Aller au contenu principal

Projet de loi modifiant la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'AFCN > cybersécurité – production électrique

Suite à la multiplication des cyber-attaques contre des gouvernements et des industries, la cybersécurité apparait toujours plus comme une priorité tant au niveau international que national. Les menaces en la matière, en particulier dans le secteur nucléaire et dans celui des applications nucléaires, fréquemment évoquées dans l’actualité, font l’objet des préoccupations de tous les gouvernements et des autorités de sécurité. Ainsi, le gouvernement est-il tout à fait conscient que les installations nucléaires belges constituent une cible potentielle de cyber-attaques, de même d’ailleurs, de manière plus générale, que les établissements où des rayonnements ionisants sont utilisés.

Cybersécurité nucléaire au plan international

Au plan international, la cybersécurité dans toute sa généralité fait l’objet d’une attention croissante. Le World Economic Forum (WEF) vient ainsi d’annoncer, le 24 janvier 2018, lors de sa dernière assemblée annuelle, la création d’un Global Centre for Cybersecurity, qui, sous ses auspices, pourra contribuer à la sûreté et à la sécurité d’un cyberespace mondial. Le WEF constate en effet que la cybersécurité constitue l’un des défis mondiaux les plus aigus de notre temps, en raison de la nature transfrontières des cyber-attaques, face auxquelles des capacités et des institutions œuvrant de manière isolée peuvent vite s’avérer impuissantes.

Plus spécifiquement, la cybersécurité nucléaire fait également l’objet d’une attention sans cesse accrue dans de nombreux forums internationaux;  mentionnons notamment le Nuclear Security Summit, ou encore l’AIEA, au sein de laquelle le thème de la cybersécurité nucléaire est de plus en plus souvent abordé, et est de plus en plus traité comme une dimension à part entière de la sécurité nucléaire. Nous renvoyons à ce sujet aux résolutions pertinentes de la Conférence générale, à l’International Conference on Computer Security in a Nuclear World, qui s’est tenue à Vienne du 1er au 5 juin  2015, au Plan de Sécurité nucléaire 2018-2021, ainsi qu’aux différents documents de recommandations sur la question élaborés dans les Nuclear Security Series ; soulignons que la Belgique se montre particulièrement active et attentive au sein des divers groupes de travail qui, dans le giron de l’AIEA, élaborent ces recommandations spécifiques.

Régime légal de la cybersécurité nucléaire en Belgique – Genèse du présent projet

Le régime légal de la cybersécurité du secteur nucléaire en Belgique s’est constitué essentiellement à partir de la protection physique et de la sécurité nucléaire, pour les raisons développées ci-dessous.

C’est une des raisons pour lesquelles le secteur nucléaire ne s’inscrit que partiellement dans les mécanismes de la loi du 1er juillet 2011 relative à la sécurité et à la protection des infrastructures critiques, qui transpose la Directive 2008/114/CE du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l'évaluation de la nécessité d'améliorer leur protection, qui prévoit des obligations de sécurité et de notification pour les réseaux et systèmes d’information pour les exploitants d'infrastructures critiques (nationales et européennes). Cette loi du 1er juillet 2011 ne vise pas en tant que telles les installations nucléaires et moins encore l’ensemble des établissements auxquels s’applique le présent projet, mais vise seulement les éléments des installations nucléaires de puissance qui servent au transport de l’électricité et qui ont été désignés comme constituant une infrastructure critique.

D’autre part, c’est le 10 octobre 2014 que fut créée par arrêté royal une autorité nationale (le Centre pour la Cybersécurité Belgique «  CCB ») chargée de superviser, coordonner et veiller à la mise en œuvre de la stratégie belge en matière de Cybersécurité (adoptée en 2012).

Auparavant, et depuis des années, les efforts du gouvernement en matière de sécurité nucléaire avaient surtout porté sur le renforcement des systèmes de protection physique des installations nucléaires. Il s'agissait d'empêcher tout accès non autorisé aux sites nucléaires afin de prévenir tout acte malveillant impliquant des matières nucléaires.

Cependant, suite à la multiplication de par le monde des cyber-attaques contre des gouvernements, des institutions ou des industries, la cybersécurité est devenue  une priorité. C'est dans ce contexte que les autorités belges compétentes avaient initié un processus visant à identifier les possibles caractéristiques des éventuelles cyber-attaques portant sur le secteur nucléaire. Cette démarche a permis d'identifier les particularités des menaces et les risques propres aux installations nucléaires présentes sur notre territoire.

Depuis l’origine, l'approche de la cybersécurité nucléaire par la Belgique s'est inscrite dans le cadre du régime spécifique de la protection physique des installations nucléaires et de la protection des informations dites catégorisées, qui portent notamment sur les mesures de protection physique des installations nucléaires (cfr. les arrêtés royaux du 17 octobre 2011).  Une telle approche découle de la mise en œuvre par la Belgique de la Convention sur la protection physique des matières et des installations nucléaires telle qu’amendée. La Convention amendée, qui a pour objectifs d'instaurer et de maintenir dans le monde entier une protection physique efficace des matières et des installations nucléaires, porte également sur la protection de l’information sensible. En outre, la Belgique promeut  la position selon laquelle la convention amendée est d’application également dans le cyberespace. C’est la raison pour laquelle la législation en vigueur en Belgique oblige les exploitants nucléaires à protéger tout type d'information définie comme constituant un « document nucléaire » (au sens de l’article 1er bis de la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'AFCN) y compris celle qui est disponible sur un support informatique et qui se trouve sous forme digitale.  En conséquence, et bien que les termes "cybersécurité" et "cyberattaque" ne figurent pas littéralement dans la législation pour l’instant en vigueur, toute installation nucléaire a de lege lata l'obligation de prendre des mesures afin de protéger ces documents nucléaires.

De manière générale, les autorités de sécurité belges sont tout à fait conscientes du fait que les installations nucléaires, de même d’ailleurs, de manière plus générale, que les établissements où des rayonnements ionisants sont utilisés, constituent une cible potentielle de cyber-attaques.

Témoigne de cette conviction le fait que la Belgique avait, d’initiative, élargi la portée des tests de résistance de 2011 au risque de cyber-attaques : au lendemain de la catastrophe nucléaire qui a frappé la centrale nucléaire de Fukushima-Daiichi en 2011, les installations nucléaires belges de classe I ont été soumises à des tests de résistance, baptisés « stress tests », dans le cadre d’initiatives prises conjointement au niveau européen. Dans notre pays, la portée de ces tests de résistance ne s’était pas limitée aux phénomènes naturels extrêmes, mais elle avait été élargie aux menaces potentielles liées aux activités humaines, qu’elles soient ou non malveillantes, telles qu’une cyber-attaque. La vulnérabilité des installations aux cyber-attaques a fait l’objet d’une analyse des exploitants, dont la fiabilité avait ensuite été évaluée par l’AFCN et Bel V.

Les exploitants avaient étudié les possibilités de perte de contrôle de leurs centrales, compte tenu des dispositions de sécurité existantes. Selon leurs analyses, la perte des fonctions de sûreté des centrales nucléaires résultant d’une attaque informatique était difficilement concevable, considérant notamment les dispositions en place (incluant la protection physique) pour protéger les systèmes informatisés qui soutiennent  des fonctions de sûreté.

Si l’évaluation de l’AFCN et de Bel V avait confirmé ces conclusions dans une large mesure, elle identifiait plusieurs points d’attention. Le rapport national portant sur ces tests de résistance précisait ainsi que les risques de cybersécurité devaient être suivis minutieusement, dès lors que, notamment :

  • la vulnérabilité et le risque augmentent de plus en plus au fur et à mesure de la modernisation de la technologie informatique des installations.
  • la vulnérabilité des systèmes industriels de type SCADA (Supervisory Control and Data Acquisition) augmente en raison de l’apparition de nouveaux malwares développés pour s’attaquer à ces systèmes.

Par ailleurs, la loi du 15 avril 1994 précitée a été récemment amendée (cfr la loi modificative du 13 décembre 2017) afin de clarifier et de renforcer le cadre législatif à l’égard de la sécurité des substances radioactives et des appareils et installations émettant des rayonnements ionisants ne provenant pas de substances radioactives. Il va de soi que des dispositions de cybersécurité doivent faire pendant à ces nouvelles règles.

Objectifs du projet de loi

Compte tenu de la menace et des considérations développées ci-dessus, il convenait d’entreprendre de compléter et d’approfondir le régime légal, essentiellement à deux titres. D’une part, le régime ne doit pas être limité aux seules installations nucléaires mais doit être étendu à tous les établissements où des rayonnements ionisants sont utilisés. D’autre part, les mesures à adopter par les opérateurs devront viser à la protection non seulement des informations mais aussi des opérations industrielles ou techniques, dès lors que la vulnérabilité des systèmes de type SCADA a été identifiée.

Les dispositions essentielles du projet soumis à votre délibération consistent dès lors en l’habilitation au Roi de déterminer des mesures de cybersécurité nucléaire qui s’imposeront aux opérateurs concernés et en l’habilitation à l’Agence de prévoir les grandes lignes de mesures de cybersécurité nucléaire de gestion prudente pour les réseaux et systèmes présentant moins de risques.

Le projet prévoit en outre que l’AFCN jouera divers rôles , y compris de sensibilisation, et sera responsable des inspections et contrôles des mesures de cybersécurité nucléaire.

Le présent projet de loi n’a pas pour objet de criminaliser les cyber-attaques ou d’autres comportements répréhensibles. Les conventions et textes internationaux pertinents, principalement la Convention sur la cybercriminalité, faite à Budapest le 23 novembre 2001, au plan général, la Directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil, la Convention sur la protection physique des matières et des installations nucléaires telle qu’amendée, pour ce qui concerne la sécurité nucléaire, soit des normes internationales ayant une telle perspective,  ont fait l’objet des lois d’application nécessaires (mentionnons la loi du 6 juillet 2017 portant simplification, harmonisation, informatisation et modernisation de dispositions de droit civil et de procédure civile ainsi que du notariat, et portant diverses mesures en matière de justice, qui comporte un titre 14 transposant en droit belge la Directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d'information et remplaçant la décision-cadre 2005/222/JAI du Conseil, ou encore la loi du 23 mai 2013 modifiant le Code pénal afin de le mettre en conformité avec la Convention internationale pour la répression des actes de terrorisme nucléaire, faite à New York, le 14 septembre 2005, et avec l’Amendement de la Convention sur la protection physique des matières nucléaires, adopté à Vienne le 8 juillet 2005 par la Conférence des États parties à la Convention).

Il doit être précisé que le présent projet ne constitue aucunement un projet de transposition de la Directive dite «  NIS » (c’est-à-dire la Directive européenne (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union) adapté au secteur nucléaire; se situant plutôt dans la perspective des conventions internationales relatives à la sécurité nucléaire, de nos divers « commitments » internationaux et des travaux de l’AIEA, il nous paraît de nature à répondre aux nécessités d’un secteur qui présente un risque de sécurité intrinsèque, mais ne présente pas nécessairement un risque d’interruption d’un service essentiel (ce qui est le propos de la loi en préparation «du XX XX XXXX établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique », ci-après «la loi du XX XX 2018 »).

Au-delà de cette différence fondamentale de perspective, le projet de loi a pour effet d’introduire un régime proche mais distinct de celui que prévoit la loi du XX XX XXXX , qui a notamment pour portée la  transposition de la Directive .

Une telle approche spécifique et distincte s’impose non seulement en raison du cadre actuel de la cybersécurité nucléaire (voir supra) ainsi que de la genèse du présent projet (voir supra), mais également en raison des singularités de la cybersécurité nucléaire, spécialement ses liens avec la « catégorisation » (classification) de l’information, avec la sécurité nationale, et le fait que les mesures de cybersécurité qui devront être prises pourraient, le cas échéant, sous certains aspects, voisiner avec , ou constituer ou ressortir des « mesures de protection physique », des « mesures de sécurité des substances radioactives autres que les matières nucléaires » ou des « mesures de sécurité des appareils ou installations émettant des rayonnements ionisants ne provenant pas de substances radioactives », au sens de ces termes dans la loi du 15 avril 1994 (voir respectivement les articles 17bis premier tiret, 17quater 3°) et 17quinquies 1°)) de la loi) .

Cela étant, les dispositions particulières de la susdite loi du XX XX XXXX selon lesquelles elle régit à la fois les éléments d'une installation nucléaire destinée à la production industrielle d'électricité qui servent au transport de l'électricité (voir article [[4 §4]] de cette loi) et la compétence d’inspection de sa bonne exécution par l’AFCN (voir article [[52]] de cette loi, qui insère un article 15ter dans la loi du 15 avril 1994) ne sont pas affectées.

Soulignons enfin qu’aux paragraphes 1er et 4 de l’article 17sexies, le projet habilite le Roi à désigner des autorités, essentiellement pour rendre des avis, échanger des informations ou recevoir des notifications de cyber-incidents. Il s’agit du Centre pour la Cybersécurité Belgique (« CCB »), créé par l’arrêté royal du 10 octobre 2014, y compris son service le « Computer Emergency Response Team » (CERT.be), du Centre de Crise, créé par l’Arrêté royal du 18 avril 1988 « portant création du Centre gouvernemental de Coordination et de Crise », et auquel la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques (voir son article 3, 1°) attribue un rôle fondamental en matière de sécurité et de protection des infrastructures critiques,  ou encore d’autres institutions existantes ou qui pourraient voir le jour.

L’intention est naturellement de permettre que la cybersécurité nucléaire puisse également bénéficier de la collaboration, de l’avis et de l’expérience d’autorités publiques compétentes en matière de cybersécurité, d’infrastructures critiques ou de gestion de crise.