Interpellation concernant le système de sécurité informatique des entreprises bruxelloises

Interpellation de Monsieur Gaëtan VAN GOIDSENHOVEN, Député, adressée à M. Didier GOSUIN, Ministre du Gouvernement de la Région de Bruxelles-Capitale, chargé de l’Emploi et de l’Economie,

concernant  » le système de sécurité informatique des entreprises bruxelloises« 

 

M. Gaëtan Van Goidsenhoven (MR).- Vous avez évidemment entendu parler de la cyberattaque, connue à présent sous le nom de WannaCry, qui a sévi lors du week-end des 13 et 14 mai derniers. Fort heureusement, peu nombreuses sont les entreprises bruxelloises qui en ont été victimes. Seule l’entreprise Q-Park a publiquement annoncé l’attaque qu’elle a dû subir.

D’après les articles de presse sur le sujet, et suivant les dires des experts dans le domaine, il y a fort à parier qu’une seconde vague présentant des variantes de ce logiciel de rançon se produise assez prochainement.

Concrètement, la cyberattaque dont il est question s’est propagée dans pas moins de 150 pays différents, faisant près de 200.000 victimes de piratage en l’espace d’un seul week-end. On estimait, le lundi suivant à 10 heures, que l’extorsion s’élevait à quelque 40.328 euros en valeur bitcoins. Si l’impact a été limité en Belgique, une telle attaque des systèmes et réseaux informatiques doit nous rappeler que des activités vitales sont constamment menacées et que le coût peut être colossal pour une économie. C’est la raison pour laquelle des mesures de renforcement – si elles ne sont à ce jour pas déployées – et des conseils aux entreprises en cas de cyberattaque doivent être mises en œuvre à notre échelle.

Pour ce qui concerne la Belgique, nous savons donc que la société Q-Park a été attaquée. Toutefois, ce sont une dizaine d’entreprises – des petites et moyennes entreprises (PME) pour la plupart – qui se sont signalées auprès de la Federal Cyber Emergency Team (CERT), laquelle dépend du Centre pour la cybersécurité Belgique (CCB), en témoignant avoir été victimes de ce virus.

Au niveau mondial, et en particulier dans le monde entrepreneurial, nous savons que des entreprises telles que Renault, Fedex, l’opérateur espagnol des télécoms et les chemins de fer allemands paient lourdement les conséquences de cette attaque.

Plus grave, il a été soulevé que 48 hôpitaux britanniques, sur un total de 248, qui disposaient du système d’exploitation Windows XP, ont vu leur organisation sérieusement perturbée, au point d’être contraints de refuser des patients. Tant nos services publics que nos entreprises doivent améliorer leur capacité de résistance et d’action en réponse à ce type d’attaque, en particulier lorsque la majorité des experts s’accordent à dire qu’une seconde vague est attendue.

En phase avec la réalité du terrain et des menaces existantes, le gouvernement fédéral s’est réuni trois jours à peine après le lancement de cette cyberattaque afin d’avancer dans les dossiers relatifs à la justice et à la sécurité. Parmi ceux-ci, les dossiers qui relèvent de l’agenda numérique et des télécoms n’ont évidemment pas été oubliés.

En témoigne, par exemple, l’annonce de la création d’un centre d’appels ouvert 24 heures sur 24 et 7 jours sur 7, à destination des entreprises. L’un de ses objectifs est de faire le lien et d’informer les entreprises quant à l’existence de la cellule du CCB, de la CERT, et quant à la manière dont elles peuvent faire face à ces attaques.

Ensuite, le pouvoir fédéral a également annoncé qu’un système d’alerte précoce allait être créé pour toutes les infrastructures critiques, à savoir les infrastructures d’énergie, de télécommunications, de transports et de finances ainsi que, prochainement, le réseau d’eau potable et le système de santé publique. Sur ce point, l’objectif qui sous-tend la création du système d’alerte précoce consiste en la prévention des menaces potentielles sur ces secteurs, via une plate-forme commune.

Enfin, la troisième mesure fédérale concerne la mise en place d’un Computer Security Operations Center, un centre d’opérations de sécurité informatique, dont la mission est de protéger les infrastructures critiques du secteur public.

En vertu des informations qui précèdent, et pour m’assurer de la complémentarité de vos actions avec celles de l’État fédéral, je souhaiterais vous poser quelques questions afin d’éclaircir un certain nombre d’éléments. Quels sont les dispositifs d’urgence existants prévus dans vos services, en synergie avec ceux de la secrétaire d’État en charge de l’informatique régionale et communale et de la transition, et en complémentarité avec les actions prévues et annoncées par le gouvernement fédéral en cas de cyberattaque généralisée des entreprises à Bruxelles ?

Quelles sont les mesures qui font aujourd’hui l’objet d’une réflexion au sein de votre cabinet pour améliorer la sécurité informatique des entreprises bruxelloises ? Par exemple, ces entreprises et PME bénéficient-elles d’un soutien humain, technique et/ou financier pour renforcer la sécurité de leurs réseaux si elles en font la demande ? Si oui, à qui peuvent-elles adresser cette demande ?

Qu’est-il fait, à l’échelle de notre Région, pour le renforcement de l’information et de la sensibilisation aux dangers de la cybercriminalité auprès de nos entreprises ?

Enfin, avez-vous pris des mesures particulières, à la suite de la cyberattaque que nous avons connue dernièrement, pour vérifier et renforcer, au besoin, la sécurité informatique des services et organismes régionaux dont vous avez la tutelle ? Par exemple, vos services aident-ils, d’une manière ou d’une autre, à la diffusion du fascicule « Cybersécurité. Guide pour les PME » rédigé par le CCB ? 

[Intervention de Monsieur Gjanaj]

[Intervention de Monsieur Fassi-Fihri]

M. Didier Gosuin, ministre.- En mars 2017, la secrétaire d’État Mme Bianca Debaets et moimême avons répondu à une question orale de M. El Ktibi sur la cybersécurité et les infrastructures informatiques de la Région bruxelloise. Nous avons rappelé que la sécurité informatique des très petites entreprises (TPE) et des petites et moyennes entreprises (PME) ne relevait pas de la Région, mais du pouvoir fédéral. Dans son interpellation, M. Van Goidsenhoven a d’ailleurs cité les mesures prises à l’échelon fédéral.

La réalisation d’une analyse de vulnérabilité n’est pas de notre compétence. Si le pouvoir fédéral s’en est chargé en Région bruxelloise, il ne nous en a pas communiqué les résultats. La secrétaire d’État Mme Bianca Debaets et moi-même n’avons pas attendu les récentes cyberattaques pour mener une série d’actions par le biais des services du Centre d’informatique pour la Région bruxelloise (CIRB) et d’impulse.brussels, ainsi que via les aides à l’expansion économique.

Sur le plan organisationnel, le CIRB a désigné un Chief Information Security Officer (CISO), chargé de la coordination et de l’animation de la politique de sécurité de l’information au CIRB. Les incidents relatifs à la sécurité font donc l’objet d’un suivi par cet officier de sécurité de l’information. Ce dernier remplit également de nombreuses missions de conseil auprès des organismes publics, tant régionaux que locaux, afin de les conscientiser à cette problématique et de diffuser les bonnes pratiques en la matière.

La cellule software d’impulse.brussels a mis en place, depuis 2015, des ateliers de sensibilisation à la cybercriminalité, avec la participation d’experts. Elle a coorganisé une série d’ateliers en 2015- 2016 tels que :

– Cyber Security Challenge Belgium, avec Nviso ;

– Workshop Cybersecurity, avec iMinds ;

– Workshop Digital Transformation Conference, avec la participation de la Federal Computer Crime Unit.

Elle a aussi collaboré à l’organisation d’une mission multisectorielle sur les technologies de l’information à Tel Aviv et Ramallah, et a invité ses membres à y participer. L’un des domaines d’étude de la mission était la cybersécurité.

Enfin, dans le cadre des aides à l’expansion économique, la cybersécurité bénéficie d’une aide à la consultance, aux termes du chapitre III de l’arrêté du 26 juin 2008 relatif aux aides de pré- activité et pour le recours aux études et aux services de conseils extérieurs, pour autant que l’entreprise bénéficiaire satisfasse à toutes les conditions de l’aide.

La Région a déjà subventionné plusieurs entreprises pour des conseils sur la cybersécurité, et le nombre de demandes de conseil est en croissance.

M. Gaëtan Van Goidsenhoven (MR).- Nous savons évidemment que le gouvernement fédéral est principalement responsable en matière de lutte contre la cybercriminalité. Néanmoins, la teneur de vos propos laisse entendre que des complémentarités et la déclinaison commune de certaines politiques sont envisageables au départ de la Région. Vous avez d’ailleurs détaillé certaines modalités destinées, en quelque sorte, à conscientiser les entreprises et à favoriser les bonnes pratiques dans plusieurs secteurs.

Des initiatives régionales en la matière ont donc été prises en complément des mesures prises au niveau fédéral. Je m’en réjouis, mais je déplore l’absence de contacts entre les deux niveaux de pouvoir après la dernière grande attaque dont les réseaux ont été victimes.

Je prends acte de cet élément et j’invite l’ensemble des niveaux de pouvoir, chacun pour ce qui les concerne et avec leur propre capacité d’influence, à participer à une lutte plus ferme et plus profonde contre ce phénomène. Inévitablement, il nous frappera encore dans un proche avenir. Il importe de s’y adapter, car la lutte est très complexe et nécessite un renforcement, dans les mois et les années à venir, des collaborations et des transversalités.

[Intervention de  Monsieur Gjanaj]

M. Didier Gosuin, ministre.- Je comprends bien, mais vous posez des questions relatives aux statistiques. Je n’ai pas connaissance du montant des moyens affecté à tel ou tel projet. Pour cela, il vous faut introduire une question écrite. Il m’est impossible de vous donner des chiffres spontanément.

[Intervention de  Monsieur Gjanaj]

 

 

Pour retrouver le texte dans son intégralité, cliquez ici.
CRI COM (2016-2017) n°122, Juin 2017, pp. 71-79