coopération avec le cabinet du premier ministre, les SPF Intérieur, Économie, Technologie de l'Information et de la Communication (Fedict), Défense, Politique scientifique et Affaires étrangères ? Cette coopération a-t-elle déjà été formalisée de sorte que la CERT et le SPF Justice soient en mesure d'agir à temps en cas d'incidents ?

c) Le SGRS et la VSSE sont-ils liés par des accords en ce qui concerne leur contribution à la sécurité de nos systèmes informatiques ?

d) Quelle sera la position du nouveau centre pour la cybersécurité par rapport aux plateformes de concertation actuelles de BelNIS et de l'ISMF (Internet Security and Management Forum) ?

2) Le département de la ministre est-il partisan d'un plus grand champ de manœuvre qui le mettrait en mesure, au-delà de simples réactions défensives, de neutraliser les cyberattaques ?

a) Selon la ministre, cette démarche pourrait-elle aussi être proactive ? Le cas échéant, quand et sous quelle autorité ?

b) L'an dernier, à quelles occasions les autorités fédérales ont-elles été impliquées dans des exercices de cybersécurité, et ce aussi bien sur le plan national qu'international ?

3) Le Comité R s'est inquiété à plusieurs reprises de la gestion du personnel des services de renseignement et des obstacles financiers au recrutement de personnel qualifié.

a) Le département de la ministre est-il également confronté à ce problème ?

b) Au sein de son département, combien de personnes s'occupent-elles de cybersécurité ? A-t-on, dans ce but, recruté du personnel supplémentaire en 2012 ?

4) Où en est notre pays dans la mise en pratique des recommandations du plan d'action de l'Union européenne contre les cyberattaques ?

a) Existe-t-il déjà un plan national d'urgence contre les incidents informatiques ?

b) Des exercices nationaux de cybersécurité ont-ils déjà été organisés ? Si ce n'est pas le cas, pourquoi ?

c) Dans quelle mesure a-t-on coopéré avec d'autres États membres de l'UE ?

d) A-t-on déjà pris part à des exercices paneuropéens ?

5) Comment la ministre conçoit-elle l'évolution de la coopération au sein du Benelux en matière de cyberdéfense ? De ce point de vue, privilégie-t-elle le Benelux par rapport à l'Europe et à l'OTAN ?

6) Existe-t-il, en guise de plan B, ce que l'on appelle un Disaster Recovery Plan, pour le cas où les systèmes critiques de notre pays seraient victimes d'une cyberattaque ?

a) Cette problématique a-t-elle déjà été traitée au sein de BelNIS et quelle est la situation à ce propos ?

b) Ce plan d'urgence a-t-il déjà été testé ? Quand le sera-t-il ?

7) Combien de fois le département de la ministre a-t-il été victime de la cybercriminalité en 2012 ?

a) Parmi ces cyberattaques y avait-il également des intrusions avancées ? Quelle est la proportion de cyberintrusions qui avaient pour but explicite l'acquisition d'informations sensibles du secteur public ?

b) Combien d'incidents font-ils actuellement l'objet d'une enquête ?

c) Quel est le nombre d'enquêtes clôturées ?

 

In de media verschenen op 20 november 2012 de eerste details van de langverwachte federale cybernota. Zo rapporteerden De Tijd en De Standaard dat er plannen bestaan voor de oprichting van een "Centrum voor Cyberveiligheid", die de federale coördinatie op zich zou moeten nemen. Het centrum zou ook de taak op zich nemen om de burgers en de bedrijven aan te sporen meer aandacht te besteden aan veiligheid op het internet. Naar verluidt zou een twintigtal experts deel uitmaken van dit centrum en alle computerincidenten in dit land opvolgen en het federaal cyberbeleid op zich nemen.

Vervolgens werd bekendgemaakt dat de Ministerraad op 21 december beslist heeft om een cyberstrategie te ontwikkelen die vorm zal geven aan een federaal veiligheidsbeleid voor informatienetwerken en -systemen in België dat de bescherming van de persoonlijke levenssfeer garandeert. "De cyberstrategie identificeert de cyberdreiging, verbetert de veiligheid en versnelt het reactievermogen. Het project is het resultaat van een overlegplatform voor de informatieveiligheid BelNIS (Belgian Network Information Security). De eerste minister voert de cyberstrategie in naam van de Ministerraad uit."

In de strategie worden drie strategische doelstellingen vooropgesteld om de cyberveiligheid van de moderne samenleving te garanderen:

1. Streven naar een veilige en betrouwbare cyberspace met respect voor de fundamentele rechten en waarden van de moderne samenleving;

2. Streven naar een optimale beveiliging en bescherming van de kritieke infrastructuren en overheidssystemen tegen de cyberdreiging;

3. Ontwikkelen van eigen cyber security capaciteit voor een onafhankelijk veiligheidsbeleid en een gepaste reactie op veiligheidsincidenten.

Mijn vragen aan de minister zijn:

1) Wie heeft op dit ogenblik de coördinatie van het project en hoe worden de taken gedelegeerd?

a) Welke rol speelt het Ministerieel Comité Inlichtingen en Veiligheid bij de coördinatie van de rol van de inlichtingendiensten in het cyberdefensieproject?

b) Hoe verloopt de samenwerking met de het kabinet van de eerste minister, de FOD's Binnenlandse Zaken, Economie, Fedict, Defensie, Wetenschapsbeleid en Buitenlandse Zaken in het kader van cyberdefensie? Werd die samenwerking reeds geformaliseerd zodat de CERT en FOD Justitie bij incidenten tijdig kunnen optreden?

c) Zijn er afspraken tussen ADIV en VSSE over hoe zij bijdragen aan de veiligheid van onze informaticasystemen?

d) Hoe zal het nieuwe Centrum voor Cyberveiligheid staan tegenover de huidige overlegplatformen van BelNIS en ISMF (Internet Security and Management Forum)?

2) Is het departement van de minister er voorstander van om meer slagkracht te krijgen om cyberaanvallen te kunnen neutraliseren in plaats van slechts achteraf defensief kunnen reageren?

a) Zou dit volgens de minister ook proactief mogen gebeuren? Wanneer en door welke autoriteit?

b) Op welke gelegenheden werd de federale overheid in het afgelopen jaar betrokken bij cyberoefeningen, zowel op nationaal als internationaal vlak?

3) Het Comité I maakte zich meermaals zorgen om het personeelsbeleid van de inlichtingendiensten en het gebrek aan fondsen om gekwalificeerde personeelsleden te rekruteren.

a) Wordt het departement van de minister ook met dit probleem geconfronteerd?

b) Hoeveel personen houden zich binnen haar departement bezig met cyberveiligheid, en werden in 2012 nieuwe krachten hiervoor aangeworven?

4) Hoever staat ons land met de praktische omzetting van de aanbevelingen uit het Actieplan voor Cyberaanvallen van de Europese Unie?

a) Bestaat er reeds een nationaal noodplan voor cyberincidenten?

b) Werden reeds nationale cyberoefeningen georganiseerd? Waarom niet?

c) In hoeverre werd samengewerkt met andere EU-lidstaten?

d) Werd reeds deelgenomen aan Pan-Europese oefeningen?

5) Hoe ziet de minister de samenwerking tussen de Benelux-landen evolueren met betrekking tot cyberdefensie? Geniet Benelux-samenwerking haar voorkeur boven samenwerking op Europees en NAVO-niveau?

6) Bestaat er een zogenaamd Disaster Recovery Plan als plan B, indien de kritieke systemen van ons land het slachtoffer worden van een cyberaanval?

a) Werd dit reeds binnen BelNIS besproken en wat is de stand van zaken hiervan?

b) Werd dit noodplan reeds getest? Voor wanneer zal dat het geval zijn?

7) Hoeveel keer werd het departement van de minister het slachtoffer van cybercriminelen in 2012?

a) Zijn hier ook gesofisticeerde intrusies bij? Wat is het aandeel van cyberintrusies die doelbewust op zoek zijn naar gevoelige overheidsinformatie?

b) Hoeveel incidenten worden momenteel onderzocht?

c) Voor hoeveel incidenten is het onderzoek afgerond ?

 
Réponse reçue le 15 juillet 2013 : Antwoord ontvangen op 15 juli 2013 :

1) Dans le cadre de la décision du Conseil des ministres du 21 décembre 2012, le premier ministre a été chargé de la mise en œuvre de la stratégie de cybersécurité. Les rôles du Comité ministériel du Renseignement et de la Sécurité et d'autres instances traitant des aspects de la cybersécurité devront être déterminés lors de la mise en œuvre de la stratégie de cybersécurité. La proposition d'un Centre de cybersécurité fait également partie des éléments qui devront être définis lors de la mise en œuvre de cette stratégie. Belnis, qui est coordonné par le Service public fédéral Technologie de l'information et de la communication (FEDICT), est jusqu'à présent la seule plate-forme de concertation qui existe en matière de sécurité de l’information. Depuis l'approbation par le gouvernement le 21 décembre dernier, des présentations ont été données et des discussions menées au sein de Belnis à propos de cette stratégie. Un plan d'exécution, qui devra rapidement être approuvé, est en préparation.

2) En raison du fait qu'une cybermenace peut se manifester à différents niveaux et que les cibles peuvent être très diverses, il est difficile de prévoir des mesures préventives pour tous les types de menaces, ce qui ne signifie pas qu'aucune mesure ne doit être prise. Une conduite pro-active constitue en effet la meilleure approche. Un outil permettant de prendre des contre-mesures préventives (ressources humaines et moyens) de manière réfléchie sur le plan économique est l'utilisation d'analyses d'impact et de techniques de gestion des risques. Comme des connaissances de l'activité sont indispensables en la matière, il est préférable que ce soient les parties individuelles (services publics, entreprises privées,...) qui s'en chargent.

Récemment, notre administration a été confrontée à une cybermenace de « Anonymous », dans le cadre de laquelle la procédure de gestion des incidents a été utilisée comme fil conducteur. Des leçons supplémentaires ont déjà été tirées de cette menace. Concernant la participation aux cyberexercices, je vous renvoie à ma réponse à votre question n°5-9408.

3) Au sein de FEDICT, 3.2 ETP s'occupent activement de la cybersécurité. Aucun recrutement n'a eu lieu en 2012. Au sein de CERT.be, cinq experts travaillent actuellement dans le domaine de la cybersécurité.

4) La désignation d'une Computer Emergency Respons Team (CERT) a, comme prévu dans le plan d'action, été mise en œuvre. D’autres éléments du plan d'action doivent encore être élaborés plus en avant. Au sein de la plate-forme de concertation Belnis, une procédure de gestion des incidents a été élaborée. Dans ce cadre, une procédure d'escalation vers les autorités politiques est prévue en cas de menace grave. Cette procédure doit cependant encore être affinée. Concernant la participation aux cyberexercices, je vous renvoie à ma réponse à votre question n°5-9408.

5) Tant les Pays-Bas que le Luxembourg sont en avance en ce qui concerne la protection des systèmes informatiques et nous partageons également les mêmes valeurs. La collaboration dans le domaine de la cybersécurité fait partie du programme de travail Benelux 2013-2016. Cette collaboration privilégiée s'inscrit dans le cadre de la coopération européenne. Au niveau européen, je vous renvoie aux exercices réalisés en collaboration avec l'ENISA, au développement de la European GovCert, mais aussi aux premières étapes de l'installation de la plate-forme Network and Information Security (NIS).

6) Cette responsabilité est sectorielle. Conformément à la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, certaines obligations ont été définies dans la réglementation belge pour les secteurs Énergie, Transports et Finances.

7) Concernant les cyberattaques pour FEDICT, je vous renvoie à ma réponse à votre question écrite de mars 2013 (n° 8183).

1) In het kader van de beslissing van de ministerraad van 21.12.2012, werd de eerste minister belast met het uitvoeren van de strategie voor cyberbeveiliging. De rollen van het ministerieel Comité Inlichtingen en Veiligheid en van andere instanties die bezig zijn met aspecten van cyberveiligheid, zullen vastgelegd moeten worden bij de uitvoering van de strategie voor cyberbeveiliging. Het voorstel voor een Centrum voor cyberveiligheid maakt ook deel uit van de elementen die vastgelegd zullen moeten worden bij de uitvoering van deze strategie. Belnis, dat gecoördineerd wordt door de Federale Overheidsdienst Informatie- en Communicatie Technologie (FEDICT), is tot nu toe het enige bestaande overlegplaform inzake informatieveiligheid. Sinds de goedkeuring door de regering op 21 december vorig jaar, werden er binnen Belnis onder andere presentaties gegeven en discussies gevoerd over deze strategie. Een plan van uitvoering is in voorbereiding, dat snel zal moeten goedgekeurd worden.

2) Door het feit dat een cyberdreiging zich op verschillende niveaus kan manifesteren en het doelwit heel divers kan zijn, is het moeilijk om voor alle type bedreigingen preventieve maatregelen te voorzien, waarmee ik niet zeg dat er geen maatregelen moeten genomen worden. Een proactief optreden is inderdaad de beste benadering. Een hulpmiddel om op een economisch verantwoorde manier preventieve tegenmaatregelen (mensen en middelen) te nemen, is het gebruik van impactanalyses en van risicobeheertechnieken. Door het feit dat hier business kennis aanwezig dient te zijn kan dit best door de individuele partijen (Overheidsdiensten, private ondernemingen,…) uitgevoerd worden.

Recent zijn we als overheid geconfronteerd geweest met een cyberdreiging van “Anonymous” waarbij de incidentmanagementprocedure als leidraad gehanteerd werd. Hieruit zijn alvast bijkomende lessen getrokken. Wat betreft de deelname aan de cyberoefeningen, verwijs ik u naar mijn antwoord op uw vraag nr. 5-9408.

3) Binnen FEDICT, zijn 3.2 FTE actief bezig met cyberveiligheid. Er werden geen aanwervingen gedaan in 2012. Binnen CERT.be, zijn er momenteel 6 experten in cyberveiligheid actief.

4) Het aanstellen van een Computer Emergency Respons Team (CERT) is zoals opgenomen in het actieplan, geïmplementeerd. Andere elementen uit het actieplan dienen nog verder uitgewerkt te worden. Er is binnen het BelNIS overlegplatform een incidentenmanagementprocedure uitgewerkt waarbij - indien er zich een ernstige dreiging manifesteert – er een escalatieproces aanwezig is naar de politieke overheden toe. Dit voorstel van escalatie dient evenwel nog verder verfijnd te worden. Wat betreft de deelname aan de cyberoefeningen, verwijs ik u naar mijn antwoord op uw vraag nr. 5-9408.

5) Zowel Nederland als Luxemburg zijn al goed voorruit voor wat betreft de bescherming van de informaticasystemen, we delen ook dezelfde waarden. De samenwerking op het gebied van cyberveiligheid maakt deel uit van het werkprogramma Benelux 2013-2016. Deze geprivilegieerde medewerking past in het kader van de Europese samenwerking. Op Europees niveau verwijs ik naar de oefeningen die gerealiseerd werden in samenwerking met ENISA, de ontwikkeling van European GovCert, maar ook de eerste stappen van het installeren van de Network and Information Security (NIS) platform.

6) Deze verantwoordelijkheid is sectoraal gebonden. Conform de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren, werden er bepaalde verplichtingen gedefinieerd in de Belgische regelgeving voor de sectoren Energie, Vervoer en Financiën.

7) Omtrent de cyberaanvallen voor FEDICT verwijs ik u naar mijn antwoord op uw schriftelijke vraag van maart 2013 (nr. 8183).