Les sites web des administrations belges obtiennent de faibles scores en matière de cybersécurité. Pour nous, c'est une raison de consulter notre expert en cybersécurité Kristof Tuyteleers. Il compare les approches des Pays-Bas et de la Belgique en matière de cybersécurité.
Pourquoi les sites Web de nos administrations obtiennent-ils des scores aussi bas dans le domaine de la cybersécurité ?
Différentes raisons expliquent pourquoi les sites Web des administrations belges sont à la traîne en termes de sécurité. Tout d'abord, il n’y a pas de directives centrales ni de supervision. Cela signifie qu'il n'y a pas de procédures standard qui sont appliquées partout, ce qui entraîne des différences dans les mesures de sécurité.
Existe-t-il d’autres éléments qui entravent la cybersécurité ?
Absolument, la division complexe des compétences dans notre pays aboutit à une politique fragmentée. La cybersécurité est répartie ici entre différents niveaux administratifs. Cela entrave les actions coordonnées. Cette fragmentation empêche l’existence d’une approche unifiée, ce qui réduit l'efficacité des mesures de protection.
'Tous les services et niveaux de l’Administration ne disposent pas de spécialistes en technologies de l’information capables d’évaluer et de traiter correctement les cyberrisques.'
Qu’en est-il de la sensibilisation et de l’expertise en matière de cybersécurité au sein des administrations publiques ?
Malheureusement, elles restent très limitées. Tous les services et niveaux de l’Administration ne disposent pas de spécialistes en technologies de l’information capables d’évaluer et de traiter correctement les cyberrisques. En raison du manque de connaissances et d'expérience, il s’avère difficile d’élaborer, d’appliquer et de maintenir des mesures de sécurité appropriées.
Le Centre pour la Cybersécurité Belgique (CCB), responsable de la coordination des politiques nationales de cybersécurité, cherche à combler cette lacune en élaborant des lignes directrices et des recommandations (notamment sur la réponse aux incidents, le phishing ou hameçonnage et les vulnérabilités). En outre, le CCB organise chaque année une campagne de sensibilisation à grande échelle sur un thème central (par exemple, la vérification en deux étapes).
Existe-t-il encore d’autres raisons qui expliquent pourquoi la sécurité des sites Web des administrations est inadéquate ?
Les investissements dans le domaine de la cybersécurité se sont également révélés insuffisants. Les budgets, y compris dans les entreprises, sont limités et la cybersécurité n’est pas toujours considérée comme une priorité. Aujourd'hui, les ressources disponibles sont insuffisantes pour acquérir et développer les technologies et l'expertise ou les compétences humaines nécessaires.
Selon une étude de l’ICF (Internet Cleanup Foundation), le gouvernement belge est à la traîne par rapport à celui des Pays-Bas. Quelles sont les différences entre la Belgique et les Pays-Bas en matière de cybersécurité ?
La Belgique et les Pays-Bas ont une approche administrative différente. Les Pays-Bas ont une politique centrale plus forte et le gouvernement néerlandais se conforme à des normes plus strictes. Au Pays-Bas, par exemple, le BIO, un cadre de normes de base pour la sécurité de l’information dans les administrations publiques, s’applique à tous les niveaux de l’administration. En Belgique, le CCB, avec ses principes fondamentaux applicables à la cybersécurité, dispose d’un cadre de référence obligatoire pour les services essentiels, mais pas pour les municipalités, par exemple.
Qu’en est-il des investissements dans la sécurité numérique ?
Les Pays-Bas investissent dans ce domaine depuis longtemps déjà et ont adopté, par exemple, les normes « appliquer-ou-expliquer », gérées par le Forum Standaardisatie. Il s'agit de normes ouvertes auxquelles les pouvoirs publics doivent obligatoirement se conformer lors de l’acquisition ou du développement de systèmes informatiques et de services numériques, à moins qu’il n’existe des raisons impérieuses d’y déroger. Toute exception à ces normes doit alors être justifiée (« expliquer »). Comme exemples de normes ouvertes obligatoires, nous pouvons citer les normes DNSSEC , DMARC, DKIM et SPF pour la sécurité du courrier électronique.
Je soutiens fermement cette approche. Elle permet non seulement d'augmenter le niveau de maturité de la sécurité dans les administrations, mais aussi d'exercer une pression sur les fournisseurs pour qu'ils soutiennent des normes sûres, ce qui contribue à une adoption plus généralisée de mesures de sécurité modernes et adéquates dans l'ensemble du secteur.
'On ne peut donc certainement pas affirmer que les Pays-Bas suivent un parcours exemplaire et que la Belgique n’adopte aucune mesure dans ce domaine.'
Toutefois, la réalité est plus nuancée : la Belgique prend également des mesures. Nous sommes le premier pays où la directive NIS2, qui vise à créer une société numérique plus résiliente en termes de cybersécurité, a été pleinement transposée dans la législation nationale. Aux Pays-Bas, on ignore encore quand cette loi entrera en vigueur. On ne peut donc certainement pas affirmer que les Pays-Bas suivent un parcours exemplaire et que la Belgique n’adopte aucune mesure dans ce domaine.
Le Centre pour la Cybersécurité Belgique (CCB) s’efforce clairement de rattraper son retard, notamment grâce aux CyberFundamentals (CyFun), un cadre de référence en matière de cybersécurité que peuvent utiliser toutes les entreprises et toutes les administrations, quelle que soit leur taille. Nous sommes pleinement conscients de la nécessité de passer à la vitesse supérieure. Le développement de lignes directrices DNS en est un exemple clair.
Avec cet article, nous contribuons à réaliser ces objectifs de développement durable de l’Organisation des Nations Unies.