SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
23 mai 2013 23 mei 2013
________________
Question écrite n° 5-9083 Schriftelijke vraag nr. 5-9083

de Martine Taelman (Open Vld)
van Martine Taelman (Open Vld)

au secrétaire d'État à l'Environnement, à l'Énergie et à la Mobilité, adjoint à la ministre de l'Intérieur et de l'Égalité des Chances, et secrétaire d'État aux Réformes institutionnelles, adjoint au premier ministre
aan de staatssecretaris voor Leefmilieu, Energie en Mobiliteit, toegevoegd aan de minister van Binnenlandse Zaken en Gelijke Kansen, en staatssecretaris voor Staatshervorming, toegevoegd aan de eerste minister
________________
Cyberattaques - Entreprises d'intérêt public - Mesures - Rapport américain Cyberaanvallen - Nutsbedrijven - Maatregelen - Amerikaans rapport 
________________
criminalité informatique
établissement d'utilité publique
distribution de l'électricité
computercriminaliteit
instelling van openbaar nut
elektriciteitsvoorziening
________ ________
23/5/2013Verzending vraag
18/12/2013Rappel
21/2/2014Rappel
25/3/2014Antwoord
23/5/2013Verzending vraag
18/12/2013Rappel
21/2/2014Rappel
25/3/2014Antwoord
________ ________
Question n° 5-9083 du 23 mai 2013 : (Question posée en néerlandais) Vraag nr. 5-9083 d.d. 23 mei 2013 : (Vraag gesteld in het Nederlands)

Selon un rapport d'enquête détaillé transmis au Congrès, le réseau électrique américain est sensible aux cyberattaques, qui ont déjà lieu dans la pratique. Une des entreprises d'utilité publique subit 10 000 attaques par mois, tandis que d'autres « utilities » détectent tous les jours de nombreuses tentatives. Environ 150 de ces entreprises d'intérêt public ont été interrogées en janvier de cette année.

Plus d'une douzaine de ces entreprises d'intérêt public indiquent qu'elles sont confrontées « quotidiennement », « constamment » ou « fréquemment » à des cyberattaques. Parmi elles, une entreprise de fourniture d'électricité évoque même 10 000 tentatives d'attaque par mois. Les firmes et les instances d'intérêt public interrogées n'ont pas évoqué d'éventuels dégâts consécutifs aux nombreuses attaques. Selon l'enquête, l'automatisation croissante et la connectivité interne des réseaux électriques augmentent la vulnérabilité. L'interconnectivité croissante augmente la vulnérabilité du réseau de distribution d'électricité aux cyberattaques menées à distance. De nombreux systèmes de gestion du réseau électrique américain sont aussi connectés à internet, ce qui permet de mener des attaques facilement et à faible coût.

J'aimerais obtenir une réponse aux questions suivantes.

1) Comment le secrétaire d'État réagit-il à ce rapport ? La situation est-elle comparable à celle de notre pays ?

2) Le secrétaire d'État peut-il indiquer si des cyberattaques dirigées contre le réseau électrique et/ou certains entreprises d'intérêt public ont déjà eu lieu dans notre pays ? Dans la négative, comment l'explique-t-il ? Dans l'affirmative, peut-il illustrer sa réponse par des chiffres ?

3) Les cyberattaques contre notre réseau d'approvisionnement en électricité ont-elles augmenté ? Le secrétaire d'État peut-il donner des précisions ?

4) Une concertation a-t-elle déjà eu lieu à ce sujet ? Dans l'affirmative, avec qui et quand a-t-elle eu lieu, et quelles ont été les conclusions principales ? Dans la négative, une concertation urgente avec le secteur et les services de sécurité n'est-elle pas indiquée ?

5) Le secrétaire d'État peut-il indiquer si des mesures concrètes sont en préparation pour repousser le risque de cyberattaques ? Dans l'affirmative, quelles sont ces mesures ? Le secrétaire d'État peut-il donner des explications détaillées quant au contenu et au calendrier ?

 

Het Amerikaanse stroomnet is kwetsbaar voor cyberaanvallen, die in de praktijk al plaatsvinden, aldus een uitgebreid onderzoeksrapport dat naar het Congres werd gezonden. Eén nutsbedrijf ziet 10 000 aanvallen per maand, terwijl andere "utilities" dagelijks ook vele pogingen detecteren. Ongeveer 150 van die nutsbedrijven zijn in januari dit jaar ondervraagd.

Meer dan een dozijn van de nutsbedrijven meldt dat het "dagelijks", "constant" of "frequent"met cyberaanvallen te maken heeft. Hieronder ook één stroombedrijf dat claimt 10 000 aanvalspogingen per maand te ondergaan. De ondervraagde firma's en overheidsnutsinstanties hebben geen gewag gemaakt van schade die mogelijk is geleden door de vele aanvallen. De toenemende automatisering en onderlinge connectiviteit van stroomnetten zorgt voor toenemende kwetsbaarheid, stelt het onderzoek. De toegenomen interconnectiviteit zorgt ervoor dat het grid kwetsbaarder is voor remote uit te voeren cyberaanvallen. Veel van de beheersystemen voor het Amerikaanse stroomnet zijn ook verbonden met internet, waar vandaan goedkoop en gemakkelijk aanvallen zijn uit te voeren

Graag antwoord op volgende vragen.

1) Hoe reageert de staatssecretaris op dit rapport? Is de situatie vergelijkbaar met ons land?

2) Kan de staatssecretaris aangeven of er in ons land reeds cyberaanvallen hebben plaatsgevonden jegens het stroomnetwerk en/of bepaalde nutsbedrijven. Zo nee, hoe verklaart hij dat? Zo ja, kan hij dat cijfermatig illustreren?

3) Is er sprake van een toename van cyberaanvallen op onze stroomvoorziening? Kan dat uitvoerig worden toegelicht?

4) Heeft er hieromtrent reeds overleg plaatsgevonden? Zo ja, met wie en wanneer vond het overleg plaats en wat waren de voornaamste conclusies? Zo neen, is dringende concertatie met de sector en de veiligheidsdiensten niet aangewezen?

5) Kan de staatssecretaris aangeven of en zo ja welke concrete maatregelen op til zijn om het risico van cyberaanvallen terug te dringen? Kan hij dat uitvoerig toelichten, naar inhoud en timing?

 
Réponse reçue le 25 mars 2014 : Antwoord ontvangen op 25 maart 2014 :

1, 2 et 3) J’ai pris note du rapport évoqué par l’honorable membre, lequel est disponible en ligne via l'article « VS vreest cyberaanvallen op stroomnet » du 22 mai 2013 publié sur le site web : www.webwereld.nl.

Non seulement les services d’utilité publique dans le secteur de l'énergie (gaz et électricité), mais la plupart des entreprises connectées à l’internet sont exposées à de diverses tentatives d’intrusion.

Pour éviter que de telles tentatives aboutissent, ces services d’utilité publique investissent dans de nombreuses solutions, allant de mesures techniques aux processus opérationnels spécifiques et à la sensibilisation du personnel.

À ce jour, aucune tentative couronnée de succès n’a été commise auprès des entreprises d’utilité publique dans le secteur de l’énergie (gaz et électricité).

Aussi le CERT.be, le « Federal Cyber Emergency Team » (cellule fédérale pour la sécurité informatique en Belgique) qui agit pour le compte de Fedict, n'a pas encore reçu d’avis volontaire d’un incident faisant mention d’une cyberattaque ciblée dans le but d’interrompre le fonctionnement d’une entreprise d’utilité publique, qu’il s’agisse de gaz ou d’électricité.

Toutes les entreprises et organisations peuvent s’adresser gratuitement au CERT pour signaler des incidents cybernétiques (piratage de données et d’infrastructure de réseau et de données, cyberattaques, etc.). Cette cellule dispense des conseils pour réagir sans délai à l'incident et ceci en coordination avec toutes les entreprises ou organisations intéressées.

La cellule CERT dispose de chiffres généraux sur le nombre d’incidents signalés (volontairement) et ces chiffres sont disponibles sur demande.

4) À ce jour, une concertation n’a pas été organisée au sujet des cyberattaques contre les services d’utilité publique au sein des secteurs de l’électricité et du gaz.

S’il s’avérait opportun de se concerter à ce sujet, BELNIS pourrait être utilisé comme plate-forme à cet effet. BELNIS est un organisme qui permet aux institutions fédérales de se concerter sur les défis dans le domaine de la sécurité de l'information et des initiatives souhaitables dans ce domaine.

5) La directive européenne 2008/114/CE concernant l’identification et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection a été transposée dans la législation belge par la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, ainsi que par l’arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien.

La législation prévoit quatre secteurs au sein desquels les infrastructures essentielles sont identifiées :

a. Énergie

b. Transport

c. Finance

d. Communications électroniques

L’autorité sectorielle responsable de la désignation des infrastructures critiques dans le secteur de l'énergie est la Direction générale de l'Énergie du Service public fédéral (SPF) Économie.

Actuellement, les préparatifs pour la désignation de ces infrastructures sont en cours. Lorsque la désignation sera définitive, l’autorité sectorielle signifiera aux opérateurs concernés la désignation de leur(s) infrastructure(s) comme infrastructure critique.

Endéans un délai d’un an, l'opérateur élaborera un plan de sécurité en vue de prévenir, réduire et neutraliser les risques de perturbation du fonctionnement ou de la destruction de l'infrastructure critique par la mise au point de mesures matérielles et organisationnelles internes.

Dans le processus d'élaboration d'un tel plan, on peut déterminer, sur la base d'une analyse des risques comprenant une identification des principaux scénarios de menaces potentielles pertinentes d’actes intentionnels destinés à perturber le fonctionnement ou la destruction des infrastructures critiques, si les cyberattaques ressortent de ces menaces potentielles.

Endéans le même délai, l'opérateur mettra en œuvre les dispositions de sécurité intérieure prévues par le plan de sécurité.

Concernant le plan de sécurité, le service d’inspection (DG Energie ou AFCN pour les sites nucléaires) peut vérifier si le contenu de ce plan satisfait aux exigences minimales des dispositions légales d’application (contrôle administratif).

1, 2 en 3) Ik heb kennis genomen van het geachte lid vermelde rapport het geachte lid, dat online te raadplegen is via het artikel ‘VS vreest cyberaanvallen op stroomnet’ van 22 mei 2013 gepubliceerd op de webiste van www.webwereld.nl.

Niet alleen nutsbedrijven in de energiesector (elektriciteit en aardgas), maar de meeste ondernemingen die in verbinding staan met het internet worden blootgesteld aan talloze pogingen.

Om te voorkomen dat dergelijke pogingen lukken, investeren deze nutsbedrijven in talloze oplossingen, gaande van technische maatregelen, tot bepaalde bedrijfsprocessen en bewustmaking van het personeel.

Tot op heden zijn er nog geen geslaagde pogingen geweest bij deze nutsbedrijven in de energiesector (aardgas en elektriciteit).

Ook CERT.be, het federaal cyber emergency team dat werkt in opdracht van Fedict, heeft nog geen vrijwillige melding ontvangen over een incident waarbij er sprake was van een gerichte cyberaanval met als doel de werking van een nutsbedrijf (gas en elektriciteit) uit te schakelen.

Bij CERT kunnen alle bedrijven en organisaties kosteloos terecht om cyberincidenten (hacken van gegevens en netwerkinfrastructuur, cyberaanvallen, enz.) te melden. Dit team geeft advies om het incident zo snel mogelijk aan te pakken en coördineert met alle betrokken bedrijven of organisaties.

CERT beschikt over algemene cijfers over het aantal (vrijwillig) gemelde incidenten en deze cijfers kunnen opgevraagd worden.

4) Tot op heden werd over cyberaanvallen op nutsbedrijven binnen de elektriciteits-en gassector geen overleg georganiseerd.

Mocht het aangewezen zijn hierover een overleg te plegen, dan zou BELNIS als platform kunnen gebruikt worden. BELNIS is een instantie, die de federale instellingen in staat stelt om te overleggen over de uitdagingen op het vlak van informatieveiligheid en over wenselijke initiatieven in dit domein.

5) De Europese richtlijn 2008/114/EG inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak ter bescherming van dergelijke infrastructuren te verbeteren werd in het Belgische recht omgezet naar de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren samen met het koninklijk besluit van 2 december 2011 betreffende de kritieke infrastructuren in de deelsector van het luchtvervoer.

De wetgeving voorziet vier sectoren waarbinnen de kritieke infrastructuren geïdentificeerd worden:

a. Energie

b. Vervoer

c. Financiën

d. Elektronische communicatie

De sectorale overheid bevoegd voor de aanduiding van de kritieke infrastructuren binnen de energiesector is de Algemene Directie Energie van de Federale Overheidsdienst (FOD) Economie.

Momenteel zijn de voorbereidingen voor de aanduiding van deze infrastructuren lopende. Wanneer de aanduiding definitief is, zal de sectorale overheid de aanduiding van zijn infrastructuur als kritieke infrastructuur aan de exploitant betekenen.

Binnen een termijn van 1 jaar zal de exploitant een beveiligingsplan uitwerken met het oog op het voorkomen, beperken en neutraliseren van de risico’s op verstoring van de werking of van de vernietiging van de kritieke infrastructuur door het op punt stellen van interne materiële en organisatorische maatregelen.

Bij de procedure van de uitwerking van een dergelijk plan, kan aan de hand van een risicoanalyse bestaande uit een identificatie van de voornaamste scenario’s van pertinente potentiële bedreigingen van opzettelijke handelingen met het oog op de verstoring van de werking of de vernietiging van de kritieke infrastructuur, nagegaan worden of cyberaanvallen tot deze potentiële bedreigingen behoren.

Binnen dezelfde termijn zal de exploitant de interne beveiligingsmaatregelen implementeren voorzien in het beveiligingsplan.

Wat het beveiligingsplan betreft kan de inspectiedienst (AD Energie of FANC voor nucleaire sites) nagaan of de inhoud van dit plan minimaal voldoet aan de respectievelijke wetgeving (administratieve controle).