La Belgique n'est pas particulièrement réputée pour sa célérité à répondre dans les délais aux demandes de l'Europe mais sa lenteur sur le dossier de la cybersécurité frôle la nullité. 

– Chronique signée Isabelle Lemaire, journaliste économique à La Libre Belgique.

Ce lundi, la Commission européenne a publié un rapport qui évalue la manière dont les Etats membres de l'Union européenne ont identifié les opérateurs publics et privés de secteurs essentiels et stratégiques (soins de santé, services financiers, énergie, transports, approvisionnement en eau potable, infrastructures numériques) qui doivent mettre en place des mesures de cybersécurité et signaler les cyberattaques dont ils seraient victimes. Un enjeu dont on conviendra qu'il est plutôt crucial.

Pour cela, la Commission a demandé aux 28 Etats membres d'envoyer ces informations au plus tard le 9 novembre 2018. A cette date, seuls quinze pays avaient fourni les données. La Commission a alors battu le rappel plusieurs fois auprès des Etats membres moins rapides dans leur exécution. Mais cela n'a pas suffit puisque six pays, dont la Belgique, ne se sont pas exécutés. La Commission leur a envoyé une lettre de mise en demeure de fournir les informations dans les deux mois.

Mais voilà, la Belgique, tout comme l'Autriche, la Hongrie, la Roumanie et la Slovénie, n'a pas totalement obtempéré et n'a transmis que des données pour le moins partielles, qui auraient tout à fait pu être trouvées par un élève de 6e primaire: les entreprises qui produisent, transportent et distribuent l'électricité ainsi que les entreprises ferroviaires et gestionnaires d'infrastructures ferroviaires (au hasard : la SNCB et Infrabel ?).

Dans les annexes du rapport de la Commission, on peut découvrir un tableau qui reprend les données fournies ou pas et dans les temps ou non par les 28 Etats membres. Un véritable "wall of shame" pour la Belgique puisque notre pays est clairement le pire élève européen. Non seulement elle a présenté ses données en retard, comme d'autres pays, mais elle est seule à avoir la mention MANQUANT (oui, écrit en lettres capitales, pour bien marquer le coup), à la fois dans la colonne du nombre d'opérateurs de secteurs essentiels (OES) qu'elle devait identifier et aussi dans dans celle des seuils, c'est-à-dire des critères permettant de déterminer si un OES en est un ou pas.

La Belgique n'est pas particulièrement réputée pour sa célérité à répondre dans les délais aux demandes ou exigences de l'Europe, par exemple transposer en droit belge les directives européennes, avec de possibles et lourdes amendes à la clé. Bonnet d'âne en la matière puisque, en 2017, la Belgique accusait 46 retards de transpositions. L'année précédente, l'Europe avait ouvert 81 procédures d'infraction à l'encontre de notre pays.

Comment expliquer cette lenteur sur le dossier de la cybersécurité ? La Belgique s'expose-t-elle à une réprimande de la Commission pour avoir autant traîné ? Miguel De Bruycker, le directeur du Centre pour la cybersécurité Belgique, pourtant en vacances et contacté alors qu'il était en randonnée dans les forêts ardennaises, a eu la courtoisie de répondre à nos questions. 

"La cybersécurité est une matière très importante", souligne-t-il d'emblée. "Malheureusement, le gouvernement a démissionné à la fin de l'année dernière et est en affaires courantes depuis. De plus, l'approvisionnement en eau potable est une matière régionalisée, ce qui complexifie la collecte de données. L'envoi des informations a donc pris un certain retard, ce qui n'est pas bon pour la réputation de la Belgique", concède le directeur. "Des réunions ont eu lieu et vont se poursuivre avec les autorités sectorielles pour former les listes que nous devons renvoyer à la Commission. On avance et on va y arriver."

Un collaborateur du cabinet du Premier ministre sortant nous précise que la Belgique, comme elle en a le droit, a demandé et obtenu un délai supplémentaire pour envoyer les informations. Elle a jusque fin novembre pour s'exécuter. Espérons que d'ici là, un hôpital, Proximus ou la Société wallonne des eaux ne soit pas victime d'une méga cyberattaque. On aurait l'air malin...