Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 7-628

de Yves Buysse (Vlaams Belang) du 15 juillet 2020

au ministre de la Sécurité et de l'Intérieur, chargé du Commerce extérieur

Cybercriminalité - Approche - «Quick Responsive Community» - «Quick Reaction Force» - Autres initiatives

criminalité informatique
sécurité des systèmes d'information
guerre de l'information

Chronologie

15/7/2020Envoi question (Fin du délai de réponse: 13/8/2020)
11/8/2020Réponse

Question n° 7-628 du 15 juillet 2020 : (Question posée en néerlandais)

La lutte contre la cybercriminalité s'organise tant au niveau flamand (via la ministre de l'Emploi et de l'Économie et le ministre des Affaires intérieures) qu'au niveau fédéral.

La cybercriminalité est un phénomène qui prend une ampleur croissante et doit faire l'objet d'une lutte résolue. La Vlaamse ICT organisatie (V ICT OR) et Exello.net, l'organisation faîtière des directeurs généraux au sein des villes et communes, ont organisé le 27 février 2020 une journée d'étude à Aalter en Flandre orientale. Il a été proposé à cette occasion de mettre en place une «Quick Responsive Community». Ce nouveau réseau, qui permettrait de réagir directement en cas de cyberattaque, devrait communiquer les informations nécessaires pour que les démarches ad hoc soient mises en œuvre. Plus rapidement on réagit de manière adéquate, moindres seront les dégâts. Ce réseau combinerait deux réseaux existants, à savoir l'application «be alert» et le Partenariat local de prévention (PLP).

Monsieur le ministre, vous avez souligné, lors de cette journée d'étude, que les pouvoirs publics se mobilisaient déjà activement dans la lutte contre la cybercriminalité. La mise sur pied d'une «Quick Reaction Force», c.-à-d. une équipe capable d'intervenir rapidement en cas de cyberincident, serait bénéfique. Une attention particulière serait accordée aux infrastructures critiques et aux secteurs vitaux.

1) Avez-vous déjà pris des initiatives pour mettre en place cette «Quick responsive Community»? Dans la négative, quand prévoyez-vous de le faire?

2) A-t-on établi une liste des entreprises et/ou secteurs pour lesquels la «Quick Reaction Force» interviendrait?

3) La «Quick Reaction Force» a-t-elle déjà dû intervenir? Si oui, comment cette intervention a-t-elle pu être évaluée?

4) Comment est déterminé le nombre d'informaticiens dont cette équipe devrait être composée?

5) Quelles initiatives prenez-vous par ailleurs pour lutter contre la cybercriminalité?

Réponse reçue le 11 aôut 2020 :

1) Bien que la «quick responsive community» et la «Quick Reaction Force» se présentent de manière similaire, il est important de souligner la différence entre les deux initiatives.

La«quick responsive community» semble viser à accroître la cybersécurité des administrations publiques ou des entreprises en partageant et en diffusant les informations de manière harmonieuse. Dans le jargon professionnel, on parle d’ «indicators of compromise» (IoC) ou indicateurs à l’aide desquels on peut détecter (ou empêcher) qu’un réseau soit compromis.

Comme il s’agit d’accroître la cybersécurité, cela relève du domaine du Centre pour la cybersécurité en Belgique (CCB) que de celui de la police intégrée. L’honorable membre est également prié d’adresser cette question à la première ministre, sous l’autorité de laquelle relève le CCB.

La «Quick Response Force» (QRF), d’autre part, est une initiative au sein de la police fédérale qui a permis de créer un pool de fonctionnaires de police spécialisés pouvant être déployés en cas de cyber-incidents graves – avec un accent particulier sur les infrastructures critiques, les secteurs vitaux et les fournisseurs de services essentiels.

L’accent est mis ici sur l’exécution des tâches de police, en particulier la collecte d’un maximum de d’éléments de preuves pour permettre des enquêtes plus approfondies et ainsi lutter contre la cybercriminalité.

2) La mise en place de la QRF entre dans le cadre de la classification fournie par le plan d’urgence cybernétique du Centre pour la cybersécurité Belgique (CCB).

Les conditions suivantes s’appliquent à l’activation de la QRF:

– l’évènement répond à la définition d’une cyber-crise nationale;

– l’évènement répond à la définition d’une cyber-crise nationale et il existe des éléments qui nécessitent ou justifient une descente policière urgente;

– l’évènement répond à la définition d’un cyber-incident à petite échelle et il existe des éléments qui nécessitent une descente policière urgente et des compétences spécifiques dont ne dispose pas l’unité chargée de l’enquête sont requises pour les premières et urgentes constatations.

Pour cette classification, non seulement la nature de l’entreprise ou du secteur touché est importante, mais surtout l’impact social qu’un cyber-incident peut avoir.

Il arrivera donc souvent, par exemple, que la QRF puisse être déployée en cas d’incidents graves affectant des infrastructures critiques et / ou des secteurs vitaux, mais il n’est certainement pas question que la QRF intervienne pour chaque cas de ransomware dans une grande (ou moyenne) entreprise.

Il faut en outre rappeler que la QRF intervient toujours dans une finalité policière: aider les exploitants concernés à prendre des mesures correctives et / ou préventives est l’une des tâches d’autres partenaires de la chaîne de cyber sécurité, comme CERT.be.

3) À proprement parler, il n’y a eu aucun incident depuis la création de la Quick Reaction Force qui remplisse les conditions d’un déploiement (mise à l’échelle selon le plan de cyber-urgence).

Néanmoins, il y a eu une descente, concernant une attaque de ransomware dans une administration locale.

Lors d’une autre attaque de ransomware, une demande d’appui avait été formulée à la Computer Crime Unit régionale qui était chargée de l’enquête mais, finalement, aucune intervention de la QRF ne s’était avérée nécessaire.

Bien que le pool QRF fonctionne sur une base volontaire, une évaluation de ces cas a montré qu’il y avait une volonté et une capacité suffisantes pour pouvoir déployer le QRF à court terme. D’autre part, il va sans dire que des leçons pourraient également être tirées de cette première intervention.

4) Au sens strict, les termes «techniciens IT» ne sont pas fautifs, étant donné que les inspecteurs principaux spécialisés des Computer Crime Units ont tous une expérience IT, toutefois, il convient de préciser que la QRF se compose uniquement de fonctionnaires de police (ayant pleine compétence policière) et ne compte donc pas de personnel civil.

Lors de la mise en place de la QRF, un objectif de quinze membres de l’équipe a été défini. Sur la base des besoins et de la pratique opérationnels, il sera évalué en permanence si ce contingent est suffisant pour assurer les tâches de la QRF.

En outre, lors de la mise en place de la QRF, un inventaire a été fait des collaborateurs des différentes Computer Crime Units (tant fédérales que régionales) qui ont les compétences nécessaires pour enquêter sur la cybercriminalité dans des environnements de réseau complexes.

Sur la base de cette liste, le pool QRF a été mis en place sur une base volontaire avec l’accord des responsables hiérarchiques respectifs.

Le pool se compose actuellement de quinze collaborateurs, plus deux dirigeants chargés de la direction opérationnelle et de la gestion du pool.

5) La supervision, la coordination et la mise en œuvre de la stratégie belge en matière de cybersécurité relève de la compétence du Centre pour la cybersécurité (CCB)

Le Centre pour la cybersécurité a été fondé par l’arrêté royal du 10 octobre 2014. Le CCB relève de l’autorité du premier ministre.