SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2020-2021 Zitting 2020-2021
________________
9 novembre 2020 9 november 2020
________________
Question écrite n° 7-803 Schriftelijke vraag nr. 7-803

de Stephanie D'Hose (Open Vld)

van Stephanie D'Hose (Open Vld)

au secrétaire d'État à la Digitalisation, chargé de la Simplification administrative, de la Protection de la vie privée et de la Régie des bâtiments, adjoint au Premier ministre

aan de staatssecretaris voor Digitalisering, belast met Administratieve Vereenvoudiging, Privacy en de Regie der gebouwen, toegevoegd aan de Eerste minister
________________
Cybercriminalité - Cybersécurité - Entreprises - Sûreté de l'État - Cyberattaques - Conseils pour la sécurisation des données Cybercrime - Cyberveiligheid - Bedrijfsleven - Veiligheid van de Staat - Offensieve cyberaanvallen - Informatiebeveiligingsadviezen 
________________
criminalité informatique
espionnage industriel
protection des communications
protection des données
service secret
piratage informatique
Pays-Bas
entreprise
sûreté de l'Etat
computercriminaliteit
industriële spionage
telefoon- en briefgeheim
gegevensbescherming
geheime dienst
computerpiraterij
Nederland
onderneming
staatsveiligheid
________ ________
9/11/2020 Verzending vraag
(Einde van de antwoordtermijn: 10/12/2020 )
10/12/2020 Antwoord
9/11/2020 Verzending vraag
(Einde van de antwoordtermijn: 10/12/2020 )
10/12/2020 Antwoord
________ ________
Réintroduction de : question écrite 7-339 Réintroduction de : question écrite 7-339
________ ________
Question n° 7-803 du 9 novembre 2020 : (Question posée en néerlandais) Vraag nr. 7-803 d.d. 9 november 2020 : (Vraag gesteld in het Nederlands)

Je me réfère à la réponse du ministre de la Justice à une précédente question écrite n° 6-277 de la sénatrice Martine Taelman. Interrogé sur la manière dont la Sûreté de l'État assiste les entreprises face à la menace de cyberattaques, le ministre a donné la réponse suivante en 2018: "La Sûreté de l'État n'assure pas le suivi du type de cybercriminalité dont il est question dans la question parlementaire."

Je me réfère aussi au récent rapport du Service général de renseignement et de sécurité des Pays-Bas (Algemene Inlichtingen- en Veiligheidsdienst, AIVD), "Offensief cyberprogramma, een ideaal businessmodel voor Staten", publié en 2019. Contrairement à ce qui se passe dans notre pays, les services de renseignement néerlandais suivent directement la cybercriminalité visant les entreprises.

C'est aussi pour des motifs économiques que des États lancent des cyberattaques.

Les enquêtes de l'AIVD ont entre autres établi que certains États veulent moderniser rapidement leur économie et que dans ce but, ils sont prêts à voler sournoisement, et parfois à une échelle presque industrielle, des technologies innovantes occidentales et notamment néerlandaises.

Grâce aux connaissances acquises illicitement, ces États veulent implémenter ces technologies dans leur économie et/ou les produire eux-mêmes à moindre coût. Cela met en péril la capacité d'innovation économique et l'emploi aux Pays-Bas. Il va sans dire que la situation est la même, mutatis mutandis, dans notre pays.

Un autre exemple cité par l'AIVD est celui d'un État qui, par le truchement d'une de ses entreprises publiques, essaye de s'emparer d'une multinationale. En même temps, l'État en question lance des cyberattaques sournoises contre le bureau d'avocats qui encadre juridiquement ce rachat, dans le but d'obtenir des informations confidentielles à ce sujet. Cela permet audit État d'être au courant des résultats de l'entreprise et des risques qu'elle court, et ainsi de connaître les autres candidats acquéreurs, leurs offres et leurs conditions. Par conséquent, cet État peut adapter sa stratégie de reprise et calibrer au plus juste son offre et ses conditions. De telles pratiques menacent l'équité des règles du jeu de notre économie.

Concrètement, l'AIVD suit directement et activement les cyberattaques lancées contre les entreprises, ce qui n'est pas le cas dans notre pays.

L'AIVD investit dans ses capacités de recherche afin de pouvoir identifier précocement, clarifier et, si possible, éliminer les risques de cyberattaques orchestrées par des États. L'AIVD prête ainsi son concours à la détection et neutralisation de telles attaques visant des entreprises.

Il informe également les victimes de cyberattaques dans le monde des entreprises et organise des séances de sensibilisation à l'intention des cibles potentielles de ces attaques.

Il dispense en outre aux entreprises vitales des conseils spécifiques sur mesure pour la sécurisation des données.

On peut lire dans le rapport: "Grâce aux informations secrètes auxquelles nous avons accès, nous donnons des conseils de sécurisation uniques et sérieux et permettons à d'autres d'agir."

Mentionnons également le Réseau national de détection (Nationaal Detectie Netwerk, NDN), au sein duquel l'AIVD, le Service militaire de renseignement et de sécurité (Militaire Inlichtingen- en Veiligheidsdienst, MIVD) et le National Cyber Security Center (NCSC) collaborent étroitement pour renforcer la cybersécurité des services publics et des entreprises vitales (cf. https://www.cybersecurityalliantie.nl/het-nederlandse-cybersecurity-landschap/cybersecurity-landschap/cybersecurity-landschap/nationaal-detectie-netwerk).

La présente question porte sur une compétence transversale (matières régionales - économie - entrepreneuriat).

Je souhaiterais poser les questions suivantes:

1) Pouvez-vous me dire si, comme les Pays-Bas, notre pays a également été la cible de cyberattaques orchestrées par des États pour des motifs économiques (vol d'innovations, obtention d'informations sur des sociétés en vue d'un rachat, etc.)? Dans la négative, pouvez-vous détailler votre réponse? Dans l'affirmative, combien de ces cas a-t-on enregistrés annuellement en 2017, 2018 et 2019 et quels étaient les États responsables des cyberattaques à des fins économiques?

2) L'AIVD néerlandais conclut que de plus en plus d'États développeront et mettront en application un cyberprogramme offensif à visées économiques. Partagez-vous ce constat? Et la Sûreté de l'État? Dans la négative, pour quelles raisons? Dans l'affirmative, pouvez-vous dresser une liste détaillée des actions entreprises par la Sûreté de l'État pour anticiper les cyberattaques? Combien d'équivalents temps plein s'y consacrent-ils concrètement?

3) Quels montants investit-on dans les capacités de recherche du/des service(s) de sécurité afin de pouvoir identifier précocement, clarifier et, si possible, éliminer les risques de cyberattaques orchestrées par des États?

4) La Sûreté de l'État offre-t-elle son assistance pour la détection et neutralisation des cyberattaques contre les entreprises, comme le fait l'AIVD aux Pays-Bas? Dans la négative, pour quelles raisons? Dans l'affirmative, pouvez-vous donner des informations sur les moyens consacrés, le nombre annuel de dossiers et les résultats?

5) Combien de séances de sensibilisation a-t-on organisées à l'intention de cibles potentielles de ces attaques dans des secteurs vitaux de notre économie? Pouvez-vous préciser le nombre et le contenu de ces séances?

6) La Sûreté de l'État dispense-t-elle aux entreprises vitales de notre pays des conseils spécifiques sur mesure pour la sécurisation des données, comme c'est le cas aux Pays-Bas? Dans l'affirmative, pouvez-vous préciser combien de fois elle le fait? Ce nombre est-il suffisant? Dans la négative, pour quelles raisons?

7) Comment évaluez-vous l'approche néerlandaise, c'est-à-dire la collaboration étroite entre l'AIVD, le MIVD et le NCSC au sein du Réseau national de détection en vue de la sécurisation des services publics et des entreprises vitales? Existe-t-il quelque chose de semblable dans notre pays? Dans l'affirmative, pouvez-vous détailler votre réponse? Ces mesures sont-elles suffisantes? Dans la négative, pour quelles raisons?

8) Pouvez-vous expliquer en détail notre stratégie en ce qui concerne les cyberprogrammes offensifs à visées économiques de certains États?

 

Ik verwijs naar het antwoord van de minister van Justitie op een eerdere schriftelijke vraag nr. 6-277 van senator Martine Taelman. Gevraagd naar de wijze waarop de Veiligheid van de Staat bedrijven bijstaat in het kader van cyberdreiging werd het volgende gesteld in het antwoord dd. 2018: «De Veiligheid van de Staat volgt het soort cybercrime, zoals aangehaald door de geachte senator, niet op.»

Ik verwijs tevens naar het recente rapport van de Nederlandse Algemene Inlichtingen- en Veiligheidsdienst (AIVD) «Offensief cyberprogramma, een ideaal businessmodel voor Staten» van 2019. In tegenstelling tot ons land volgt de Nederlandse inlichtingendienst cybercrime in het bedrijfsleven rechtstreeks op.

Offensieve cyberaanvallen vanuit Staten worden ook vanuit een economisch motief uitgevoerd.

Zo heeft de AIVD in zijn onderzoeken onder meer onderkend dat bepaalde Staten hun economie versneld willen moderniseren en hierbij bereid zijn heimelijk en op soms bijna industriële schaal innovatieve westerse en Nederlandse technologieën te stelen.

Met behulp van deze gestolen kennis willen deze staten die technologieën integreren in hun eigen economie en / of zelf gaan produceren tegen een lagere marktprijs. Dit bedreigt het Nederlands economisch innovatievermogen en de werkgelegenheid. Het hoeft geen betoog dat hetzelfde mutatis mutandis voor ons land geldt.

In een ander onderkend voorbeeld dat de AIVD aanhaalt probeert een Staat met behulp van een staatsbedrijf een internationale onderneming over te nemen. Deze Staat voert tegelijkertijd heimelijke digitale aanvallen uit op het advocatenkantoor dat deze overname juridisch begeleidt met als doel vertrouwelijke informatie te verkrijgen over de overname. Hierdoor is deze Staat precies op de hoogte van alle bedrijfsresultaten en -risico's. Hiermee heeft deze Staat zicht op de overnameconcurrenten en hun overnamevoorwaarden en -biedingen. Hierdoor kan deze Staat zijn overnamestrategie aanpassen en precies het juiste overnamebod met de juiste voorwaarden uitbrengen. Dergelijke praktijken bedreigen het level playing field van ons bedrijfsleven.

Concreet volgt de AIVD in tegenstelling tot bij ons rechtstreeks de cyberaanvallen op het bedrijfsleven actief op.

De AIVD investeert in zijn onderzoekscapaciteit om de dreiging van Staten met een offensief cyberprogramma al in een vroeg stadium te kunnen herkennen, te duiden en waar mogelijk weg te nemen. Zo assisteert de AIVD bij de detectie en mitigatie van dergelijke aanvallen bij bedrijven.

De AIVD informeert tevens slachtoffers binnen het bedrijfsleven van digitale aanvallen en geven bewustwordingspresentaties aan mogelijke doelwitten van deze aanvallen.

Verder worden specifieke informatiebeveiligingsadviezen op maat gegeven aan vitale bedrijven.

Ik citeer uit het rapport: «Door onze toegang tot geheime informatie geven wij uniek en gedegen beveiligingsadvies en stellen wij anderen in staat te handelen.»

Verder is er het Nationaal Detectie Netwerk (NDN) waarbinnen de AIVD, de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en het National Cyber Security Center (NCSC) nauw samenwerken om overheden en vitale bedrijven digitaal veiliger te maken (cf. https://www.cybersecurityalliantie.nl/het-nederlandse-cybersecurity-landschap/cybersecurity-landschap/cybersecurity-landschap/nationaal-detectie-netwerk).

Deze vraag betreft een transversale aangelegenheid (gewestbevoegdheid – economie – ondernemen).

Graag had ik u dan ook volgende vragen voorgelegd:

1) Kan u meedelen of ook ons land net zoals Nederland het doelwit is geweest van offensieve cyberaanvallen vanuit Staten vanuit een economisch motief (diefstal innovatie, overnameprooien doorlichten, enz.)? Zo neen, kan u dit toelichten? Zo ja, hoeveel maal kwam dit voor in respectievelijk 2017, 2018 en 2019 op jaarbasis en welke Staten hanteerden offensieve cyberaanvallen met een economisch motief?

2) De Nederlandse AIVD concludeert dat steeds meer Staten een offensief economisch cyberprogramma zullen ontwikkelen en inzetten. Delen uzelf en de Dienst Veiligheid van de Staat dit besluit? Zo neen, waarom niet? Zo ja, kan u gedetailleerd oplijsten hoe de Dienst Veiligheid van de Staat hierop anticipeert? Hoeveel voltijdse equivalenten hieromtrent concreet werken?

3) Hoeveel middelen worden geïnvesteerd in de onderzoekscapaciteit van de veiligheidsdienst(en) om de dreiging van Staten met een offensief cyberprogramma al in een vroeg stadium te kunnen herkennen, te duiden en waar mogelijk weg te nemen?

4) Assisteert de Dienst Veiligheid van de Staat net zoals in Nederland (AIVD) bij de detectie en mitigatie van dergelijke aanvallen bij bedrijven? Zo neen, waarom niet? Zo ja, kan u concreet de middelen, het aantal dossiers op jaarbasis en de resultaten toelichten?

5) Hoeveel bewustwordingspresentaties aan mogelijke doelwitten van deze aanvallen wat betreft vitale onderdelen van ons bedrijfsleven worden gegeven? Kan u de inhoud en het aantal vergaderingen toelichten?

6) Geeft de Dienst Veiligheid van de Staat specifieke informatiebeveiligingsadviezen op maat aan vitale bedrijven zoals in Nederland? Zo ja, kan u toelichten hoeveel maal dit voorvalt en volstaat dit? Zo neen, waarom niet?

7) Hoe evalueert u de Nederlandse aanpak waarbij het Nationaal Detectie Netwerk waarbinnen de AIVD, de MIVD en het NCSC nauw samenwerken om overheden en vitale bedrijven veiliger te maken? Bestaat er iets gelijkaardig in ons land? Zo ja, kan u toelichten en volstaat dit? Zo neen, waarom niet?

8) Kan u onze strategie wat betreft statelijke offensieve cyberprogramma's die economische doeleinden hebben concreet en gedetailleerd toelichten?

 
Réponse reçue le 10 décembre 2020 : Antwoord ontvangen op 10 december 2020 :

La cybersécurité étant de la compétence du premier ministre, Monsieur Alexander De Croo, je vous invite à lui adresser votre question.

Aangezien cyberveiligheid onder de bevoegdheid valt van de eerste minister, de heer Alexander De Croo, nodig ik u uit om uw vraag aan hem te stellen.