Question écrite posée au Premier Ministre le 15 mai 2017
Faille de sécurité – vol des données
Monsieur le Premier Ministre,
Le gouvernement prend les menaces de cyberattaques contre les administrations publiques très au sérieux. Le Centre pour la Cybersécurité en Belgique (CCB) a reçu des moyens pour effectuer ses missions définies par l’arrêté royal du 10 octobre 2014. Ces moyens ne nous mettent cependant pas à l’abri d’attaques pouvant entraîner le vol de données au sein de nos administrations publiques.
1. Quels sont les moyens à la disposition du gouvernement pour détecter et qualifier le vol de données? Trop souvent, le premier réflexe des équipes techniques est de remettre les systèmes en opération ce qui empêche l’évaluation de l’attaque et par conséquent d’évaluer les dommages.
2. En cas d’intervention de sous-traitants, quelles sont les obligations contractuelles de ces sous-traitants en matière de protection et de confidentialité des données? Sous quelle autorité agissent-ils? Quelles sont les sanctions pécuniaires prévues en cas de manquement à ces obligations?
3. Quel est le programme de communication mis en place afin d’informer les citoyens et les médias?
4. Le gouvernement a-t-il une police d’assurance couvrant ce type de vol? La protection juridique est-elle couverte dans ce contrat?
Le Premier Ministre, dans sa réponse écrite, a précisé les éléments suivants:
1. Le SPF Chancellerie du premier ministre dispose de certains moyens pour détecter le vol de données et prend une série importante de mesures complémentaires afin de diminuer autant que possible le risque de vol de données. En particulier, la mise en place de processus, décrits, testés et régulièrement audités, permet de traiter les incidents de sécurité autant dans l’objectif de maintenir les systèmes informatiques opérationnels que dans l’objectif d’identifier et de sauvegarder les éléments nécessaires à l’évaluation du vol et à l’identification éventuelle du processus de vol et de ses auteurs.
2. Spécifiquement en ce qui concerne la Chancellerie, les sous-traitants informatiques sont soumis à une série d’obligations qui, selon les cas, peuvent par exemple concerner l’obligation de confidentialité ou la détention d’une habilitation dé sécurité. Le service informatique de la Chancellerie donne la préférence à des solutions « on premise », c’est-à-dire installées, exploitées et localisées dans les datacenter de la Chancellerie, sous sa tutelle directe. Des analyses de risque sont systématiquement menées lors des projets afin de réduire l’exposition aux risques. Plus globalement sur le plan de la protection des données à caractère personnel, actuellement la responsabilité du respect des règles en matière de protection des données à caractère personnel incombe principalement au responsable du traitement qui devra, le cas échéant, intenter une action contre son sous-traitant si celui-ci n’a pas observé ses obligations contractuelles. Dans le cadre de l’application future du Règlement Général sur la Protection des Données (RGPD) en mai 2018, de nouvelles obligations seront directement mises à charge du sous-traitant et du responsable de traitement de données à caractère personnel. Parmi celles-ci, figurent l’obligation d’aider le responsable du traitement dans la suite des à donner à l’exercice des droits des personnes concernées, d’informer en cas d’instruction non conforme au RGPD et une obligation d’assistance dans l’analyse d’impact. Le sous-traitant devra également notifier au responsable du traitement, dans les meilleurs délais, les violations de données dont il est victime. A cette fin, il serait notamment utile de revoir les contrats de sous-traitance et d’y ajouter, entre autres, cette obligation de documentation des violations de données à charge des sous-traitants. En vertu de l’article 82 du RGPD, le sous-traitant pourra même, outre ses obligations contractuelles vis-à-vis du responsable du traitement, être tenu pour responsable vis-à-vis de la personne concernée lorsque, d’une part, il n’a pas respecté les instructions licites données par le responsable du traitement et, d’autre part, lorsqu’il n’a pas respecté les obligations que le RGPD met spécifiquement à sa charge. Pour engager la responsabilité du sous-traitant, la personne lésée devra néanmoins prouver, en plus du dommage et de la non-conformité au Règlement, que le sous-traitant a commis un manquement à ses obligations légales spécifiques ou contractuelles. Les sanctions prévues par le RGPD peuvent être très lourdes puisque celles-ci peuvent s’élever jusqu’à 10.000.000 euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent.
3. Parmi les premières réalisations du Centre pour la Cybersécurité Belgique (CCB), on peut mentionner les campagnes nationales de sensibilisation du public de 2015 (protection des mots de passe) et 2016 (scanner en ligne et anti-virus), la publication d’un guide de gestion des cyber incidents (2015), la publication d’un document relatif aux mesures préventives et réactives en cas d’attaques DDoS (2015), la publication d’un guide pour les PME ainsi qu’un kit de formation à destination des entreprises (phishing, social engineering et mots de passe), un document expliquant aux entreprises comment se protéger contre les rançongiciels, c’est-à-dire des virus qui prennent en otage des ordinateurs et des données, en exigeant une rançon. Dans les projets pour 2017, on peut citer la réalisation de webinaires à destination des entreprises, une nouvelle campagne nationale de sensibilisation sur le « phishing » et la mise à disposition très prochainement d’une plate-forme informatique permettant aux citoyens et aux entreprises de vérifier automatiquement qu’ils n’ont pas été hameçonnés. Le principal canal de communication pour informer la population est le site web SafeOnWeb.be. Ce site propose un certain nombre de conseils utiles et sensibilise le citoyen aux dangers de l’internet. Le site comporte également 2 liens vers les médias sociaux: un compte Facebook et une page Twitter. Ces canaux annoncent les mises à jour du site. En outre, une campagne de sensibilisation et d’information sur un thème particulier est lancée chaque année au mois d’octobre. CERT.be fournit régulièrement des informations à son public cible professionnel concernant les incidents cyber via www.cert.be et par le biais des médias sociaux. Le CCB met également en ligne différents conseils destinés aux entreprises qui sont disponibles sur le site web du CCB (www.ccb.belgium.be). La communication en cas de situations d’urgence en matière de cybersécurité dépend fortement de l’ampleur de celles-ci, de la confidentialité et de l’impact sur la population. Le Conseil des ministres du 28 avril 2017 a approuvé un cyberplan d’urgence qui identifie trois niveaux d’incidents et détermine pour chaque niveau la procédure de traitement à suivre. Dans ce cadre, une collaboration est prévue avec le centre de crise pour la communication externe. Ce nouveau plan doit permettre de mieux réagir en matière d’incident et de crise cyber.
4. Sur ce plan, aucun contrat d’assurance global n’a été conclu. La Chancellerie ne dispose pas non plus d’une telle police d’assurance.