Vous utilisez une ancienne version de votre navigateur. Veuillez utiliser une version prise en charge pour bénéficier d’une meilleure expérience MSN.

La Belgique tarde à boucler sa défense contre les cyberattaques

logo de Le Soir Le Soir 04-11-19 Le Soir
La Belgique tarde à boucler sa défense contre les cyberattaques © DR La Belgique tarde à boucler sa défense contre les cyberattaques

En juillet 2016, l’Union européenne se dotait d’une réglementation (la directive « NIS ») destinée à améliorer la cybersécurité des opérateurs (administrations publiques ou entreprises privées) offrant des services dits « essentiels » pour le fonctionnement des Etats-membres. En Belgique, il aura fallu presque trois ans pour que cette directive soit transposée en droit belge : c’est la loi « NIS » du 7 avril dernier établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique. L’objectif : mieux protéger ces systèmes contre d’éventuelles attaques informatiques – qu’elles soient le fait de terroristes, d’activistes, d’Etats étrangers ou encore de cybercriminels – et ainsi éviter la rupture de services nécessaires pour la population.

La loi belge prévoyait un délai de six mois pour que les autorités compétentes identifient les opérateurs de ces services essentiels dans six secteurs : l’énergie, la finance, les transports, les infrastructures numériques, les soins de santé et l’eau potable. Un délai qui a donc pris fin le 3 novembre. Sans que l’identification soit complètement achevée. « Le travail n’est pas encore tout à fait terminé », explique Valéry Vander Geeten, responsable du service juridique au Centre pour la cybersécurité Belgique (CCB), l’autorité nationale chargée du suivi et de la coordination de la mise en œuvre de la loi NIS. Qui reconnaît que le grand nombre d’intervenants différents – CCB, Centre de crise national, quatre ministres fédéraux, la Banque nationale, l’Autorité des marchés financiers, l’Institut belge des services postaux et des télécommunications – explique en partie ce retard.

Sanctions à la clé

En fait, ce sont surtout le secteur des soins de santé (où la ministre a, étrangement, pris la décision de n’identifier aucun opérateur de services essentiels) et celui de l’eau potable (matière régionalisée qui demande la création d’un comité national approuvé par les Régions, ce qui n’est pas encore fait) qui sont à la traîne. Dans les faits, « les autorités se sont concentrées sur les opérateurs qui avaient déjà été désignés comme exploitants d’infrastructures critiques dans le cadre de la loi du 1er juillet 2011 dans les secteurs de l’énergie, du transport et de la finance », détaille Valéry Vander Geeten. Ceux-là ont été identifiés « automatiquement » comme opérateurs de services essentiels. « Ensuite on affine l’analyse, et certaines de ces analyses ont en effet du retard », poursuit-il.

Les opérateurs de services qui sont (ou seront) ainsi désignés dans le cadre de la loi, doivent se soumettre à certaines obligations en matière de sécurité (en prenant des mesures aussi bien techniques qu’organisationnelles), de notifications des incidents significatifs, de secret (vis-à-vis de leurs sous-traitants par exemple) ou encore de contrôle et d’audit. Avec à la clé des sanctions pénales ou administratives en cas de non-respect de ces obligations.

On notera que notre pays a été épinglé dans le wagon des élèves retardataires dans un rapport de la Commission européenne rendu au début de la semaine dernière. « La Belgique avait demandé un report et l’avait obtenu », tempère Valéry Vander Geeten, qui ajoute que « notre pays a déjà un bon niveau de cybersécurité. Ce n’est pas parce que l’identification n’est pas tout à fait finie que cela signifie que toutes les portes sont ouvertes ».

Publicité
Publicité

Le Soir

image beaconimage beaconimage beacon