Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-9409

de Karl Vanlouwe (N-VA) du 25 juin 2013

au secrétaire d'État à la Fonction publique et à la Modernisation des Services publics, adjoint au ministre des Finances et du Développement durable, chargé de la Fonction publique

La cyberconcertation fédérale

criminalité informatique
protection des données

Chronologie

25/6/2013Envoi question
12/7/2013Réponse

Requalification de : demande d'explications 5-3644

Question n° 5-9409 du 25 juin 2013 : (Question posée en néerlandais)

En attendant la création, espérée depuis longtemps, du Centre pour la Cybersécurité en Belgique (CCSB) par la chancellerie du Premier ministre, la concertation en ce domaine se déroule à deux niveaux.

Le premier est la plateforme BELNIS qui s'occupe des menaces nationales à la sécurité informatique. Le second est l'Information Security Management Forum (ISMF), un organe de concertation entre les conseillers en information des services publics fédéraux (SPF). Dans les deux cas, le secrétariat est assuré par Fedict.

BELNIS, créé en 2005 par le Comité ministériel du renseignement et de la sécurité, se réunit mensuellement, hormis durant l'été. La collaboration des SPF est volontaire. La plateforme se compose de différents groupes de travail spécialisés, qui ont par exemple élaboré, à l'intention du Premier ministre, des recommandations pour la future agence nationale pour la sécurité de l'information.

L'ISFM a été créé dans le cadre de la loi du 15 août relative à la création et à l'organisation d'un intégrateur de services fédéral. Il se réunit toutefois depuis janvier 2011 sur une base volontaire avec une périodicité mensuelle afin d'harmoniser les mesures de sécurité. Les normes ISO de la série 27000 servent de fil rouge à la concertation. D'après la réponse à ma demande d'explications 5-2412, il aurait déjà rédigé un projet de règlement général de sécurité de l'information, accompagné d'un document qui décrit le fonctionnement souhaitable des groupes de pilotage pour la sécurité des réseaux informatiques au sein des SPF.

Voici mes questions au secrétaire d'État :

1) Comment évaluez-vous le fonctionnement de BELNIS et de l'ISMF ? Tous les services publics apportent-ils leur collaboration à ces forums ? Quels sont les services publics rarement représentés ?

2) Quels sont les groupes de travail actifs au sein de la plateforme BELNIS ? Invite-t-on aussi des acteurs privés aux réunions ?

3) Quels secteurs des autorités publiques BELNIS définit-il comme infrastructures critiques ?

4) À quel stade l'arrêté d'exécution élaboré par l'ISMF se trouve-t-il ? A-t-il été transmis au Premier ministre et peut-il être mis en œuvre ?

5) Où en est le règlement général de sécurité de l'information et le document qui décrit le fonctionnement souhaitable des groupes de pilotage pour la sécurité des réseaux informatiques au sein des SPF ?

6) Est-il possible de consulter les procès-verbaux de ces deux forums ? Je souhaiterais être informé des conclusions des réunions de BELNIS et de l'ISMF.

Réponse reçue le 12 juillet 2013 :

1. Belnis joue le rôle qui lui a été dévolu en fonction de la décision du Conseil des ministres de 2005. Belnis ne se substitue toutefois pas à une autorité centrale de coordination. En général, l’ensemble des Services publics fédérals (SPF) prévus participent régulièrement aux réunions. L'Information Security Management Forum (ISMF), qui se tient de manière informelle depuis deux ans à l’initiative de Fedict, ne jouera pleinement son rôle que par la mise en œuvre de l’arrêté royal (AR) du 17 mars 2013. Le forum a déjà rédigé divers documents et a aussi permis un rapprochement des visions des différentes administrations participantes en matière de sécurité ICT.

2. Actuellement, deux groupes sont actifs : le groupe « Gestion des incidents », qui a défini la procédure de gestion des incidents et veille à son actualisation, et le groupe « Stratégie », qui a proposé la stratégie approuvée par le Conseil des ministres du 21 décembre 2012 et qui assure le suivi de la mise en œuvre.

3. Les secteurs sont définis dans la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques qui transpose la directive européenne du 08 décembre 2008. Il s’agit des secteurs Énergie, Transports, Finances et Communications électroniques. Ces infrastructures critiques doivent être désignées non par Belnis mais par les départements compétents spécialisés, désignés « autorités sectorielles ».

4. et 5. Aucun arrêté d’exécution n’a été défini par l’ISMF. Le forum a proposé différents projets de règlement en matière de sécurité informatique. Pour leur mise en œuvre, ces différents textes doivent obtenir l’approbation des comités de direction des différents services. Je souhaite faire évoluer ces propositions vers une directive fédérale.

6. Les rapports de Belnis sont des documents classifiés et sont revêtus de la mention « Diffusion restreinte » conformément à l’AR du 24 mars 2000 portant exécution de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité.

Les documents de Belnis et de l'ISMF révèlent certaines faiblesses de l’état des lieux de la sécurité ICT belge et une divulgation publique pourrait dès lors être très préjudiciable.