Question et réponse écrite n° : 0116 - Législature : 55

Le mardi 4 mai 2021, une cyberattaque sans précédent a eu lieu. Elle visait plus particulièrement Belnet, un réseau qui fournit des services ou plutôt agit comme une sorte de passerelle vers Internet pour les universités et les hautes écoles, les centres de recherche et les entreprises publiques. Cette attaque a par exemple provoqué une soudaine panne d'Internet pour tous les étudiants, mais aussi dans les centres de vaccination et au coeur même de notre démocratie : au Parlement. La sécurité est une priorité pour le Vooruit. Elle figure très clairement dans l'accord de gouvernement. La question de la sécurité va bien au-delà du vol à l'étalage. Aujourd'hui, la cybercriminalité figure parmi les trois délits les plus courants. Ce qui est inquiétant, c'est que cette offensive DDoS est l'une des formes les plus primitives de cyberattaque selon les experts. Son exécution est relativement simple. Pourtant, le réseau central des pouvoirs publics était trop limité pour s'en prémunir. Lors de la séance plénière du 6 mai dernier, vous avez indiqué qu'une enquête judiciaire sur l'origine de l'attaque était en cours afin de recenser tous les dommages causés et déterminer si des données ont été volées. Une plainte a également été déposée auprès du parquet fédéral. 1. La Federal Computer Crime Unit a-t-elle pu identifier les auteurs de cette attaque ? Dans la négative, est-il possible que l'on ne parvienne pas à obtenir cette information ? 2. Quelles mesures de sécurité a-t-il fallu prendre lors de cette cyberattaque ? 3. Quels services publics ont été effectivement touchés par cette attaque ? Quels sont les dommages occasionnés ? L'intégrité des données a-t-elle été préservée ? 4. Depuis lors, quelles enquêtes le parquet fédéral a-t-il menées ? Les forces de police ont-elles également été mobilisées ? 5. Quelles mesures concrètes abordera-t-on lors du Conseil de sécurité national du 20 mai ?

1. Le grand nombre de requêtes durant l'attaque Distributed Denial of Service (DDOS - attaque par déni de service) est envoyé par un botnet. Pareil botnet est un réseau de dispositifs infectés dans le monde entier, contrôlé par un administrateur de botnet. Lorsqu'un appareil est infecté par un virus botnet particulier, la machine est incluse dans le réseau. Il est techniquement possible d'éviter que l'on puisse remonter de remonter jusqu'à l'endroit où le botnet a été chargé de lancer l'attaque DDOS. L'internet offre de nombreuses possibilités pour masquer les identités et rendre les connexions anonymes. L'attribution des cyberattaques est donc un défi majeur à l'échelle mondiale et un processus souvent très difficile, sans garantie de succès. 2. Pour repousser une attaque DDOS, le trafic excédentaire doit être filtré. Cela peut être fait localement à l'aide de systèmes spécialisés, mais le moyen le plus efficace est de demander la coopération de partenaires qui filtrent ce trafic avant d'atteindre le réseau visé par l'attaque. Pendant l'attaque, Belnet a pris les mesures suivantes: réacheminement du trafic par d'autres fournisseurs de transit, application de filtres sur les routeurs pour bloquer certains trafics, achat d'un service de cloud scrubbing pour se protéger contre les attaques à grande échelle comme celle du 4 mai. Belnet a également augmenté considérablement la capacité de son système anti-DDOS immédiatement après l'attaque. 3. Au total, 26 tickets d'incident ont été créés par les clients de Belnet, notamment les gouvernements fédéral et provinciaux, les intercommunales, les universités, les hautes écoles et les hôpitaux. Il s'agissait de notifications d'indisponibilité partielle ou totale du réseau, c'est-à-dire d'une connectivité limitée ou nulle avec le monde extérieur. Rien n'indique que l'intégrité des données ait été compromise. Une attaque DDOS vise précisément à provoquer une indisponibilité et non à pénétrer les systèmes. 4. Belnet a en effet déposé une plainte auprès de la Federal Computer Crime Unit et une enquête judiciaire a été ouverte. Le Ministère public (MP) est compétent pour détecter et poursuivre les (cyber)délits. Les magistrats du MP dirigent l'enquête pénale. Afin de ne pas porter préjudice à l'enquête judiciaire, aucun autre détail n'est fourni. 5. Le 20 mai 2021, le Conseil national de sécurité a validé les détails de la stratégie de cybersécurité 2.0. Cette stratégie trace les contours de l'approche transversale de la Belgique en termes de cybermenace et d'opportunités pour notre pays. Grâce à cette approbation, la Belgique se dote d'une nouvelle stratégie de cybersécurité particulièrement ambitieuse. Elle s'articule autour de six objectifs précis: renforcer l'environnement numérique et accroître la confiance dans l'environnement numérique, armer les utilisateurs et les administrateurs d'ordinateurs et de réseaux, protéger les organisations d'intérêt vital contre toutes les cybermenaces, lutter contre la cybermenace, améliorer les collaborations publiques, privées et universitaires et affirmer un engagement international clair. Pour chaque objectif, des projets et des plans d'action spécifiques sont énumérés pour protéger les différents groupes cibles: le grand public, les entreprises, les services publics et les organisations d'intérêt vital. Parallèlement à cette nouvelle stratégie de cybersécurité, une procédure d'attribution diplomatique a également été approuvée au Conseil national de sécurité, permettant à la Belgique d'attribuer une cyberactivité malveillante à un acteur étranger, par la voie politique et diplomatique et indépendamment de l'enquête judiciaire. Divers éléments non techniques, tels que les renseignements et les facteurs géopolitiques, sont pris en compte pour attribuer une cyberattaque.