M. Gilles Vanden Burre au ministre des Classes moyennes, des Indépendants, des PME, de
l’Agriculture et de l’Intégration sociale, sur « le risque de cyberattaques à l’encontre des entreprises
belges » (n° 19220)
Gilles Vanden Burre
(Ecolo-Groen): Monsieur le président, monsieur le ministre, le dimanche 14 mai
dernier se tenait un Conseil des ministres extraordinaire sur les thèmes de la sécurité et de la justice.
Plusieurs mesures annoncées ont été bien accueillies par les associations de défense des indépendants ou
l’Union des classes moyennes (UCM).
C’est un sujet d’autant plus sensible que, pour le Syndicat neutre des indépendants, concernant les attaques
informatiques, « les PME sont sous-protégées contre des menaces qui peuvent avoir des répercussions
considérables ». Les PME sont en effet souvent des cibles faciles pour les cybercriminels. Dans 45 % des
cas, ce sont elles qui en sont les victimes.
Sur les 28 mesures annoncées par le gouvernement à l’issue de ce Conseil extraordinaire, quelques-unes
concernent ce sujet. D’abord, les services de l’équipe fédérale d’intervention d’urgence en sécurité
informatique (CERT.be) seront équipés d’un centre d’appel ouvert 24h/24. Ensuite, un système permettra
d’alerter et d’informer les secteurs dits vitaux (énergie, finances, transports) sur les menaces visant les
infrastructures critiques. Enfin, le Centre pour la Cybersécurité Belgique (CCB) mènera des campagnes
d’information et de sensibilisation orientées PME.
Des mesures en matière de cybersécurité seront donc mises en œuvre. Monsieur le ministre, permettez-moi
dès lors de vous poser des questions sur ces cyberattaques et ces mesures.
Avez-vous des chiffres précis concernant les cyberattaques visant les entreprises dans notre pays, et en
particulier les PME?
En quoi va consister plus précisément l’aide du centre d’appel du CERT.be?
Pourriez-vous donner des précisions quant au système qui permettra d’alerter et d’informer les secteurs dits
vitaux sur les menaces visant les infrastructures critiques? Comment cette mise en forme se déroulera-t-
elle?
Quand la campagne du CCB à l’attention des PME sera-t-elle mise en place? Quelle forme prendra-t-elle?
Quels budgets comptez-vous allouer pour soutenir ces mesures, qui forcément auront un coût et donc un
impact budgétaire?
Willy Borsus,
ministre: Chers collègues, en complément à la réponse du premier ministre qui a
évoqué, voici quelques jours, une partie de ce dossier, je voudrais vous apporter les précisions suivantes.
Nous ne disposons pas de statistiques validées, notamment parce que plusieurs petites entreprises ne
signalent pas nécessairement ces attaques. Nous devons constater que les PME, pour diverses raisons, se
protègent moins efficacement et apparaissent, en quelque sorte, comme le maillon faible de la lutte contre la
criminalité informatique. Dans certains cas, cela entraîne nombre de conséquences extrêmement lourdes
pour les sociétés concernées.
Je suis aussi frappé de voir combien ces incidents sont de plus en plus fréquents, mondialisés et offensifs
quant aux techniques employées. Non seulement le périmètre des PME est très faiblement protégé et les
phénomènes sont de plus en plus récurrents, mais de surcroît ces derniers représentent un danger en
constante croissance. Nous sommes donc confrontés à un énorme problème.
Ensuite, je m’inscris totalement dans les recommandations émises par le Centre pour la Cybersécurité
Belgique ainsi que par CERT.be. Ce sont des professionnels. Je suis particulièrement ravi de la croissance
de leur travail en la matière.
Par ailleurs, nous avons un gros travail de sensibilisation à faire, notamment avec le support de la
Cybersecurity Coalition qui rassemble, comme vous le savez, le monde universitaire, les autorités publiques
et des représentants du secteur privé. Je souhaitais que les représentations des PME participent aussi au
travail de cette coalition, de manière à constituer les relais naturels vers leurs membres, vers toutes celles et
ceux qu’elles représentent. De plus, on a besoin de sensibiliser, coordonner les initiatives, associer les
structures représentatives des PME dans les organisations existantes. On a aussi besoin, me semble-t-il,
d’avoir un vrai plan d’action lié aux PME avec, pour cible, celles et ceux qui, aujourd’hui, sont les plus faibles
face à cette menace.
Mon administration a donc pris l’initiative de réunir l’ensemble des interlocuteurs ce 13 juillet. Je compte, à
partir de là, en coordination avec le premier ministre et les organismes concernés, avoir un véritable plan
d’action à destination des PME: information, sensibilisation, comment se protéger, comment réagir face à
une menace d’attaque ou une attaque en train de se dérouler, signalement des faits observés, autres
éléments pour organiser une véritable stratégie de défense.
À ce stade, cette stratégie n’est pas fixée – même si je viens de vous en indiquer quelques piliers – car nous
souhaitons qu’elle soit alimentée par les contributions de ces structures professionnelles, ainsi que les
structures représentatives des PME et des organismes qui leur sont dédiés au niveau fédéral. C’est vraiment
avec plaisir, car c’est une réelle préoccupation, que je vous communiquerai ce que je compte être un plan
concret, monitoré, accompagné visant à mieux protéger nos PME de ces cyberattaques.
Le président
: Merci, monsieur le ministre, pour cette réponse très détaillée.
12.04
Gilles Vanden Burre
(Ecolo-Groen): Merci pour cette réponse circonstanciée – ce que vous soulignez d’ailleurs à de nombreuses reprises, avec justesse. C’est très bien ainsi, sinon à quoi serviraient ces séances de questions-réponses? Je ne me plains donc absolument pas!
Effectivement, le point principal, dans ce dossier concernant la cybersécurité, est que les PME sont les plus
vulnérables. On sait qu’elles n’ont ni les moyens financiers, ni les moyens humains de recourir à de
l’ingénierie informatique ou à des softwares pouvant les protéger. Un plan d’action spécifique aux PME est
donc tout à fait nécessaire.
Il s’agit de plus en plus d’attaques mondialisées et de cyberattaques, et vous y avez fait référence. Ce sont
parfois aussi des attaques plus locales, pour quelques centaines d’euros. C’est presque du racket organisé
via internet qui cible de très petites structures. Il ne faut pas que cela se transforme en fléau. Nous
attendons et découvrirons les résultats du plan d’action avec grand intérêt.