SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2021-2022 Zitting 2021-2022
________________
30 mars 2022 30 maart 2022
________________
Question écrite n° 7-1548 Schriftelijke vraag nr. 7-1548

de Tom Ongena (Open Vld)

van Tom Ongena (Open Vld)

à la vice-première ministre et ministre de la Fonction publique et des Entreprises publiques, des Télécommunications et de la Poste

aan de vice-eersteminister en minister van Ambtenarenzaken en Overheidsbedrijven, Telecommunicatie en Post
________________
Cybersécurité - Hébergeurs - Utilisation par les services publics - Chiffres et tendances Cyberveiligheid - Hostingbedrijven - Gebruik door de overheidsdiensten - Cijfers en tendensen 
________________
sécurité des systèmes d'information
centre serveur
criminalité informatique
protection des données
informatiebeveiliging
informatiedienstverlening
computercriminaliteit
gegevensbescherming
________ ________
30/3/2022Verzending vraag
(Einde van de antwoordtermijn: 28/4/2022)
27/4/2022Antwoord
30/3/2022Verzending vraag
(Einde van de antwoordtermijn: 28/4/2022)
27/4/2022Antwoord
________ ________
Aussi posée à : question écrite 7-1547
Aussi posée à : question écrite 7-1549
Aussi posée à : question écrite 7-1550
Aussi posée à : question écrite 7-1547
Aussi posée à : question écrite 7-1549
Aussi posée à : question écrite 7-1550
________ ________
Question n° 7-1548 du 30 mars 2022 : (Question posée en néerlandais) Vraag nr. 7-1548 d.d. 30 maart 2022 : (Vraag gesteld in het Nederlands)

Une enquête récente de la société de sécurité informatique Kaspersky révèle que les Pays-Bas restent toujours aussi populaires pour les cybercriminels. Cela s'explique notamment par la qualité de l'infrastructure numérique ; les connexions à internet y sont rapides et bon marché (cf. https://pointer.kro ncrv.nl/online criminelen bestoken de wereld met cyberaanvallen vanuit nederland).

Ces pratiques ne sont pas restées sans réponse. Dans une lettre adressée au secteur de l'internet, la police néerlandaise a, encore récemment, mis en garde contre les revendeurs d'hébergement étrangers, des sociétés qui sous-louent de l'espace sur le serveur d'un hébergeur. Ces espaces d'hébergement sont utilisés pour toutes sortes de pratiques illégales, telles que l'envoi de spams, l'hébergement de contenus pédopornographiques et le lancement d'attaques au moyen de logiciels rançonneurs.

On estime qu'il existe aux Pays-Bas entre 800 et 2000 hébergeurs, qui louent de l'espace sur des serveurs informatiques pour, par exemple, faire tourner un site internet ou entreposer de grandes quantités de données. Un grand groupe de locataires et de revendeurs internationaux (des entreprises qui sous-louent à leur tour de l'espace) ont recours à leurs services.

Parmi ces revendeurs, il y a des sociétés douteuses qui proposent leurs services à des cybercriminels. Il arrive ainsi que des attaques au moyen de logiciels rançonneurs ou autres soient lancées à partir d'autres pays via des hébergeurs légitimes néerlandais.

Il est difficile de poursuivre ces revendeurs dans la pratique. Un règlement européen dispose en effet que les hébergeurs ne peuvent pas être tenus responsables de la manière dont leurs serveurs sont utilisés.

En ce qui concerne le caractère transversal de la présente question écrite : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le plan national de sécurité 2016-2019 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

Je souhaiterais dès lors vous poser les questions suivantes :

1) Y a-t-il des services des autorités belges qui «sous-louent» des espaces d'hébergement à des tiers? Si oui, lesquels? Les autorités de notre pays louent-elles de tels espaces d'hébergement à des revendeurs? Si oui, combien et pour quels services?

2) Est-ce que certaines entreprises publiques sous-louent elles-mêmes des espaces d'hébergement à des revendeurs ou mettent gratuitement des espaces d'hébergement à la disposition de tiers? Si oui, quelles entreprises l'ont fait au cours des trois dernières années et combien sont-elles au total? Observe-t-on certaines tendances?

3) Si des entreprises publiques ou des services publics ont recours à des espaces sous-loués, pourriez-vous préciser, sous forme de tableaux, pour quels services ? Pourriez-vous également indiquer si des risques en matière de sécurité y sont liés et en quoi ils consistent exactement ?

4) Pourriez-vous expliquer en détail quels contrôles de sécurité en matière de protection de la vie privée sont effectués pour les données qui sont stockées sur ces espaces d'hébergement?

 

Uit een onlangs gepubliceerd onderzoek van computerbeveiligingsbedrijf Kaspersky blijkt dat Nederland onverminderd populair is voor cybercriminelen. Dit heeft te maken met de goede digitale infrastructuur ; het internet is er snel en goedkoop (cf. https://pointer.kro-ncrv.nl/online-criminelen-bestoken-de-wereld-met-cyberaanvallen-vanuit-nederland).

Deze praktijken bleven niet onbeantwoord. In een brief gericht aan de internetsector waarschuwde de Nederlandse politie onlangs nog voor buitenlandse resellers, bedrijven die serverruimte van hostingbedrijven doorverhuren. De serverruimtes worden gebruikt voor diverse illegale praktijken zoals het versturen van spam, het hosten van kinderporno en het uitvoeren van ransomware aanvallen.

Naar schatting zijn er in Nederland zo'n achthonderd tot tweeduizend hostingbedrijven. Zij verhuren ruimte op computerservers om bijvoorbeeld een website op te draaien of voor het stallen van grote hoeveelheden van data. Een groot cluster aan huurders en internationale resellers (bedrijven die de ruimte weer doorverhuren) maakt daarvan gebruik.

Tussen deze resellers zitten ook foute bedrijven, die hun diensten aan cybercriminelen aanbieden. Zo kan het dat vanuit het buitenland, via Nederlandse legitieme hosters, ransomware of andere aanvallen worden uitgevoerd.

Deze resellers zijn in de praktijk moeilijk te vervolgen. Er is namelijk een Europese verordening die stelt dat hostingbedrijven in principe niet aansprakelijk gesteld kunnen worden voor wat er op hun servers gebeurt.

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd:

1) Zijn er diensten binnen onze overheid die serverruimtes «onderverhuren» aan derden? Zo ja, welke? Huurt onze overheid dergelijke serverruimtes zoals hierboven beschreven? Zo ja, hoeveel zijn er dit en voor welke diensten?

2) Zijn er overheidsbedrijven die ofwel zelf gebruik maken van het onderverhuren van serverruimtes of serverruimtes beschikbaar stellen aan derden? Zo ja, deel mee welke bedrijven in de jongste drie jaar. Hoeveel zijn dit in totaal? Zijn er trends te bemerken?

3) Indien overheidsbedrijven of overheidsdiensten gebruik maken van bovengenoemde services, gelieve dan in tabellen mee te delen voor welke diensten deze aangewend worden. Gelieve ook mee te delen of hier veiligheidsrisico's aan verbonden zijn en wat ze precies zijn.

4) Kan u gedetailleerd toelichten welke veiligheidscontroles er plaatsvinden wat de privacy betreft over de aldaar opgeslagen data?

 
Réponse reçue le 27 avril 2022 : Antwoord ontvangen op 27 april 2022 :

Pour la réponse à cette question, je me réfère à la question écrite no 7-1547 soumise au premier ministre le 30 mars 2022.

Ik verwijs voor het antwoord op deze vraag naar schriftelijke vraag nr. 7-1547 gesteld aan de eerste minister op 30 maart 2022.