Question écrite concernant la protection des entreprises bruxelloises contre la cybercriminalité.
- de
- Bianca Debaets
- à
- Barbara Trachte, Secrétaire d'État à la Région de Bruxelles-Capitale, en charge de la Transition économique et de la Recherche scientifique (question n°103)
| Date de réception: 20/01/2020 | Date de publication: 23/04/2020 | ||
| Législature: 19/24 | Session: 19/20 | Date de réponse: 22/04/2020 | |
| Date | Intitulé de l'acte | de | Référence | page |
| 13/03/2020 | Recevable | Bureau élargi du Parlement | ||
| 22/04/2020 | Annexe à la réponse | p.m. | Annexe |
| Question | La cyberattaque subie par Picanol à la mi-janvier a fait la une des journaux dans tout le pays. Ses 2.400 salariés ont été mis une semaine en chômage technique suite à l’intrusion des hackers. Il va sans dire qu’outre l’atteinte à l’image de la marque, le préjudice économique subi par Picanol est considérable. Même si la lutte contre la cybercriminalité est une compétence fédérale, il existe bien sûr des liens au niveau régional. Ainsi, la ministre Crevits a annoncé en novembre un investissement de 20 millions d’euros destinés à améliorer la cybersécurité des entreprises flamandes. Une somme de neuf millions d’euros pourra ainsi être mobilisée chaque année afin de soutenir les entreprises flamandes. L’Agence flamande pour l’innovation et l’entreprenariat (VLAIO) va engager des prestataires de service spécialisés dans la cybersécurité et la transition numérique. Ceux-ci seront chargés d’informer directement les entreprises, de les conseiller, les accompagner et les coacher. Un site internet proposant des conseils pratiques, des guides de référence, des exemples et des séquences vidéo illustrant les modalités de la cybersécurité sera mis en ligne au printemps. Enfin, un subside de huit millions d’euros a été affecté à une étude visant le développement d’outils permettant de renforcer la cybersécurité. Selon l’Eurobaromètre de 2017, entre 53 et 71 % des entreprises en Belgique auraient déjà été victimes d’une forme de cybercriminalité. La police en estime le coût entre 0,84 et 1 % du produit intérieur brut. D’après le Forum économique mondial, 74 % des entreprises seront touchées d’ici 2020 par une forme de cybercriminalité. L’article 32 (qui a trait à la sécurité du traitement) du règlement général sur la protection des données, mieux connu sous le nom de RGPD prévoit : “Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : […] b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; […] d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.” S’agissant de cette problématique, l’accord de gouvernement bruxellois prévoit ceci : “Le gouvernement mettra en place un accueil spécifique pour les victimes d’attaques informatiques, de harcèlement ou de discriminations sur les réseaux sociaux et soutiendra les efforts en matière de cybersécurité.” Je souhaite donc vous poser les questions suivantes : - Disposez-vous de chiffres précis et actuels concernant l’impact de la cybercriminalité sur l’économie bruxelloise ? Êtes-vous au courant d’attaques d’une telle ampleur à Bruxelles ? - Y a-t-il une concertation avec le Centre pour la cybersécurité Belgique (CCB) ? Combien d’attaques ciblant les entreprises et les institutions sont-elles recensées à Bruxelles ? - Le gouvernement bruxellois s’attelle-t-il à des mesures concrètes à l’instar des mesures présentées par la ministre flamande Crevits ? Quel échéancier et quels moyens sont-ils prévus dans cette lutte ? - Vu l’impact potentiel de cette cybercriminalité sur les entreprises, de quelle manière le gouvernement bruxellois aide-t-il les entreprises bruxelloises à éviter ou à bloquer ces attaques ? Quel soutien concret le gouvernement bruxellois apporte-t-il actuellement et de nouvelles mesures sont-elles prévues à l’avenir ? - Le RGPD prévoit l’organisation régulière de tests dits d’intrusion. Cette obligation est-elle suffisamment connue par les entreprises et les institutions bruxelloises qui sont censées respecter cette règle ? Quelles mesures prévoit le gouvernement bruxellois afin de veiller à ce que chacun soit informé des dangers et des obligations en matière de cybercriminalité ? - Que font les administrations et les pouvoirs locaux à Bruxelles afin de prévenir ces attaques ? Une concertation est-elle prévue à ce sujet avec le ministre compétent ? Combien de moyens sont-ils dégagés chaque année à cet effet ? Quelles mesures sont-elles développées par le Centre d'informatique pour la Région bruxelloise (CIRB) et par Bruxelles Prévention et sécurité (BPS) afin de protéger au mieux les administrations ? |
| Réponse | La cybercriminalité est effectivement la nouvelle forme de criminalité qui peut toucher nos entreprises. Les chiffres concernant l’impact de la cybercriminalité sur l’économie ne sont cependant pas disponibles au niveau régional. Il s’agit en effet de matières visées par la Federal Computer Crime Unit liée à la police fédérale. Il serait dès lors utile de répercuter cette question à la Chambre des Représentants pour disposer d’informations plus complètes à ce niveau. Par ailleurs, les questions liées à la cybercriminalité sont du ressort premier de l’agence chargée de la sécurité et de la prévention sous tutelle du Ministre Président. Il m’a donc transmis les informations que je vous transmets ci-après. En termes de coopération, le CIRB et BPS ont travaillé ensemble en 2018 à la rédaction d’un cahier sur la Cybersécurité. Un de ses volets porte sur la lutte contre la Cybercriminalité. Ce volet a été concrétisé par la mise en place du Cyber Centre régional au sein de BPS. Le CIRB est en contact régulier avec le Centre pour la Cybersécurité Belgique (CCB). Les deux institutions analysent ensemble les pistes de collaboration possibles en matière de cybersécurité et également en matière de transposition de la directive européenne Network and Information System Security (NIS). Dans son Plan Global de Prévention et Sécurité 2016-2019, le Gouvernement bruxellois a consacré l’une de ses thématiques à la cybercriminalité. Plusieurs mesures ont été déterminées afin de lutter plus efficacement contre diverses formes de cybercriminalités. Parmi ces mesures, le renforcement des équipements informatiques régionaux ou encore la désignation d’un point de contact dans chaque administration régionale et locale pour améliorer la coordination avec le CCB. Par ailleurs, en juillet 2018, le Gouvernement bruxellois a mis en place un centre de cybersécurité régional au profit de la police judiciaire fédérale de Bruxelles et des 6 zones de police. La volonté est de pouvoir répondre, avec de nouvelles techniques de recherche, à une nouvelle forme de criminalité qui se développe sur les réseaux sociaux et dans le darknet. Un colloque a également été organisé sur cette matière par Bruxelles Prévention et Sécurité, en septembre 2018 afin de sensibiliser les pouvoirs publics (administrations communales, régionales et zones de police) à la cybersécurité. Le volet formation sur cette matière a lui aussi fait l’objet d’une grande attention. De nouvelles formations sont organisées à l’intention des membres des services de police, d’administrations communales ou régionales au départ de la nouvelle Ecole Régionale des Métiers de la Prévention et de la Sécurité « Brusafe » ou encore de l’ERIP (Ecole Régionale et Intercommunale de Police). Au niveau régional, le CIRB a pour mission d’assurer la cybersécurité des infrastructures dont il a la responsabilité, à savoir celles au sein du Datacenter Régional (DCR), et des applications/plateformes qu’ils hébergent. Le CIRB aide également les institutions publiques régionales, locales et communautaires à analyser les risques liés à la cybermenace et à s’en protéger. En termes de ressources mobilisées, un budget annuel de l’ordre de 500.000 EUR est consacré par le CIRB à l’acquisition et à la maintenance des technologies IT liées à la sécurité informatique. Les équipes opérationnelles ont en outre été renforcées en 2019 par 3 personnes au niveau des équipes techniques (ingénieur réseau et project manager). En 2020, le CIRB continuera à investir dans du personnel qualifié afin de maintenir son niveau d'expertise en matière de cybersécurité. Outre les éléments présentés plus haut, le soutien régional se marque par la prévention au travers de sa politique de soutien à la RDI. Cela s’est traduit concrètement par le lancement d’un appel à projets dès 2014 dans le cadre du programme Research Platforms d’Innoviris. La thématique portait sur la sécurité informatique déclinée selon plusieurs axes : - les nouveaux mécanismes d'authentification pour les systèmes d'information ; - l’exploration des données pour la surveillance des processus de sécurité ; - la sécurité par conception pour les applications cloud/SaaS et mobiles. Cet appel a mené à la sélection de cinq projets pour un montant total de 7,5 millions d'euros (en annexe). Dans le cadre de cet appel, une plateforme de recherche commune "Securi'IT" a été créée en 2015. Elle réunissait 15 groupes de recherche, trois universités (UCL, ULB, VUB), une école supérieure (EhB) et le centre de recherche collectif SIRRIS. La Brussels Initiative on Cybersecurity (BICI) a été mise sur pied en 2018 à l’initiative de SIRRIS, avec deux objectifs : - maintenir la dynamique collective d'innovation - stimuler le transfert de connaissances entre l'industrie et le monde universitaire dans le domaine de la cybersécurité. L'initiative vise à faire de Bruxelles la capitale de l'innovation en matière de cybersécurité. Elle trouve son origine dans la participation de SIRRIS, via le projet SeCloud, au programme Research Platforms mentionné ci-dessus. L’initiative BICI est aujourd’hui intégrée dans le hub technologique icity.brussels. Icity.brussels est un projet soutenu par des fonds FEDER. La Région y a investi 13 millions d'euros pour renforcer la RDI et la valorisation dans le domaine des TIC. Actuellement, icity.brussels avec SIRRIS offre, entre autres, des conseils aux entreprises en matière de cybersécurité. D’autres instruments régionaux permettent aux entreprises de bénéficier de l’expertise régionale en matière de cybersécurité : - Les chèques innovation (« innovation vouchers ») permettent d'externaliser des missions de recherche de courte durée à des laboratoires de recherche. - Le programme thématique Joint R&D (anciennement Team-up) ainsi que le programme de soutien aux projets de R&D en entreprises ont permis de financer plusieurs projets innovants dans le domaine de la cybersécurité (dont une bonne partie menés en collaboration effective entre des organismes de recherche et des entreprises et dont vous trouverez les plus emblématiques en annexe). En ce qui concerne la sensibilisation, les mesures mises en place au niveau régional en matière de protection des données varient d’un organisme à l’autre. Certains disposent d’un DPO (data protection officer) en interne et d’autres ont l’opportunité de mobiliser un DPO attaché au SPRB. Dans ce cas, un Data Steward est désigné au sein de l’organisme comme point de contact privilégié du DPO sur toutes les questions de protection des données et de gestion d’éventuelles violations de celles-ci. Chaque organisme est responsable de la mise en conformité de son fonctionnement avec le RGPD, selon la nature de ses activités et le caractère plus ou moins sensible des données qu’il est amené à récolter et à traiter. Au niveau du soutien qui est proposé aux entreprises bruxelloises sur ces questions, plusieurs axes de travail peuvent être mis en avant : - les accompagnateurs du réseau du 1819 ont bénéficié d’une formation sur le RGPD dans le cadre de sa Brussels Coach Academy en mars 2018 ; - le site web du 1819 dispose d’une page portant spécifiquement sur la protection de la vie privée ou encore d’articles portant sur la cybercriminalité publiés par le biais de la newsletter du 1819 (27.000 abonnés). Il s’agit donc d’une double approche visant d’une part à disposer des connaissances nécessaires en interne pour un accompagnement des entreprises dans les phases initiales, puis d’une capacité d’information et d’orientation vers les acteurs disposant d’une connaissance de pointe en la matière et présents sur le territoire bruxellois. |