|
|
Cyberattaques - Entreprises d'intérêt public - Mesures - Rapport américain
criminalité informatique
établissement d'utilité publique
distribution de l'électricité
| 23/5/2013 | Envoi question |
| 18/12/2013 | Rappel |
| 21/2/2014 | Rappel |
| 25/3/2014 | Réponse |
Selon un rapport d'enquête détaillé transmis au Congrès, le réseau électrique américain est sensible aux cyberattaques, qui ont déjà lieu dans la pratique. Une des entreprises d'utilité publique subit 10 000 attaques par mois, tandis que d'autres « utilities » détectent tous les jours de nombreuses tentatives. Environ 150 de ces entreprises d'intérêt public ont été interrogées en janvier de cette année.
Plus d'une douzaine de ces entreprises d'intérêt public indiquent qu'elles sont confrontées « quotidiennement », « constamment » ou « fréquemment » à des cyberattaques. Parmi elles, une entreprise de fourniture d'électricité évoque même 10 000 tentatives d'attaque par mois. Les firmes et les instances d'intérêt public interrogées n'ont pas évoqué d'éventuels dégâts consécutifs aux nombreuses attaques. Selon l'enquête, l'automatisation croissante et la connectivité interne des réseaux électriques augmentent la vulnérabilité. L'interconnectivité croissante augmente la vulnérabilité du réseau de distribution d'électricité aux cyberattaques menées à distance. De nombreux systèmes de gestion du réseau électrique américain sont aussi connectés à internet, ce qui permet de mener des attaques facilement et à faible coût.
J'aimerais obtenir une réponse aux questions suivantes.
1) Comment le secrétaire d'État réagit-il à ce rapport ? La situation est-elle comparable à celle de notre pays ?
2) Le secrétaire d'État peut-il indiquer si des cyberattaques dirigées contre le réseau électrique et/ou certains entreprises d'intérêt public ont déjà eu lieu dans notre pays ? Dans la négative, comment l'explique-t-il ? Dans l'affirmative, peut-il illustrer sa réponse par des chiffres ?
3) Les cyberattaques contre notre réseau d'approvisionnement en électricité ont-elles augmenté ? Le secrétaire d'État peut-il donner des précisions ?
4) Une concertation a-t-elle déjà eu lieu à ce sujet ? Dans l'affirmative, avec qui et quand a-t-elle eu lieu, et quelles ont été les conclusions principales ? Dans la négative, une concertation urgente avec le secteur et les services de sécurité n'est-elle pas indiquée ?
5) Le secrétaire d'État peut-il indiquer si des mesures concrètes sont en préparation pour repousser le risque de cyberattaques ? Dans l'affirmative, quelles sont ces mesures ? Le secrétaire d'État peut-il donner des explications détaillées quant au contenu et au calendrier ?
1, 2 et 3) J’ai pris note du rapport évoqué par l’honorable membre, lequel est disponible en ligne via l'article « VS vreest cyberaanvallen op stroomnet » du 22 mai 2013 publié sur le site web : www.webwereld.nl.
Non seulement les services d’utilité publique dans le secteur de l'énergie (gaz et électricité), mais la plupart des entreprises connectées à l’internet sont exposées à de diverses tentatives d’intrusion.
Pour éviter que de telles tentatives aboutissent, ces services d’utilité publique investissent dans de nombreuses solutions, allant de mesures techniques aux processus opérationnels spécifiques et à la sensibilisation du personnel.
À ce jour, aucune tentative couronnée de succès n’a été commise auprès des entreprises d’utilité publique dans le secteur de l’énergie (gaz et électricité).
Aussi le CERT.be, le « Federal Cyber Emergency Team » (cellule fédérale pour la sécurité informatique en Belgique) qui agit pour le compte de Fedict, n'a pas encore reçu d’avis volontaire d’un incident faisant mention d’une cyberattaque ciblée dans le but d’interrompre le fonctionnement d’une entreprise d’utilité publique, qu’il s’agisse de gaz ou d’électricité.
Toutes les entreprises et organisations peuvent s’adresser gratuitement au CERT pour signaler des incidents cybernétiques (piratage de données et d’infrastructure de réseau et de données, cyberattaques, etc.). Cette cellule dispense des conseils pour réagir sans délai à l'incident et ceci en coordination avec toutes les entreprises ou organisations intéressées.
La cellule CERT dispose de chiffres généraux sur le nombre d’incidents signalés (volontairement) et ces chiffres sont disponibles sur demande.
4) À ce jour, une concertation n’a pas été organisée au sujet des cyberattaques contre les services d’utilité publique au sein des secteurs de l’électricité et du gaz.
S’il s’avérait opportun de se concerter à ce sujet, BELNIS pourrait être utilisé comme plate-forme à cet effet. BELNIS est un organisme qui permet aux institutions fédérales de se concerter sur les défis dans le domaine de la sécurité de l'information et des initiatives souhaitables dans ce domaine.
5) La directive européenne 2008/114/CE concernant l’identification et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection a été transposée dans la législation belge par la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, ainsi que par l’arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien.
La législation prévoit quatre secteurs au sein desquels les infrastructures essentielles sont identifiées :
a. Énergie
b. Transport
c. Finance
d. Communications électroniques
L’autorité sectorielle responsable de la désignation des infrastructures critiques dans le secteur de l'énergie est la Direction générale de l'Énergie du Service public fédéral (SPF) Économie.
Actuellement, les préparatifs pour la désignation de ces infrastructures sont en cours. Lorsque la désignation sera définitive, l’autorité sectorielle signifiera aux opérateurs concernés la désignation de leur(s) infrastructure(s) comme infrastructure critique.
Endéans un délai d’un an, l'opérateur élaborera un plan de sécurité en vue de prévenir, réduire et neutraliser les risques de perturbation du fonctionnement ou de la destruction de l'infrastructure critique par la mise au point de mesures matérielles et organisationnelles internes.
Dans le processus d'élaboration d'un tel plan, on peut déterminer, sur la base d'une analyse des risques comprenant une identification des principaux scénarios de menaces potentielles pertinentes d’actes intentionnels destinés à perturber le fonctionnement ou la destruction des infrastructures critiques, si les cyberattaques ressortent de ces menaces potentielles.
Endéans le même délai, l'opérateur mettra en œuvre les dispositions de sécurité intérieure prévues par le plan de sécurité.
Concernant le plan de sécurité, le service d’inspection (DG Energie ou AFCN pour les sites nucléaires) peut vérifier si le contenu de ce plan satisfait aux exigences minimales des dispositions légales d’application (contrôle administratif).