Le Comité R accablant pour la cyber-protection belge

Un manque de coordination et une utilisation insuffisante des services de sécurité font de la Belgique une cible aisée pour les cyber-attaques, estime le Comité R.

Un manque de coordination et une utilisation insuffisante des services de sécurité font de la Belgique une cible aisée pour les cyber-attaques, estime le Comité R.
Le Comité permanent de contrôle des services de Renseignements et de sécurité (Comité R) publie des conclusions particulièrement fermes sur la nécessité de protéger les systèmes d’informations contre les cyber-attaques émanant de l’étranger. Le Comité R observe en effet que les menaces réelles sont connues depuis longtemps déjà et qu’il les a soulignées, tandis que les technologies et les groupes actifs dans le domaine de la mise sur écoute augmentent rapidement en nombre.

Le Comité R reconnaît que tant la Sécurité d’Etat que le Service Général du Renseignement et de la Sécurité (SGRS) “sont conscients de la gravité des menaces que constituent les cyber-attaques, de quelque pays qu’elles proviennent, contre les systèmes d’informations (civils et militaires) vitaux du pays.” Qui plus est, les services ont fourni “un travail remarquable” en vue de sensibiliser “leurs clients”.

Le Comité R a également constaté qu’il n’existe pas de politique coordonnée et que plusieurs services fédéraux (autorité nationale de sécurité, Fedict, Belnet, Bipt) s’occupent de la sécurisation des systèmes d’informations, “sans avoir une vue générale de l’infrastructure critique de ceux-ci”. Concrètement, il s’agit dès lors de “mettre au point une stratégie fédérale” et de “créer rapidement une agence ayant pour mission de coordonner les activités en matière de sécurité de l’information”.

Pour ce qui est des services de renseignements, ils sont aux prises avec des problèmes d’engagement d’experts qualifiés dans le domaine, parce que les entreprises notamment proposent de meilleurs salaires. En outre, ils manquent aussi de moyens pour certifier et homologuer les systèmes contenant des informations sensibles, ainsi que l’équipement avec lequel ceux-ci sont conçus. Le Comité R souhaite entre autres que les fournisseurs de ce genre d’équipement soient obligés de disposer d’une “habilitation de sécurité” et qu’une “attention particulière soit accordée aux liens éventuels de ces firmes avec certains services de renseignements étrangers”. Une condition qui pourrait du reste limiter particulièrement nettement le choix, semble-t-il.

Ce qui est intéressant aussi, c’est que le Comité R lance un appel pour que “soit prévue la possibilité de neutraliser des systèmes à l’étranger en cas d’attaques lancées contre les systèmes d’informations d’autres ministères que la défense nationale [les services de sécurité ne peuvent intervenir actuellement que dans le cas d’une attaque ciblant la défense nationale, ndlr] ou contre l’infrastructure critique nationale.”

Cette dernière recommandation suscitera certainement des questions sur la manière dont tout cela devrait être mis en pratique, puisque cela peut aller du simple fait de faire appel à des services étranges – l’agence européenne de sécurité Enisa va à ce propos encore organiser des exercices en la matière – jusqu’à une auto-approche (pro)active de ces systèmes par delà les frontières,…

Les conclusions et recommandations de l’enquête ont été publiées sur le site du Comité de contrôle des services de Renseignements et de sécurité.