Quand des géants mondiaux de l’informatique s’avouent compromis par des piratages massifs, que des institutions symboliques à l’instar du ministère de l’intérieur américain déplorent l’intrusion de hackers, est-il réaliste de croire que notre petit pays résistera mieux aux vagues de cybercriminalité ? Analyse.
Inutile de feindre l’étonnement en apprenant ce mardi que le SPF Intérieur a subi une cyberattaque deux mois plus tôt. Quand les autorités belges daignent communiquer au sujet de ce genre d’incident, les détails sur l’impact réel restent soigneusement flous mais les superlatifs qualifiant l’événement sont quant à eux répétés comme pour mieux dédouaner moralement les victimes. À l’heure où la Belgique se rêve leader européen de la cybersécurité, s’autocongratule de sa ‘cyberstratégie 2.0’, parade en annonçant une cyber composante de son armée, les pirates informatiques pratiquent déjà une cybercriminalité 4.0. Et ne parlons même pas du cyberespionnage.
La loi du silence ?
Solarwinds, Microsoft Exchange , Codecov… Depuis des mois les exploitations de vulnérabilités informatiques d’une complexité sans précédent se succèdent comme autant de feuilleton d’une saga de ‘hacks mondiaux’. La plupart du temps dans le plus grand silence des autorités belges.
Sauf lorsque la flagrance force ces dernières à s’exprimer, comme avec l’attaque DDoS contre Belnet début mai. Les services du fournisseur IT pour institutions belges ont été largement perturbés et, même après l’intervention des équipes d’urgence, des hôpitaux déploraient des effets secondaires indésirables, des tentatives de phishings pullulant sur les boîtes mail et téléphones du personnel.
Pourquoi lorsque nous interrogeons le cabinet du ministre de la Santé publique sur une cyberattaque avérée dont le préjudice s’élève à plus de 2 millions d’euros, nous n’obtenons aucune réponse ? Ce même ministre Vandenbroucke (Vooruit) qui renvoie les hôpitaux à leur responsabilité propre face à une cybermenace grandissante.
Pourquoi lorsque la ministre de la Défense, Ludivine Dedonder (PS), est interpellée par écrit par des députés fédéraux sur une cybermenace majeure qui pèse activement sur son département, cette dernière n’apporte aucun éclaircissement ?
Bonne élève ?
Pourtant, à entendre les décideurs politiques, la Belgique ne démérite pas par rapport au reste du monde. Le ministre wallon de l’Économie, Willy Borsus (MR), en a récemment voulu pour preuve le classement de notre pays au 7e rang du National Cyber Security Index (NCSI). Autrement dit, dans le peloton de tête des pays les mieux protégés de la planète, devant la France, l’Allemagne et même les États-Unis.
À cette exception près que la Belgique s’approche davantage du ventre mou du classement dès qu’il s’agit de l’indice de ‘Networked Readiness’ (23e), de développement ICT (25e) ou de cybersécurité globale (30e).
D’ailleurs, soulignons que ces performances générales reposant sur les données officielles fournies par le Centre de cybersécurité belge cachent des points faibles assez discutables. En effet, si la stratégie politique de notre pays en matière de cybersécurité obtient un score de 86%, l’analyse des menaces affiche un piètre résultat de 20% et la gestion de crise de 40%. Des faiblesses qui, en période de recrudescence d’une cybercriminalité organisée, voire commanditée par des États, exposent inutilement la Belgique à des risques supplémentaires.
Sous-investissement politique ?
Qu’il soit régional ou fédéral, chaque gouvernement dira que la cybersécurité fait partie intégrante de sa politique. Comme leurs prédécesseurs, les responsables politiques actuels ont prévu d’investir dans cette matière particulière où les pouvoirs publics et le secteur privé se partagent la gestion informellement. Des moyens additionnels de quelque 79 millions d’euros ont été alloués à la cybersécurité dans le plan de relance transmis par la Belgique à la Commission européenne.
Le 20 mai dernier, le Conseil national de sécurité s’est penché sur l’actualisation de la cyberstratégie, document finalisé en octobre 2020 avant que commence la saga des ‘hacks mondiaux’. ‘L’occasion de vérifier si notre modèle politique est adapté à la réalité actuelle’, dixit le Premier ministre, Alexander De Croo (Open Vld). Avant de concéder que si les investissements dans la sécurité informatique étaient déjà justifiés, il faudrait en faire encore plus.
Une cybergouvernance proactive ?
La cybersécurité demeurant une compétence avant tout fédérale, il est temps de prendre de nouvelles mesures. La réorganisation la plus rapide serait plutôt d’ordre logistique que purement technique. La Belgique devrait se doter d’un plan national centralisant la stratégie cyber ainsi que d’une unité nationale spécialisée dans l’analyse stratégique de la situation relative aux cybermenaces. Cette équipe publierait périodiquement (au moins une fois par an) un rapport spécifique, bien distinct du rapport annuel du CCB.
Pour monter en compétences ou en expérience, le gouvernement fédéral devrait réaliser un (co)financement ou une (co)organisation d’au moins un projet de renforcement des capacités cyber pour un autre pays à intervalle régulier (de 3 ans par exemple).
Les fournisseurs de services numériques du secteur public devraient mettre en œuvre des exigences de sécurité cyber/TIC définies par la législation ou une norme de cybersécurité largement reconnue.
Le gouvernement pourrait organiser un exercice de gestion de cybercrise au niveau national ou un exercice de gestion de crise avec une composante cybernétique.
Il serait opportun d’encourager les participations volontaires dans le domaine de la cybersécurité. Pensons au hacking éthique ou aux programmes bug bounty, des pratiques complémentaires aux audits de sécurité professionnels.
Pour aller plus loin:
- Les institutions européennes, dont la Commission, victimes d’une cyberattaque ‘plus importante que les incidents habituels’
- ‘La législation européenne imposera aux États membres de renforcer la cybersécurité de leurs PME’
- Fuites de données admises à la SNCB: ‘Il est logique de ne pas communiquer publiquement’