La cyber-sécurité, enfin une priorité après le 25 mai?

Tribune
Par Baudouin Corlùy, Ann Mennens, Marc Vael, Ulrich Seldeslachts · 21/05/2014

Il serait trop facile d’invoquer les cyber-attaques commises à l’encontre des SPF Affaires étrangères et Économie pour convaincre de la nécessite d’une politique plus efficace en matière de cybersécurité. Il n’y a pas de honte à être victime de la cybercriminalité. Il y en a cependant si c’est une organisation internationale qui doit attirer votre attention sur cette situation. S’il s’agit d’un phénomène récurrent. Si la politique en la matière est restée inchangée depuis des années. Malgré les divers incidents récents dans notre pays, la cybersécurité n’a toujours pas sa place dans les programmes politiques. Quel sera le prochain cabinet à annoncer une fuite?

En 10 ans, la Belgique est passée du statut de maillon fort à celui du maillon le plus faible de la chaîne européenne en matière de cybersécurité. C’est ainsi que nous disséminons des données importantes issues d’institutions nationales ou internationales basées dans notre pays.

Le port d’Anvers, qui est déjà la cible de cybercriminels, pourrait ainsi se heurter à un désavantage concurrentiel. Si les grandes sociétés d’armateurs transfèrent leurs activités à Rotterdam, un nouveau drame social s’annonce.

Avons-nous vraiment besoin d’un “Ford Genk version numérique” pour illustrer l’importance de la cybersécurité?

En Europe, de grands pays comme l’Allemagne, la France et le Royaume-Uni sont des pionniers en matière de cybersécurité. Il est vrai qu’ils disposent de budgets plus importants, mais, proportionnellement, ils investissent également davantage. Les pays scandinaves, ainsi que le modèle néerlandais pour le partage d’informations et le rôle de coordination du Nationaal Cyber Security Centrum (NCSC), sont la preuve que c’est également possible dans de plus petits pays.

Avons-nous vraiment besoin d’un “Ford Genk version numérique” pour illustrer l’importance de la cybersécurité?

Nous disposons également d’une Computer Emergency Response Team et beaucoup la considèrent comme le centre névralgique de la cybersécurité en Belgique, devant apporter une réponse à toutes les menaces dans l’ensemble du pays, y compris dans les entreprises.

L’organisation ne dispose cependant aujourd’hui que d’une poignée de collaborateurs. Elle a bien reçu une dotation unique de 1,7 million d’euros issus du budget fédéral de 10 millions attribué tout récemment. C’est certainement un pas dans la bonne direction, mais cela reste peu en comparaison avec le budget annuel du NCSC, qui sera de 20 millions à partir de 2016. Chaque année, les Pays-Bas investissent également 6 millions d’euros dans la recherche scientifique en matière de sécurité informatique. La France, quant à elle, prévoit un budget d’un milliard d’euros sur cinq ans pour la cybersécurité et l’Agence française pour la sécurité des systèmes d’information (ANSSI) souhaite engager plus de 100 spécialistes supplémentaires en 2014.

Une approche trop fragmentaire

Nous pouvons nous estimer heureux que l’Europe se soit attelée à la stratégie numérique. Une nouvelle directive européenne relative à la sécurité des réseaux et de l’information entrera normalement en vigueur en 2015. Chaque État-membre devra ainsi disposer d’un centre de coordination pour la cybersécurité, certains secteurs seront contraints de rapporter les cyberattaques et les pays pourront rappeler à l’ordre leurs homologues. Cela promet pour notre pays…

En Belgique, la politique est fragmentée. Il n’est pas si grave en soi que les compétences soient réparties entre le niveau fédéral et régional et que différents départements veillent à la cybersécurité et luttent contre la cybercriminalité. L’on pointera par contre une fois de plus le manque de coordination entre départements et de collaboration avec le secteur privé et le monde académique. Plus que d’un organe interfédéral au service des entreprises, des pouvoirs publics, de l’Europe et des utilisateurs, nous avons besoin d’une vision stratégique, d’un plan de gestion clair et d’un leadership effectif. Seul, un Centre pour la cybersécurité (CCB) n’est pas suffisant. Nous devons également établir un solide plan industriel pluriannuel pour la sécurité informatique, axé sur l’innovation. Les entreprises qui innovent et investissent dans la sécurisation de l’information sont pour l’instant trop peu soutenues.

“Nous avons besoin d’une vision stratégique, d’un plan de gestion clair et d’un leadership effectif.”

Grâce aux élections simultanées, nous nous préparons – espérons-le – à cinq années de stabilité politique. Cinq ans pour développer cette vision, créer un organe exécutif et de coordination et sensibiliser et former davantage notre société et nos PME.

Il n’est jamais trop tôt pour commencer cette formation. À Singapour, les enfants sont initiés à la sécurisation de l’information et à son importance dès l’enseignement primaire. En Israël, un cours sur la cybersécurité est donné dans le secondaire. Ces pays ont une vision de l’informatique et de la cybersécurité en particulier. Ils s’y sont consacrés depuis des années déjà et disposent aujourd’hui des experts informatiques nécessaires. En Belgique, selon Agoria, seuls 2.300 diplômés sont sortis d’une filière ICT l’année dernière.

La Belgique compte de nombreux cyber-experts qui jouissent souvent également d’une renommée internationale mais qui ne sont malheureusement pas prophètes dans leur pays.

Malgré cela, nous avons dans notre pays un certain nombre de cyber-experts qui jouissent souvent également d’une renommée internationale. Le professeur Bart Preneel de la KU Leuven s’est vu décerner cette année le prix d’“excellence in the field of mathematics” lors de la plus grande cyberconférence aux États-Unis. Le professeur Jean-Jacques Quisquater de l’UCL avait reçu ce prix l’année passée.

Le standard de chiffrement international AES de Vincent Rijmen et Joan Daemen a encore été récemment encensé comme étant l’une de nos plus importantes innovations. Le magistrat fédéral Jan Kerkhofs et le juge d’instruction Philippe Van Linthout enseignent l’aspect juridique de la cybercriminalité dans toute l’Europe. Le professeur Jos Dumortier de la KU Leuven est un expert mondialement reconnu et un intervenant très demandé lors de conférences internationales.

Malheureusement, ces spécialistes, ainsi que beaucoup d’autres, ne sont pas prophètes en leur pays. De nombreux experts s’expatrient. En mettant davantage l’accent sur la cyber-expertise, nous parviendrons à modifier la perception de cyber-insécurité en Belgique et à retrouver la confiance de nos partenaires européens.

Le dimanche 25 mai, la cyber-sécurité mérite votre voix.

Ulrich Seldeslachts, CEO de l’asbl Leaders in Security

Ann Mennens, Manager du Belgian Cybercrime Centre of Excellence

Marc Vael, président de l’association professionnelle pour la sécurité ISACA Belgium

Baudouin Corlùy, directeur d’Agoria TIC