Sécurité des réseaux et des systèmes d'information

La loi relative aux communications électroniques

Nous entendons par « loi relative aux communications électroniques » la loi du 13 juin 2005 relative aux communications électroniques.

Pour ce qui concerne la notion d’opérateur, des informations peuvent être trouvées en cliquant sur ce lien.

Obligations à charge de l’ensemble des opérateurs

Les opérateurs doivent :

analyser les risques pour la sécurité de leurs réseaux et services (article 107/2, §1^er, alinéa 1^er). Voir ci-dessous la rubrique relative à l’analyse de risque ;
prendre les mesures d’ordre technique et organisationnel adéquates et proportionnées, y compris le cas échéant le chiffrement, pour gérer ces risques de manière appropriée ainsi que pour prévenir et limiter l’impact des incidents de sécurité tant pour les utilisateurs que pour d’autres réseaux et services (article 107/2, §1^er, alinéa 2) ;
prendre toutes les mesures nécessaires, y compris préventives, pour assurer la disponibilité la plus complète possible des services de communications vocales et des services d’accès à l’internet en cas de défaillance exceptionnelle des réseaux ou de force majeure (article 107/2, §3).

Un opérateur doit faire une notification (voir également rubrique « Informations pratiques ») :

à l’IBPT, en cas de menace particulière et importante d’incident de sécurité dans un réseau public de communications électroniques ou un service de communications électroniques accessibles au public et informer ses utilisateurs potentiellement concernés par une telle menace (art 107/3, §1^er) ;
à l’IBPT, d’incident de sécurité ayant eu un impact significatif sur le fonctionnement des réseaux ou des services. Ce qu’il faut entendre par « impact significatif » ainsi que les modalités de la notification ont été précisées dans la décision du 14 décembre 2017 de l’IBPT (voir rubrique « Informations pratiques ») ;
à l’Autorité de protection des données, en cas de violation de données à caractère personnel transmises, stockées ou traitées d'une autre manière en relation avec la fourniture de services de communications électroniques. Cette autorité est elle-même tenue d’en informer l’IBPT sans délai. Dans certains cas, l’abonné concerné par la violation doit aussi être informé. L’IBPT et l’Autorité de protection des données se concertent pour la gestion de l’incident (art. 107/3, §§3 et 4).

Outre la loi IBPT-statut (loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges), le cadre juridique est le suivant :

les articles 2, 68° ; 107/2 à 107/4 de la loi relative aux communications électroniques ;
le Règlement (UE) du 24 juin 2013 de la Commission européenne concernant les mesures relatives à la notification des violations de données à caractère personnel ;
la décision du 14 décembre 2017 concernant les seuils et les modalités de notification d’incidents de sécurité dans le secteur des communications électroniques.

Autorisation ministérielle dans le cadre de la fourniture d’un réseau 5G

Les obligations suivantes résultent de l’article 105 de la loi relative aux communications électroniques et de l’arrêté royal du 16 avril 2023 relatif à l’autorisation ministérielle dans le cadre du déploiement d’un réseau 5G (ci-après l’arrêté royal relatif à l’autorisation ministérielle):

Obligations pour :	Obligations :
les entreprises suivantes lorsqu’elles offrent un réseau 5G : les MNO (Mobile Network Operator, voir définition à l’article 2, 89°, de la loi précitée) ; les "full” MVNO (Mobile Virtual Network Operator, voir définition à l’article 2, 90°, de la loi précitée), à savoir les MVNO qui disposent de certains éléments de réseau ; la S.A. A.S.T.R.I.D. ; les entreprises qui ont été désignées comme exploitant d’infrastructures critiques au sens de la loi du 1^er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, pour autant que des éléments du réseau 5G privé soient utilisés dans une de ces infrastructures critiques ; les entreprises qui ont été désignées comme opérateur de service essentiel au sens de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique (loi NIS), pour autant que la fourniture d’un service essentiel fasse usage du réseau 5G privé.	demander et obtenir une autorisation ministérielle avant de pouvoir utiliser un élément du réseau 5G (autorisation préalable), ou ; lorsque cet élément de réseau est déjà utilisé lors de l’entrée en vigueur de l’arrêté royal relatif à l’autorisation ministérielle, demander dans les deux mois qui suivent cette date une autorisation ministérielle et l’obtenir (autorisation de régularisation), et ; demander et obtenir une autorisation ministérielle avant d’avoir recours à un fournisseur de services pour la gestion et la supervision de leurs éléments de réseau 5G, à l’exception du recours à des équipementiers offrant un service de support, lors ce service est prévu dans le contrat de fourniture d’éléments du réseau (autorisation préalable), ou ; lorsque le recours à un tel fournisseur de services est déjà effectif à la date d’entrée en vigueur de l’arrêté royal relatif à l’autorisation ministérielle, demander une autorisation ministérielle dans les deux mois qui suivent cette date et l’obtenir (autorisation de régularisation).

Obligations pour :

Obligations :

les entreprises suivantes lorsqu’elles offrent un réseau 5G :

les MNO (Mobile Network Operator, voir définition à l’article 2, 89°, de la loi précitée) ;
les "full” MVNO (Mobile Virtual Network Operator, voir définition à l’article 2, 90°, de la loi précitée), à savoir les MVNO qui disposent de certains éléments de réseau ;
la S.A. A.S.T.R.I.D. ;
les entreprises qui ont été désignées comme exploitant d’infrastructures critiques au sens de la loi du 1^er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, pour autant que des éléments du réseau 5G privé soient utilisés dans une de ces infrastructures critiques ;
les entreprises qui ont été désignées comme opérateur de service essentiel au sens de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique (loi NIS), pour autant que la fourniture d’un service essentiel fasse usage du réseau 5G privé.

demander et obtenir une autorisation ministérielle avant de pouvoir utiliser un élément du réseau 5G (autorisation préalable), ou ;
lorsque cet élément de réseau est déjà utilisé lors de l’entrée en vigueur de l’arrêté royal relatif à l’autorisation ministérielle, demander dans les deux mois qui suivent cette date une autorisation ministérielle et l’obtenir (autorisation de régularisation), et ;
demander et obtenir une autorisation ministérielle avant d’avoir recours à un fournisseur de services pour la gestion et la supervision de leurs éléments de réseau 5G, à l’exception du recours à des équipementiers offrant un service de support, lors ce service est prévu dans le contrat de fourniture d’éléments du réseau (autorisation préalable), ou ;
lorsque le recours à un tel fournisseur de services est déjà effectif à la date d’entrée en vigueur de l’arrêté royal relatif à l’autorisation ministérielle, demander une autorisation ministérielle dans les deux mois qui suivent cette date et l’obtenir (autorisation de régularisation).

Une nouvelle autorisation devra être demandée lorsque l’entreprise qui offre le réseau 5G souhaite utiliser un élément de réseau ou un service qui n’a pas encore fait l’objet d’une autorisation.

Une autorisation ne doit pas être demandée pour les UPS (Uninterruptible Power Supply) et batteries qui sont utilisés pour la partie centrale du réseau 5G.

L’article 11, alinéa 1^er, de l’arrêté royal relatif à l’autorisation ministérielle prévoit que « Les mises à jour de logiciels ou de dispositifs matériels ne nécessitent pas d’autorisation supplémentaire, sauf lorsqu’elles modifient les éléments repris dans la demande d’autorisation. »

L’autorisation ministérielle est rendue par les ministres suivants : le Premier ministre, le ministre des Télécommunications, le ministre de la Défense, le ministre de la Justice, le ministre de l'Intérieur et le ministre des Affaires étrangères (article 105, § 1^er, de la loi relative aux communications électroniques).

Ils pourront accorder l’autorisation, l’accorder moyennant le respect de certaines conditions ou la refuser.

Lorsqu’ils examinent une demande, ils devront :

évaluer le profil de risque du fournisseur sur la base d'un avis des services de renseignement et de sécurité (probabilité que le fournisseur subisse une ingérence de la part d'un pays autre qu'un Etat membre de l'Union européenne) et d’un avis de l’IBPT (capacité du fournisseur à garantir l'approvisionnement en termes de délai et de quantité, qualité globale de ses produits ou services et ses pratiques en matière de sécurité), et ;
appliquer les restrictions qui sont fixées dans l’arrêté royal relatif à l’autorisation ministérielle.

Certaines restrictions pour les MNO prennent en compte les zones sensibles en Belgique. Ces dernières sont énumérées en annexe de l’arrêté royal du 23 octobre 2022 relatif aux zones sensibles dans le cadre de la loi du 17 février 2022 introduisant des mesures de sécurité supplémentaires pour la fourniture de services mobiles 5G. Cette annexe est confidentielle. Les MNO qui doivent demander une autorisation ministérielle et qui souhaitent consulter cette annexe peuvent adresser un courriel à l’IBPT.

Les entreprises qui doivent obtenir une autorisation ministérielle (autorisation préalable ou de régularisation) doivent adresser leur demande auprès de l’IBPT conformément aux modalités fixées dans la communication du 15 mai 2023 de l’IBPT.

Obligations en matière de localisation dans le cadre de la fourniture d’un réseau 5G

À partir du 1^er janvier 2028, les entreprises visées à la section précédente qui offrent un réseau 5G doivent s’assurer que les éléments suivants sont établis sur le territoire de l’Union européenne :

les personnes, l’équipement, les logiciels et les données nécessaires à la surveillance en temps réel de leur réseau 5G ou de leurs éléments du cœur de réseau 5G ;
les personnes, l’équipement, les logiciels et les données liés au contrôle de l’accès physique et logique à leur réseau 5G ou à leurs éléments du cœur de réseau 5G.

Les personnes qui ne supervisent pas le réseau en temps réel mais auxquelles il peut être demandé d’effectuer une action ponctuelle sur le réseau peuvent se trouver en dehors du territoire de l’Union Européenne, à condition que leurs interventions soient suivies en permanence par une des personnes visées ci-dessus (arrêté royal du 18 avril 2023 relatif aux exigences en matière de localisation concernant les réseaux 5G ).

De plus, lorsqu'un MNO offre en Belgique des services de communications électroniques à l'aide d'un réseau 5G, les infrastructures de ce réseau doivent se trouver sur le territoire des Etats membres de l'Union européenne (article 105, § 8, alinéa 1^er, de la loi relative aux communications électroniques).

La loi NIS

Par « loi NIS », nous entendons la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique.

Afin de mettre en œuvre cette loi, l’IBPT a été désigné comme autorité sectorielle et service d’inspection pour le secteur des infrastructures numériques. Ce secteur comprend au moins les entités suivantes : les IXP (points d’échange par Internet), les fournisseurs de services DNS et les registres de noms de domaines de haut niveau.

Une des tâches de l’autorité sectorielle est de désigner les opérateurs de services essentiels (OSE) de son secteur, en concertation avec le Centre pour la Cybersécurité Belgique (CCB) et le Centre de Crise du SPF Intérieur (NCCN).

La loi NIS comprend des obligations à charge des OSE en matière de mesures de sécurité (articles 20 à 23), de notification d’incident (articles 24 et 25, voir également la rubrique « Informations pratiques ») et d’audit (article 38).

Une entité du secteur des infrastructures numériques qui est active en Belgique et qui n’a pas été désignée par l’IBPT comme OSE peut notifier de manière volontaire un incident ayant un impact significatif sur la continuité des services qu'elle fournit (voir rubrique « informations pratiques). Cette notification volontaire n'a pas pour effet d'imposer à l'entité qui est à l'origine de la notification des obligations auxquelles elle n'aurait pas été soumise si elle n'avait pas procédé à ladite notification. Lors du traitement des notifications, le CCB, l'IBPT et le NCCN peuvent donner la priorité aux notifications obligatoires imposées par la loi NIS par rapport aux notifications volontaires. Les notifications volontaires ne sont traitées que lorsque leur traitement ne fait pas peser de charge disproportionnée ou inutile à charge des autorités susmentionnées.

Le cadre légal est le suivant :

la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges ;
la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique ;
l’arrêté royal du 12 juillet 2019 portant exécution de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, ainsi que de la loi du 1^er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ;
l’arrêté royal du 15 décembre 2021 établissant les cartes de légitimation des agents statutaires et des membres du personnel contractuel de l'Institut belge des services postaux et des télécommunications

Plus d’informations peuvent être trouvées sur le site Internet du CCB.

Analyse de risque

L’IBPT a mis en place un outil d’analyse de risques en matière de sécurité des réseaux et systèmes d’information, SERIMA.be, qui est l’abréviation de « Security Risk Management ».

L’IBPT a demandé à certains opérateurs de communications électroniques et aux opérateurs de services essentiels (OSE) qu’il a désignés sur base de la loi NIS de lui soumettre annuellement une analyse de risque via cette plateforme.

Les autres opérateurs de communications électroniques peuvent faire usage de la plateforme en adressant une demande à l’IBPT. Plus d’informations peuvent être retrouvées dans la communication du 12 avril 2023 sur les analyses de risque en matière de sécurité des réseaux et des systèmes d’information.

La loi infrastructures critiques

Par « loi infrastructures critiques », nous entendons la loi du 1^er juillet 2011 relative à la sécurité et la protection des infrastructures critiques.

Afin de mettre en œuvre cette loi, l’IBPT a été désigné comme autorité sectorielle et service d’inspection pour le secteur des communications électroniques (en ce compris le secteur des infrastructures numériques).

En tant qu’autorité sectorielle, l’IBPT doit désigner les exploitants d’infrastructures critiques de son secteur et identifier leurs infrastructures critiques. Il le fait en concertation avec le Centre de Crise du SPF Intérieur (NCCN) et le Centre pour la Cybersécurité Belgique (CCB).

L’obligation principale de l’exploitant d’une infrastructure critique (voir article 13 de cette loi) est d’élaborer et de mettre un œuvre un plan de sécurité, qui comprend au minimum des mesures internes de sécurité permanentes (applicables en toutes circonstances) et des mesures internes de sécurité graduelles (à appliquer en fonction de la menace).

L’exploitant doit notifier tout événement qui est de nature à menacer la sécurité de l'infrastructure critique (voir article 14 de la même loi).

L’IBPT effectue des inspections des infrastructures critiques.

Le cadre légal est le suivant :

la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges ;
la loi du 1^er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ;
l’arrêté royal du 27 mai 2014 portant exécution dans le secteur des communications électroniques de l’article 13 de la loi du 1^er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ;
l’arrêté royal du 14 juin 2017 désignant pour le secteur des communications électroniques le service d'inspection institué par la loi du 1^er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ;
l’arrêté royal du 15 décembre 2021 établissant les cartes de légitimation des agents statutaires et des membres du personnel contractuel de l'Institut belge des services postaux et des télécommunications

La loi sur les avis de sécurité

Nous entendons par « loi sur les avis de sécurité » la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité.

Afin de mettre en œuvre cette loi, l’IBPT a été désigné comme autorité administrative compétente pour le « secteur communications électroniques et infrastructures numériques », à l’exception des avis de sécurité des membres de la Cellule de coordination (de la Justice) des opérateurs de communications électroniques. Pour ces avis, l’autorité administrative compétente est le ministre de la Justice.

Il revient à l’IBPT, en sa qualité d’autorité administrative compétente, de proposer à l’ANS (Autorité Nationale de Sécurité) les fonctions qui devraient être soumises à un avis de sécurité ainsi que les opérateurs pour lesquels la mesure est applicable. C’est l’ANS qui prend la décision en la matière. Une fois que cette décision est prise, les demandes d’avis doivent transiter via l’IBPT.

Le cadre légal est le suivant :

la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité ;
la loi du 11 décembre 1998 portant création d'un organe de recours en matière d'habilitations, d'attestations et d'avis de sécurité ;
l’arrêté royal du 24 mars 2000 portant exécution de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité ;
l’arrêté royal du 8 mai 2018 fixant les secteurs d'activités et les autorités administratives compétentes visées à l'article 22quinquies, § 7, de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité ;
l’arrêté royal du 8 mai 2018 déterminant la liste des données et informations qui peuvent être consultées dans le cadre de l'exécution d'une vérification de sécurité ;
l’arrêté royal du 8 mai 2018 fixant les montants des rétributions dues pour les habilitations de sécurité, pour les attestations de sécurité et les avis de sécurité délivrés par l'Autorité nationale de Sécurité et pour les attestations de sécurité délivrées par l'Agence fédérale de Contrôle nucléaire, ainsi que les clés de répartition visées à l'article 22septies, alinéas 6 et 8, de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité.

Phase fédérale en cas de situation d’urgence

Le site internet du Centre de crise du gouvernement (NCCN) résume comme suit les actions entreprises par les 4 cellules activées à la suite du déclenchement de la phase fédérale en cas de situation d’urgence :

« Lors de la phase fédérale, la direction de la gestion de crise est une compétence du ministre de l’Intérieur. Lors du déclenchement d’une phase fédérale par le ministre, quatre cellules différentes se réunissent :

La cellule d’évaluation rassemble de l’information, réalise une évaluation de la situation et adresse un avis au COFECO. Cette cellule est composée d’experts des différentes autorités et services compétents.
Le comité de coordination (COFECO) dresse une image de la situation et de son évolution, propose des mesures pour protéger la population à la cellule stratégique et répartit les moyens supralocaux disponibles. Cette cellule est composée de représentants des disciplines et des services publics.
La cellule stratégique ratifie les propositions du COFECO. Cette cellule est composée des ministres compétents. Ils ont la compétence de décréter des mesures et en sont politiquement responsables.
La cellule d’information communique sur les mesures. Cette cellule est composée des responsables de la communication ou des porte-paroles des départements concernés.

Le comité de coordination fédéral est toujours en contact avec la(les) cellule(s) de crise provinciale(s) et les centres de crise des Régions et des administrations impliquées, qui exécutent les décisions prises pour ce qui concernent leurs compétences. »

Une cellule d’évaluation (« CELEVAL ») a été mise en place pour le secteur télécom (« CELEVAL télécom »). La composition de cette cellule dépend du type d’incident. Elle comprend généralement entre autres les opérateurs de communications électroniques concernés, le Centre pour la Cybersécurité Belgique (CCB), le SPF Economie, l’IBPT, le Centre de crise du gouvernement (NCCN), la s.a. A.S.T.R.I.D., la Police Fédérale et la direction générale Sécurité civile. L’IBPT préside cette cellule.

Le COFECO est présidé par le Centre de crise du gouvernement (NCCN) et comprend notamment l’IBPT si des éléments télécom sont discutés au sein de cette cellule.

L’IBPT, en tant que président du CELEVAL télécom, est chargé :

du rapportage auprès du COFECO de la situation de l’ensemble du secteur télécom ;
du suivi des demandes du COFECO adressées au secteur télécom.

Le cadre juridique applicable à la phase fédérale est le point 4.4. de l’annexe à l’arrêté royal du 31 janvier 2003 portant fixation du plan d'urgence pour les événements et situations de crise nécessitant une coordination ou une gestion à l'échelon national.

Documents de l’ENISA (l’Agence Européenne de "cyber-sécurité")

Technical Guideline on Minimum Security Measures
Technical Guideline on Incident Reporting
Technical Guideline on Threats and Assets
Security Guide for ICT Procurement
Secure ICT Procurement in Electronic Communications
Protection of Underground Electronic Communications Infrastructure
Power Supply Dependencies in the Electronic Communications Sector
Signalling Security in Telecom SS7/Diameter/5G
National Roaming for Resilience
Guideline on assessing security measures in the context of Article 3(3) of the Open Internet regulation
7 Steps to shore up the Border Gateway Protocol (BGP)

Documents

Arrêt de la Cour des marchés du 10 mai 2023 relatif à la décision de l’IBPT du 23 août 2022 concernant l’absence de mesures de sécurité adéquates prises par Telenet pour son site à [confidentiel]
Communication du 15 mai 2023 concernant la demande d’autorisation ministérielle à des fins de sécurité pour un réseau 5G
Communication du 12 avril 2023 concernant la plateforme SERIMA.be
Décision du 23 août 2022 concernant l’absence de mesures de sécurité adéquates prises par Telenet pour son site à [confidentiel]
Communication du 5 juillet 2022 concernant la plateforme SERIMA.be
Communication concernant la plateforme SERIMA.be (analyse de risque en matière de sécurité des réseaux et des systèmes d’information)
Consultation concernant le projet de communication sur les analyses de risque en matière de sécurité des réseaux et des systèmes d’information
Communication concernant le virus COVID-19 à la suite de la communication du gouvernement du 17 mars 2020
Communication concernant le virus COVID-19
Avis du 15 mai 2019 concernant le projet d'arrêté royal portant exécution de la loi NIS, ainsi que de certaines dispositions de la loi « infrastructures critiques »
Document d’aide pour l’élaboration d’un plan de sécurité
Décision du 14 décembre 2017 concernant les seuils et les modalités de notification d’incidents de sécurité dans le secteur des communications electroniques
Projet de décision concernant les seuils et les modalités de notification d’incidents de sécurité
Communication du 18 novembre 2015 concernant le risque de délestage électrique durant l’hiver 2015/2016
FAQ concernant les coupures de courant prévues pour l'hiver 2014-2015
Décision du 1er avril 2014 fixant les hypothèses dans lesquelles les opérateurs doivent notifier à l’IBPT un incident de sécurité et les modalités de cette notification
Communication du 16 septembre 2013 concernant les faits d’intrusion informatique auprès de Belgacom
Consultation concernant le projet d’arrêté royal portant exécution dans le secteur des communications électroniques de l’article 13 de la loi du 1^er juillet 2011 relative à la sécurité et la protection des infrastructures critiques
Communication du 30 avril 2013 concernant les risques potentiels d’atteinte à la sécurité des réseaux et services de téléphonie mobile dans le cadre des technologies 2G et 2.5G
Projet de décision du 3 mai 2013 fixant les hypothèses dans lesquelles les opérateurs doivent notifier à l’IBPT un incident de sécurité et les modalités de cette notification
Avis du 17 février 2012 au Ministre Vande Lanotte concernant les risques potentiels d’atteinte à la sécurité des réseaux et services de téléphonie mobile dans le cadre des technologies 2G et 2.5G