Motie modifiant la loi du 1° juillet 2011 relative à la sécurité et la protection des infrastructures critiques en ce qui concerne l’utilisation obligatoire de réseaux unidirectionnels (déposée par M. Michael Freilich et consorts) va ieuw-Viaamse Aliante Ecolo-Groen …: Ecalagiates Confédérés pour l'organisation de luttes rig rs Part Socialiste Ye Vlaams Belang, ur Mouvement Réformateur CDav Christen-Democratisch en Vaams

20 avril 2022 de Belgique modifiant la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques en ce qui concerne l’utilisation obligatoire de réseaux unidirectionnels (déposée par M. Michael Freilich et consorts) PROPOSITION DE LOI

N-VA : Nieuw-Vlaamse Alliantie Ecolo-Groen Ecologistes Confédérés pour l’organisation de luttes origi PS Parti Socialiste VB Vlaams Belang MR Mouvement Réformateur CD&V Christen-Democratisch en Vlaams PVDA-PTB Partij van de Arbeid van België – Parti du Travail de Belgi Open Vld Open Vlaamse liberalen en democraten Vooruit Vooruit Les Engagés Les Engagés DéFI Démocrate Fédéraliste Indépendant INDEP-ONAFH : Indépendant - Onafhankelijk

RÉSUMÉ

Les cyberattaques contre des infrastructures critiques ne sont pas un phénomène nouveau. Entre début 2020 et mi-2021, treize cyberincidents visant des infrastructures critiques ont été signalés en Belgique. Une véritable course aux cyberarmes s’est engagée. Les États vont de plus en plus loin en matière d’attaque et d’espionnage en ligne de leurs infrastructures et réseaux mutuels. Les conflits géopolitiques se prolongent dans le cyberespace.

Les cyberopérations menées contre des infrastructures critiques peuvent avoir des conséquences plus importantes qu’une attaque au moyen d’armes de destruction massive. Lorsqu’une cyberattaque contre une infrastructure critique peut conduire à un Mass Casualty Incident, c’est-à-dire un incident faisant un grand nombre de victimes, la meilleure façon de protéger cette infrastructure contre les attaques extérieures est d’utiliser des unidirectional gateways ou réseaux unidirectionnels.

Il s’agit d’une nouvelle technologie qui garantit une connexion sûre à cent pour cent entre les systèmes de données sans aucune possibilité de piratage. L’auteur de cette proposition de loi estime qu’il convient d’accroître la résilience de nos intérêts vitaux et de nos infrastructures. Il pense qu’il faut prendre des mesures supplémentaires adaptées aux nouvelles menaces et aux nouveaux risques et préconise la mise en œuvre de unidirectional gateways pour mieux nous protéger contre les cybermenaces et les cyberincidents, afin que tout accès non autorisé devienne impossible.

En modifiant la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, l’auteur de cette proposition de loi entend rendre obligatoire l’utilisation de réseaux unidirectionnels. Cette obligation s’applique uniquement aux infrastructures critiques dans lesquelles des incidents peuvent gravement déstabiliser la société et faire un très grand nombre de victimes. Un délai d’un an et demi est accordé aux opérateurs concernés pour mettre en œuvre la nouvelle technique de protection

DÉVELOPPEMENTS

Mesdames, Messieurs, Contexte Les infrastructures critiques doivent être protégées de manière optimale contre les cyberattaques. Les incidents impliquant ces infrastructures peuvent en effet avoir un impact à grande échelle, un impact national. Les nouvelles techniques de protection doivent suivre les évolutions technologiques. La législation belge sur les NIS1 fait explicitement référence aux secteurs des transports, de l’énergie, des finances, des communications électroniques, de l’eau potable, de la santé publique, des infrastructures numériques et de l’espace.

Un incident ou une attaque dans l’un de ces secteurs peut avoir de graves conséquences pour les fonctions vitales. Les exploitants de ces infrastructures critiques sont déjà tenus d’établir un plan de sécurité, d’organiser des exercices et des inspections, de signaler les incidents et de prendre des mesures supplémentaires en fonction des menaces. Parmi les différentes infrastructures critiques, nous pouvons établir une distinction entre les organisations d’importance stratégique (telles que les transports et les télécommunications) et les infrastructures critiques qui, si elles sont manipulées de manière malveillante, peuvent directement conduire à des Mass Casualty Incidents (ci-après: “MCI”), des incidents pouvant faire de nombreuses victimes.

C’est cette dernière catégorie d’infrastructures que nous souhaitons mieux protéger des cyberattaques qui peuvent causer beaucoup de dommages directs et faire de nombreuses victimes. Nous songeons, par exemple, à l’ouverture d’un barrage entraînant l’inondation d’une vallée, à la manipulation d’une centrale électrique provoquant son explosion ou à l’adaptation des paramètres d’une station d’épuration rendant l’eau potable toxique. ne sont pas un phénomène nouveau.

Il y a près de dix ans, l’opérateur de télécommunications belge Belgacom (aujourd’hui Proximus) a été touché. Entre début 2020 et mi-2021, treize cyberincidents visant des infrastructures critiques ont été signalés en Belgique. NIS: network and information systems.

L’année dernière à Genève, le président américain Joe Biden et son homologue russe Vladimir Poutine ont discuté des cyberattaques visant les infrastructures critiques américaines (ministères et entreprises). L’une des plus grandes cyberattaques de l’histoire s’était produite sur la côte est des États-Unis. Au moyen d’une attaque numérique utilisant un rançongiciel (ransomware), les pirates avaient réussi à pénétrer de l’extérieur dans les systèmes informatiques de Colonial Pipeline.

La quasitotalité du réseau de pipelines de la société américaine avait été paralysée à la suite de ce piratage. Cela avait entraîné une grave pénurie de carburant dans plusieurs États. Début 2021, une station d’épuration a été touchée à Oldsmar, en Floride. Les pirates avaient tenté de multiplier par 100 le niveau d’hydroxyde de sodium, ce qui peut avoir de graves conséquences pour la santé publique. Une véritable course aux cyberarmes s’est engagée.

Les États vont de plus en plus loin en matière d’attaque réseaux mutuels. Le monde numérique est devenu le reflet des tensions qui règnent dans le monde. Les conflits géopolitiques se prolongent dans le cyberespace. Les cyberopérations menées contre des infrastructures critiques peuvent avoir des conséquences plus importantes qu’une attaque au moyen d’armes de destruction massive. Nous assistons aujourd’hui à une guerre hybride en Ukraine.

C’est la toute première fois que nous constatons des cyberattaques d’une telle ampleur. Les bombes et les obus virtuels ne se limitent pas nécessairement à Kiev et Moscou. Une cyberattaque bien ciblée contre la Belgique n’est certainement pas inconcevable. Lorsqu’une cyberattaque dirigée contre une infrastructure critique peut engendrer un MCI, il est préférable de protéger cette infrastructure contre les attaques de l’extérieur au moyen de réseaux unidirectionnels.

Unidirectional gateways (UDG’s) Jusqu’il y a deux décennies, il n’existait pas de connexions entre les systèmes de contrôle et le monde extérieur dans le monde industriel. À l’époque, les opérateurs ont découvert que les systèmes de contrôle contenaient une mine d’informations qui pouvaient les aider à gérer leur entreprise. Pour pouvoir collecter ces données, ils ont connecté leurs réseaux de contrôle à leurs réseaux d’entreprise et à l’internet.

Ils ont alors également introduit les enjeux de sécurité. Les réseaux connectés les ont exposés à des risques et à des menaces, comme les virus notamment. Ceux-ci peuvent être introduits par le biais des réseaux. À l’heure actuelle, les pare-feu ne suffisent plus à écarter les dangers. De nouvelles technologies de protection ont donc été développées.

Il existe aujourd’hui une nouvelle technologie qui garantit une connexion sûre à cent pour cent entre les systèmes de données sans aucune possibilité de piratage. C’est une sorte de circulation à sens unique sûre et garantie, dans laquelle les pirates informatiques ne peuvent pas s’introduire. Il s’agit de réseaux unidirectionnels, en anglais ‘unidirectional gateways’. Ces réseaux transfèrent les données sans donner accès aux systèmes qui génèrent ces données.

Il est matériellement impossible d’envoyer des données dans l’autre sens. Ce système permet d’éviter une partie significative des cyberattaques. Le US National Institute of Standards and Technology (NIST) définit les réseaux unidirectionnels comme suit: “Unidirectional gateways are a combination of hardware and software. The hardware permits data to flow from one network to another but is physically unable to send any information at all back into the source network. […] The guide positions unidirectional gateways as stronger than firewall protection for sensitive industrial control system networks.” Le noyau d’un réseau unidirectionnel est constitué de hardware.

C’est lui qui impose l’unidirectionnalité matérielle. Le flux d’informations ne circule que dans un seul sens. Les données (par exemple, les mesures comme la température et d’autres paramètres) peuvent être transférées d’un réseau à l’autre, mais le réseau émetteur est protégé contre les attaques venant de l’extérieur. L’émergence de l’Internet des Objets (IdO) et la numérisation amènent les entreprises à utiliser de plus en plus souvent des réseaux unidirectionnels pour protéger leurs systèmes de contrôle et de sécurité.

Les normes et les réglementations industrielles évoluent, intègrent cette alternative aux pare-feu et encouragent ou imposent son utilisation. Cette technique de sécurisation s’applique dans un nombre croissant de secteurs industriels. Tous les générateurs nucléaires américains l’utilisent aujourd’hui, de même que les installations nucléaires situées en Israël, au Canada, en Espagne et en Corée du Sud.

La technologie s’impose également dans une série d’autres secteurs comme les raffineries, les entreprises chimiques, les stations d’épuration d’eau, les installations pétrolières et gazières (les plateformes de production et les pipelines), … En cas de cyberattaque, tous ces secteurs constituent une menace qui pourrait bien faire un grand nombre de victimes. La nouvelle technologie est utilisée dans un grand nombre d’infrastructures critiques.

Les avis, les normes et les régulations modernes contiennent des recommandations ou des obligations d’utiliser des réseaux unidirectionnels pour les réseaux de commande critiques. S’ils sont utilisés comme seule

connexion entre les réseaux de contrôle critiques et les réseaux critiques pour les entreprises, ces réseaux unidirectionnels éliminent totalement les possibilités d’attaques en ligne. Les sites protégés par une technologie unidirectionnelle sont complètement sécurisés contre les rançongiciels ciblés, les services de renseignement étatiques et d’autres acteurs de la menace en ligne, quel que soit leur degré d’équipement ou de sophistication.

Ces sites bénéficient également d’un accès aux données industrielles nécessaires pour permettre une automatisation moderne des entreprises. Les réseaux unidirectionnels offrent aux systèmes de contrôle, aux infrastructures (industrielles) critiques et aux réseaux technologiques opérationnels (réseaux OT) la plus forte protection. Certains pays ont déjà adopté une législation et des directives intégrant les réseaux unidirectionnels.

C’est le cas des États-Unis au travers de la US Nuclear Regulatory Commission 5.71 regulation (US NRC 5.71), du US Nuclear Energy Institute 08-09 (US NEI 08-09) et de la North American Electric Reliability Corporations Critical Infrastructure Protection (NERC CIP). Aux États-Unis, tous les réacteurs nucléaires sont protégés grâce à cette technologie, de même que de nombreuses infrastructures critiques.

On citera comme autres pays Israël ((Israel’s Cyber Manual, Israeli Critical Infrastructure), Singapour (Singaporean Critical Infrastructure) et la Corée du Sud (South Korean Critical Infrastructure). Plus près de nous, on citera la France (Agence nationale de la sécurité des systèmes d’information (ANSSI) - Industrial Control Systems) et le Royaume-Uni (Rail Cybersecurity - Guidance to Industry). Les études montrent que le nombre d’attaques perpétrées contre des infrastructures critiques est en hausse et que ces attaques deviennent de plus en plus sophistiquées.

Les pirates informatiques ciblent des installations liées à l’énergie, à internet, à l’eau potable, aux transactions financières et aux services de transport essentiels. La pression sur les infrastructures critiques, dont font partie les installations nucléaires, s’accroît donc. Certaines de ces attaques sont très probablement soutenues par des services étrangers. L’avertissement est donc clair: la menace d’attaque contre les infrastructures critiques, y compris les installations nucléaires, est en progression.

Il importe à nos yeux d’accroître la résilience de nos intérêts vitaux et de nos infrastructures. Nous devons prendre des mesures supplémentaires adaptées aux nouvelles menaces et aux nouveaux risques. Nous préconisons la mise en œuvre de mesures préventives pour mieux nous protéger contre les cybermenaces et les cyberincidents, afin que tout accès non autorisé devienne impossible. Nous entendons dès lors rendre obligatoire l’utilisation de réseaux unidirectionnels qui élimineront

radicalement, voire complètement, les possibilités de cyberattaques en ligne. Nous devons utiliser la nouvelle technique de protection des unidirectional gateways ou réseaux unidirectionnels dans les infrastructures critiques où des incidents peuvent gravement déstabiliser la société et faire un très grand nombre de victimes, ce que l’on appelle des Mass Casualty Incidents (MCI). Les secteurs auxquels s’appliquera la loi sont les installations de production d’énergie (centrales à hydrogène, centrales hydroélectriques, centrales à gaz, centrales nucléaires et autres centrales et turbines), les barrages, les centrales d’eau potable, les raffineries, les usines chimiques, les installations de traitement des eaux et les installations de pétrole et de gaz.

Le Roi peut compléter cette liste. La loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques2 L’article 13, § 1er, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques impose aux exploitants d’infrastructures critiques l’élaboration d’un plan de sécurité (plan de sécurité de l’exploitant, ci-après: “P.S.E.”), visant à prévenir, à atténuer et à neutraliser les risques d’interruption du fonctionnement ou de destruction de l’infrastructure critique par la mise au point de mesures matérielles et organisationnelles internes.

Ce plan contient au moins les mesures internes de sécurité permanentes devant être appliquées en toutes circonstances et des mesures internes de sécurité graduelles à appliquer en fonction de la menace (article 13, § 2, de la même loi). Les exploitants sont également tenus d’organiser des exercices et d’actualiser le P.S.E., en fonction des enseignements des exercices ou de toute modification de l’analyse des risques (article 13, § 6, de la même loi).

La loi n’impose toutefois pas l’utilisation de réseaux unidirectionnels. La présente proposition de loi entend y remédier. À cette fin, elle insère dans la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques l’obligation d’utiliser cette nouvelle technique de protection. L’article 13 de la loi est complété par un paragraphe instaurant cette obligation, qui s’applique uniquement aux infrastructures critiques dans lesquelles des incidents peuvent gravement déstabiliser Loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, publiée au Moniteur belge le 15 juillet 2011

COMMENTAIRE DES ARTICLES

Article 2 L’absence d’obligation d’utiliser des réseaux unidirectionnels est une lacune qu’il convient de combler dans la loi actuelle. C’est pourquoi l’article 13 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques est complété par un § 8 qui impose cette obligation. Cette obligation n’est imposée qu’aux infrastructures critiques dans lesquelles des incidents peuvent gravement déstabiliser la société et faire un très grand nombre de victimes.

Il s’agit au minimum des installations de production d’énergie (centrales à hydrogène, nucléaires et autres centrales et turbines), des barrages, des centrales d’eau potable, des raffineries, des usines chimiques, des installations de traitement des eaux et des installations de pétrole et de gaz. Le Roi peut éventuellement compléter cette liste. Art. 3 Cet article fixe la date d’entrée en vigueur de la loi.

Un délai de dix-huit mois est accordé aux opérateurs concernés pour mettre en œuvre la nouvelle technique de protection.

Article 1er La présente loi règle une matière visée à l’article 74 de la Constitution. Art. 2 L’article 13 de la loi du 1er juillet 2011 relative à la modifié en dernier lieu par la loi du 8 mai 2019, est complété par un paragraphe 8 rédigé comme suit: “§ 8. Pour les installations qui produisent de l’énergie, les barrages, les stations de production d’eau potable, les raffineries, les entreprises chimiques, les stations d’épuration et les installations pétrolières et gazières, l’utilisation de réseaux unidirectionnels est obligatoire.

Le Roi peut compléter cette liste.” La présente loi entre en vigueur le premier jour du dix-huitième mois qui suit celui de sa publication au Moniteur belge. 22 mars 2022