+32(0)81778080

info@adn.be

Web Design

Your content goes here. Edit or remove this text inline.

Logo Design

Your content goes here. Edit or remove this text inline.

Web Development

Your content goes here. Edit or remove this text inline.

White Labeling

Your content goes here. Edit or remove this text inline.

VIEW ALL SERVICES 

GUIDE – Module 2

Aspects légaux

Afin d’aborder les aspects légaux de la conformité aux cyber-risques , il est essentiel de comprendre l’impact et les exigences des directives européennes NIS I et NIS II ainsi que leurs implications dans le contexte des marchés publics en Belgique. Les aspects pénaux sont ici également abordés.

    Niveau : facile

    OBJECTIF DES MODULES
    PRINCIPALES MENACES
    OBJECTIFS DES MODULES
    PRINCIPALES MENACES

    ASPECTS Légaux

    1

    Cadre EU : NIS I et NIS II

    NIS 1 & NIS 2

    Les directives NIS I et NIS II (Network and Information Security) marquent une évolution cruciale dans le cadre législatif de l’Union européenne visant à renforcer la sécurité des réseaux et des systèmes d’information. Le règlement NIS I a introduit des exigences de sécurité pour les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN), accentuant la nécessité pour les secteurs vitaux de l’économie d’adopter des mesures adéquates pour protéger leurs infrastructures cybernétiques.

    La récente mise à jour de ce cadre avec la directive NIS II (d’ores et déjà en vigueur mais devant être transposée en droit belge d’ici octobre 2024) élargit considérablement la portée des secteurs considérés comme essentiels, incluant explicitement les administrations publiques (centrales et régionales) en tant qu’« entités essentielles » assujetties à différentes obligations particulières.

    Cette classification souligne l’importance de protéger spécifiquement le secteur public contre les menaces cybernétiques, reflétant une reconnaissance de la vulnérabilité de ce secteur face aux attaques cybernétiques, notamment les ransomwares, le phishing et les attaques commanditées par d’autres états. Ces attaques représentent une menace sérieuse à la continuité des services publics essentiels et à la protection des données importantes des citoyens .

    Implications de NIS 2

    La directive NIS II continuera de s’appliquer aux secteurs déjà concernés par NIS1 (établissements de santé, banques, transports) mais s’étend à de nouveaux secteurs d’activité dont celui des administrations publiques.

    Dans ce contexte, NIS II impose des obligations renforcées en matière de gestion des risques et de déclaration des incidents ainsi que des sanctions plus sévères en cas de non-conformité. Ces dispositions visent à garantir que les entités essentielles prennent les mesures nécessaires pour prévenir, détecter et réagir rapidement aux incidents cybernétiques, assurant ainsi la résilience et la continuité des services vitaux.

    La directive exige que les administrations publiques (et d’autres entités essentielles et importantes) mettent en œuvre une approche « tous risques » pour faire face à des formes spécifiques de cybermenaces probables qui comprennent au moins :

    1. les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information;
    2. la gestion des incidents;
    3. la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises;
    4. la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs;
    5. la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités;
    6. des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité;
    7. les pratiques de base en matière de cyber-hygiène et la formation à la cybersécurité;
    8. des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement;
    9. la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs;
    10. l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.

    L’ensemble des mesures à mettre en place est donc considérable, il convient de penser la cybersécurité à l’échelle individuelle et de son administration.

    2

    Implications et clauses pour les marchés publics 

    Implications

    La Belgique, en tant qu’État membre de l’UE, est tenue de transposer prochainement la directive NIS 2 dans son cadre législatif national. Il est donc d’ores et déjà important de préparer la conformité dans les appels d’offres actuels.

    Cela implique une nécessité pour les entités publiques et les entreprises participant à des appels d’offres de démontrer leur conformité aux exigences NIS. Le non-respect de ces directives peut avoir des répercussions importantes, y compris l’annulation d’un marché public par le Conseil d’État, si le cadre cybernétique requis n’était pas respecté.

    Pour atténuer ces risques, les autorités concernées doivent intégrer des clauses spécifiques de cybersécurité dans leurs documents d’appel d’offres. Ces clauses peuvent couvrir divers aspects, tels que les exigences de sécurité à respecter, les responsabilités en cas de failles de sécurité, y compris les mécanismes de notification des incidents, et les pénalités applicables. Elles doivent également préciser les attentes en matière d’audit et de conformité pour s’assurer que les mesures de cybersécurité sont correctement mises en œuvre et maintenues au fil du temps.

    La conformité aux directives NIS I et II dans les marchés publics est essentielle pour renforcer la sécurité cybernétique des services publics et des infrastructures critiques en Belgique. En intégrant des exigences strictes et en clarifiant les responsabilités, les entités publiques pourront améliorer leur sécurité et réduire les risques associés aux menaces.

    Exemples de clauses intégrables dans un appel d'offre

    Un marché n’est pas l’autre et une réflexion sur la question de la cybersécurité doit être effectuée pour tout projet numérique. Cela étant, voici quelques exemples de clauses qui pourraient être intégrés dans un appel d’offres afin d’assurer la sécurité d’un projet :

    • Politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information : le fournisseur doit mettre en place et maintenir des politiques actualisées d’analyse des risques et de sécurité des systèmes d’information, conformément aux normes reconnues internationalement.
    • Gestion des incidents : le fournisseur doit disposer d’une procédure de gestion des incidents de sécurité informatique, permettant une réaction rapide et efficace en cas d’incident afin d’en informer l’autorité.
    • Continuité des activités : le fournisseur doit établir et tester régulièrement un plan de continuité des activités, y compris la gestion des sauvegardes et la reprise après incident, pour garantir la résilience des services offerts.
    • Sécurité de la chaîne d’approvisionnement : le fournisseur s’engage à appliquer des critères stricts de sécurité pour tous ses sous-traitants et fournisseurs de services directs, garantissant ainsi la sécurité de la chaîne d’approvisionnement.
    • Sécurité de l’acquisition, du développement et de la maintenance : les processus d’acquisition, de développement et de maintenance des systèmes et réseaux d’information par le fournisseur doivent intégrer des pratiques de sécurité robustes, incluant la gestion des vulnérabilités.
    • Évaluation de l’efficacité des mesures de gestion des risques : le fournisseur doit régulièrement évaluer et rapporter l’efficacité des mesures mises en place pour la gestion des risques en matière de cybersécurité.
    • Cyber-hygiène et formation à la cybersécurité : le fournisseur doit promouvoir les bonnes pratiques de cyber-hygiène et assurer une formation continue de son personnel (voir des agents utilisateurs) en matière de cybersécurité  à l’aide de newsletters, de séminaire de formation à l’utilisation de l’outil, etc.
    • Utilisation de la cryptographie. Le fournisseur doit appliquer des politiques et procédures pour l’utilisation sécurisée de la cryptographie, incluant le cas échéant, l’usage du chiffrement pour la protection des données sensibles.
    • Sécurité des ressources humaines et gestion des accès. Des politiques de contrôle d’accès doivent être mises en place pour limiter l’accès aux informations et systèmes aux seuls autorisés, en fonction de leur rôle.
    • Authentification multifacteurs: le fournisseur doit implémenter des solutions d’authentification multifacteurs pour renforcer la sécurité de l’accès aux systèmes et aux données.

    Il ne s’agit là que d’exemples, mais ceux-ci peuvent servir d’inspiration aux rédacteurs d’appel d’offres portant sur un produit ou un service numérique.

      3

      Le Hacking en Belgique

       

      Hacking & droit pénal

      Au regard du droit pénal, l’accès non autorisé à un système informatique, ou hacking, est considéré comme une infraction (550 bis et suivants du Code pénal). Cette pratique se réfère à l’intrusion dans le système informatique d’autrui à son insu ou, à tout le moins, sans disposer de l’habilitation requise.

      Le hacking peut être interne ou externe selon qu’il est commis par une personne étrangère au système informatique ciblé ou lorsqu’il est commis par une personne ayant accès au système informatique, mais qui a outrepassé les limites de son autorisation.

      La tentative de hacking est sanctionnée des mêmes peines que le hacking en lui-même à savoir un emprisonnement de six mois à deux ans et d’une amende de 26 EUR à 25.000 EUR ou d’une de ces peines seulement.

      En outre, la récidive (dans certaines conditions), la préparation d’un hacking, sa provocation ainsi que le recel des données informatiques obtenues suite à un hacking peuvent être pénalement sanctionnés.

      Trois circonstances aggravantes (communes aux deux types de hacking) sont habituellement reconnues :

      1. la réalisation d’un dommage
      2. la prise ou du vol de données; et
      3. l’utilisation du système piraté.

      Dans ces trois cas aggravés, les peines sont l’emprisonnement de un à trois ans et/ou l’amende de 26 à 50.000 euros.

      Au regard des peines annoncées, les risques ne sont donc pas anodins.

      Hacking éthique

      Attention, toutes les tentatives de piratages ne seront pas nécessairement sanctionnées par la loi. Une exception existe pour les hackeurs éthiques.

      Il s’agit d’un expert en sécurité informatique qui ne s’introduit pas dans les systèmes informatiques dans un but malveillant. Il pense et agit comme un pirate mais seulement pour protéger les intérêts numériques d’un organisme cible.

      L’objectif du hacker éthique est de découvrir les faiblesses des systèmes et infrastructures numériques, d’évaluer les risques de sécurité et de participer de manière constructive à la correction des failles de sécurité découvertes.

      Il existe une réglementation belge concernant les hackers éthiques qui vise à établir un cadre juridique spécifique pour ces professionnels de la cybersécurité, sans pour autant dépénaliser le hacking en général.

      Pour bénéficier d’une cause de justification les mettant à l’abri des poursuites pénales, les hackers éthiques doivent toutefois respecter certaines conditions précises dont voici les plus importantes :

      1. Seules les actions strictement nécessaires pour identifier une vulnérabilité sont autorisées.
      2. Il ne faut pas agir avec une intention frauduleuse ou malveillante.
      3. L’organisation concernée et le CSIRT national (Centre de Coordination de Réponse aux Incidents de Sécurité des Technologies de l’Information) doivent être informés dès la découverte de la vulnérabilité et aucune divulgation publique ne doit être faite sans l’accord du CSIRT.
      4. Les actions doivent être nécessaires et proportionnées pour vérifier l’existence d’une vulnérabilité et améliorer la sécurité.
      5. Certaines actions, comme l’installation de logiciels malveillants ou les attaques par déni de service, sont jugées disproportionnées et/ou non nécessaires par nature.
      6. La divulgation des vulnérabilités à des tiers sans l’autorisation du centre pour la cybersécurité belge (CCB) est interdite.

      Pour en savoir davantage, voir l’article ‘Signalement des vulnérabilités au CCB’.