La stratégie wallonne en matière de cybersécurité
- Session : 2012-2013
- Année : 2013
- N° : 125 (2012-2013) 1
2 élément(s) trouvé(s).
Question écrite du 11/03/2013
- de KAPOMPOLE Joelle
- à MARCOURT Jean-Claude, Ministre de l'Economie, des P.M.E., du Commerce extérieur et des Technologies nouvelles
Selon un focus publié dans l'Écho du 23 février dernier, l'on constate que l'évaluation du risque IT serait quasi inexistante, la cybercriminalité ne semblant pas influencer les pratiques des entreprises.
Ce constat, assez inquiétant, impose la question suivante : quelle est la stratégie wallonne mise en place dans le cadre du développement entrepreneurial pour sensibiliser les PME et autres entreprises à la cybercriminalité ?
Réponse du 03/04/2013
- de MARCOURT Jean-Claude
Internet est un outil formidable de communication, tant pour les particuliers que pour les professionnels. Il est malheureusement inévitable que cet outil soit également utilisé par des personnes mal intentionnées.
La compétence de la lutte contre la cybercriminalité (pédopornographie, racisme, harcèlement, hacking, phishing – détournement de visites, jeux de hasard, droits d’auteur, etc.) n’est pas une compétence régionale, mais fédérale. Elle relève du plus précisément de la cellule « Federal Crime Computer Unit » (FCCU) au sein de la Police fédérale. Cette cellule collabore d’ailleurs quotidiennement avec ses homologues à l’étranger, la cybercriminalité étant encore moins freinée par les frontières d’état que la criminalité traditionnelle.
La Police fédérale publie en ligne des informations sur les différentes formes de criminalité sur Internet et fait le point notamment sur la réglementation sur le « faux en informatique ».
Signalons également, au niveau fédéral, que le FEDICT a chargé l’organisme BELNET, réseau belge de la recherche et de l’éducation, d’animer le site www.CERT.be (Computer Security Incident Response Team) qui a pour mission de diffuser très rapidement les nouvelles menaces de sécurité informatique notamment vers les entreprises.
S’ils se rendent de plus en plus compte que le théâtre d’action de la criminalité se déplace sur le net, les entrepreneurs ne perçoivent pas toujours bien que la cybercriminalité est susceptible de les toucher également et peut parfois mettre en péril la pérennité de leurs activités.
C’est pourquoi des actions sont régulièrement menées dans le cadre des compétences économiques de la Wallonie pour sensibiliser les P.M.E. et indépendants à la cybercriminalité : de quoi s’agit-il, quels sont les risques, comment s’en prémunir ?
Ces actions sont menées notamment par l’Agence Wallonne des Télécommunications qui publie régulièrement en ligne des dossiers pratiques comme par exemple sur :
* la sécurité informatique reprenant en conclusion une check-list de points critiques à vérifier dans le cadre d’une politique de sécurité. Ces recommandations sont inspirées des critères de la norme ISO 17999 (code of practice for information security management). Cette norme est un référentiel de bonnes pratiques de sécurité et des contrôles liés à leurs applications. Ce dossier sera complété d’un volet consacré à la sécurité dans le « cloud », une des tendances décrites dans le Master Plan TIC.
* les paiements électroniques. Le message véhiculé aux e-entrepreneurs est d’y être attentif, car les tentatives de fraude en ligne sont nombreuses, au vu d’une plus grande aisance à dissimuler son identité et une plus grande difficulté à être poursuivi si les actions sont menées à partir de pays où la collaboration judiciaire internationale est encore peu efficace. Par contre, moyennant quelques conseils de prudence élémentaires, les tentatives de fraude peuvent être démasquées et le préjudice financier très limité, dans un ordre de grandeur comparable, voire moindre que les pourcentages de « différences d’inventaire » observés dans le commerce de détail traditionnel. Ainsi la fédération professionnelle du secteur bancaire, FEBELFIN, a publié le 4 février dernier des statistiques montrant que les cas de fraudes à la banque par internet se chiffraient à 2 cas par million de sessions bancaires (1003 fraudes en 2012).
L’AWT complète cette sensibilisation sur la thématique de la cybercriminalité via diverses activités :
* « IP forums » (nouveaux outils intégrés de communication : voix, vidéo et données, avec ou sans fil) ;
* en partenariat avec des opérateurs d’animation économique, des conférences d’information à l’attention des PME ;
* des conférences sur les moyens de paiement en ligne et sur les points d’attention pour ne pas être victime de fraude lors de la vente en ligne ;
* des « Club PME 2.0 » qui rassemblent plus de 250 cybercommerçants wallons
Il faut veiller à ne pas surestimer l’impact de la cybercriminalité. Cela pourrait conduire à créer une psychose qui, d’une part, repousserait les consommateurs à acheter en ligne (une des raisons du retard de développement de l’e-commerce en Belgique est justement la plus grande peur du Belge par rapport aux pays voisins en matière de paiements en ligne, alors que la fiabilité y est aussi élevée et que la société belge Ogone est un fleuron en la matière sur le plan international), et d’autre part, dissuaderait les entrepreneurs d’investir dans des projets en ligne, alors que le développement de l’économie numérique est un des enjeux du redéploiement économique wallon.
La réponse technologique à la cybersécurité n’est pas la seule option. La réalité du terrain montre en effet que les intrusions sont globalement plus le résultat de subterfuges humains, s’inspirant de stratagèmes d’ingénierie sociale, que de réelles actions d’intrusion sur des serveurs informatiques ou d’interception de données via des méthodes d’écoute en ligne. La sensibilisation ne doit donc pas se focaliser uniquement sur la maîtrise des aspects techniques, mais plus globalement sur la nécessité pour le chef d’entreprise de mettre en place des procédures humaines appropriées en interne (ainsi qu’auprès des sous-traitants éventuels), à former ceux-ci régulièrement, à prévoir notamment les outils de détection et de traçage pour identifier toute intrusion, ainsi qu’à tester régulièrement des systèmes de récupération des systèmes d’information.
C’est la raison pour laquelle la Wallonie mène également des actions plus globales de sensibilisation à la protection et à la sécurité de l’information (sécuriser les informations confidentielles, se prémunir contre des manipulations d'informations et des rumeurs, éviter la captation illégale de ses données). Ces actions sont réalisées dans le cadre du programme « Intelligence Stratégique » piloté par l’Agence de Stimulation Economique (ASE), en partenariat avec les intercommunales BEP, IDELUX, SPI, IDETA et la CCI Hainaut. 2 400 entreprises ont été sensibilisées depuis le début du projet en 2008.
Dans ce cadre, l’ASE a établi un protocole de collaboration avec la Sûreté de l’État. De plus, l’ASE finance une chaire en Intelligence Stratégique en partenariat avec HEC-ULg (cycle de 17 jours de formation). Sa mission est de développer des ressources et compétences multidisciplinaires afin de diffuser la connaissance et l'expertise en Intelligence Stratégique au sein du tissu économique wallon.
Enfin, signalons les actions de formation professionnelle en sécurité informatique menées par les Centres de compétences en TIC de la Région wallonne.
Évidemment, il y aurait certainement un intérêt à amplifier ces actions publiques d’information et de formation afin de toucher encore plus d’entrepreneurs, comme il le faudrait d’ailleurs aussi, encore et toujours, pour la sécurité physique des installations (vol, incendie,…). Mais, il faut aussi tenir compte du rôle de la presse, des fédérations professionnelles comme FEBELFIN, UCM, AGORIA, etc. et des acteurs privés pour également disséminer les bonnes pratiques, ainsi que pour inciter les P.M.E. à bien s’organiser et à s’équiper d’outils de protection adéquats.