Question et réponse écrite n° : 0117 - Législature : 54

Le mardi 23 février 2016, le Centre pour la cybersécurité Belgique (CCB) a annoncé qu'il allait signer un contrat de coopération avec Microsoft Corporation. L'objectif de cette coopération est de dresser l'inventaire des ordinateurs infectés en Belgique. À cet égard, le CCB a précisé que l'information des détenteurs d'un système infecté constituera un volet important de l'opération. Afin d'aborder correctement la question, une concertation serait envisagée avec la Commission de la protection de la vie privée. Le contrat que le CCB devrait conclure avec le géant du software s'inscrit dans le cadre du Government Security Program (GSP) de Microsoft. Seuls quelques autres pays participeraient déjà à ce programme. 1. Quand la décision de signer un contrat de coopération avec Microsoft a-t-elle été prise? 2. À combien s'élève le coût du contrat GSP? 3. Combien de personnes les autorités affecteront-elles à ce projet? 4. Quelle est la durée du contrat? 5. A-t-on envisagé d'autres solutions que celle du GSP? Dans l'affirmative, lesquelles et pourquoi? 6. Disposez-vous de chiffres ou, le cas échéant, d'estimations concernant le nombre d'ordinateurs infectés en vue d'attaques informatiques? Disposez-vous de chiffres ou, le cas échéant, d'estimations concernant le nombre d'ordinateurs de la fonction publique infectés à cette fin? 7. Les détenteurs d'ordinateurs infectés vivant dans l'un des pays participant déjà au GSP ont-ils été informés du danger qu'ils couraient? a) Dans l'affirmative, de quels pays s'agit-il et comment la situation a-t-elle été abordée? b) Êtes-vous favorable à l'idée d'opérer de la même manière en Belgique? Dans l'affirmative, avec quelles instances le CCB coopèrera-t-il pour s'assurer que les détenteurs d'ordinateurs infectés soient correctement informés? 8. Pourriez-vous évaluer les résultats enregistrés par les pays concernés depuis la mise en oeuvre du Government Security Program de Microsoft?

1. Contrairement à ce qui a été annoncé dans les médias, aucune convention n'a encore été conclue entre le Centre pour la Cybersécurité Belgique (CCB) et la société Microsoft Corporation. Par contre, des discussions entre la société Microsoft Corporation et le CCB sont en cours en vue d'une éventuelle participation du CCB au programme de sécurité destiné aux agences gouvernementales de Microsoft (Government Security Program). Ce programme pourrait constituer un outil précieux pour le CCB en vue d'exécuter ses missions. La proposition générale de convention est actuellement adaptée à l'échelon belge. 2. La convention ne comporterait aucune obligation financière. La participation au Government Security Program n'impliquerait aucune contrepartie financière pour les autorités car elle permet à Microsoft d'améliorer la confiance et la sécurité des utilisateurs dans ses produits et services. Il s'agit essentiellement d'un système d'échange d'informations de sécurité entre Microsoft et les autorités sur des produits et les services de Microsoft. 3. Le CCB a lancé des discussions avec les services concernés pour déterminer l'approche possible et les modalités d'exécution. 4. La convention couvrirait plusieurs années et peut être résiliée par les deux parties. 5. Le CCB examine de nombreuses sources d'information qui lui permettent de mieux définir la menace contre la Belgique et contre les citoyens. Cette année par exemple, Pastebin, Shadowserver et d'autres sources commerciales seront examinées de manière plus approfondie. 6. Il n'existe actuellement pas de chiffres fiables sur le nombre d'ordinateurs contaminés pour lancer des attaques informatiques. Le but de conventions comme celle qui pourrait être conclue avec Microsoft est précisément de définir au mieux la menace en Belgique. 7. et 8. Le contenu même du programme Government Security Program étant confidentiel, il n'est pas possible de communiquer de plus amples informations à ce propos.