Infrastructure critique

Mesures de protectionInfrastructures critiques
Sécurité au quotidien
Il s’agit de veiller à maintenir la production et les transports vitaux d’énergie, les points de jonction vitaux des transports, les maillons indispensables des systèmes de paiement électroniques et des réseaux de communications électroniques.
Infrastructures critiques

La définition d’une infrastructure critique est mentionnée dans la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques. 

La loi constitue, ensemble avec l'Arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien, la transposition de la Directive 2008/114/CE du Conseil du 8 décembre 2008.  

Les mesures de sécurité et de protection visent à prévenir ou empêcher tout évènement de nature à porter dommage à l'infrastructure. La législation se situe dans le domaine de la prévention d’un incident de sécurité. Elle se distingue ainsi de la préparation à la gestion d’une situation d’urgence pour laquelle d’autres dispositions réglementaires et légales relatives à la planification d'urgence et la gestion de crise doivent être appliquées.

La législation prévoit quatre secteurs:

  • Pour les secteurs de l’énergie et du transport, tant des infrastructures critiques européennes que nationales peuvent être désignées;
  • Pour les secteurs des finances et de la communication électronique, des infrastructures nationales peuvent être  désignées.

En application du règlement 1285/2013 du Parlement européen et du Conseil, une protection et sécurité équivalente pour le secteur aérospatial est d'application, comme prévu dans la loi du 1 juillet 2011. 

Rôle du Centre de Crise

Point de contact EPCIP

Dans sa fonction de point de contact belge pour l'EPCIP (European Programme for Critical Infrastructure Protection), le Centre de Crise entretient des contacts avec les Etats membres européens en vue de l’identification et la désignation des infrastructures critiques européennes. Il est en outre le point de contact pour les Etats membres  avec lesquels un accord a été conclu sur des infrastructures critiques européennes concernant l’échange d’information relative aux menaces potentielles pertinentes d'actes intentionnels visant à perturber le fonctionnement ou à détruire les infrastructures critiques européennes.

De plus, le Centre de Crise fournit le rapportage nécessaire à la Commission européenne.

Avis aux autorités sectorielles

Les autorités sectorielles sont responsables de l’identification et de la désignation des infrastructures critiques ainsi que de la prise d’AR concernant, entre autres, les modalités en matière d’exercices, les mesures de  protection internes des exploitants et les services d’inspection. Le Centre de Crise a un rôle de soutien dans ces activités. 

L’identification des infrastructures n’est pas un exercice unique mais une mission permanente. De plus, on a prévu la possibilité d’ajouter d’autres secteurs.

Mesures externes de protection

Le Centre de Crise peut prendre des mesures de protection externes exécutées par les services de police. Ces mesures sont déterminées en fonction de l’évaluation de la menace. Cette évaluation peut avoir trait au terrorisme et à l’extrémisme mais en cas d’infrastructure critique, elle peut être élargie à d’autres menaces, par exemple dans le contexte de l’ordre public ou encore, un hacking avec des motifs criminels. Il s’agit donc uniquement de prévenir des actes intentionnels de malveillance. 

 

Quelles sont les obligations de l'exploitant d'une infrastructure critique?

Mesures internes de sécurité

L’exploitant d’une infrastructure critique doit disposer d’un plan de sécurité avec des mesures permanentes et des mesures graduelles. Les mesures graduelles passent au niveau supérieur en fonction de l’évaluation de la menace par l’OCAM.

Il convient de faire correspondre les mesures internes et externes afin d’obtenir un niveau optimal de sécurité et de protection. Le fait de disposer de la liste des infrastructures critiques offre la possibilité de préparer et tester ce mécanisme.

Point de contact

A cette fin, un échange d’information efficace et rapide est indispensable. C’est la raison pour laquelle l’exploitant doit disposer d’un point de contact pour la sécurité (24h/24) avec les autorités. Via ce point de contact, la Centre de Crise peut informer l(es)’exploitant(s) concerné(s) de la menace. De plus, l’exploitant doit immédiatement avertir les services de police de chaque évènement de nature à menacer la sécurité de l’infrastructure critique. Les services de police informent à leur tour le Centre de Crise.

Exercices

Pour pouvoir actualiser le plan de sécurité et évaluer l’efficacité des échanges d’information, l’exploitant doit organiser des exercices.

Mécanisme harmonisé

Notre pays dispose ainsi d’un mécanisme permettant de préparer et exécuter les mesures de protection (par les autorités) et les mesures de sécurité (par les exploitants) pour les infrastructures critiques de manière systématique et harmonisée.

Cybersécurité

Au cours de ces deux dernières décennies, toutes sortes de systèmes ICT ont joué un rôle crucial dans notre société. Cette évolution a permis d’accomplir d’énormes progrès en matière de communication, partage de l’information et automatisation. Ceci a malheureusement engendré en même temps de nouveaux risques et créé de nouvelles opportunités pour les acteurs criminels.

 

La politique de renforcement de la protection des infrastructures critiques au niveau préventif et ce par le développement de plans de protection, prend notamment en compte le cyber risque. La gestion des incidents et des crises doit également s’organiser pour faire face à ce type de risque. De fait, la gestion des cyberincidents et des cybercrises constitue à ce jour une mission commune du Centre de Cybersécurité de Belgique (CCB) et du Centre de Crise. Grâce à un plan national d’urgence de cybersécurité, le CCB et le Centre de Crise offrent une structure de réponse aux incidents et crises de cybersécurité qui nécessitent une coordination et/ou gestion au niveau national. Le Centre de Cybersécurité de Belgique, le Centre de Crise, le Ministère public, le Crisis Emergency Response Team (Cert.be), la Federal Computer Crime Unit de la police fédérale (FCCU), complétés si nécessaire par d’autres services, collaborent de manière coordonnée afin de protéger les intérêts vitaux du pays contre les cyberattaques.