Dans cet épisode spécial du podcast, Miguel De Bruycker, directeur général du Centre pour la cybersécurité belge (CCB), partage les approches innovantes et les réalisations de son organisation en matière de protection des citoyens contre les cybermenaces. L’entretien met en lumière une philosophie unique qui place la santé numérique des citoyens au cœur des priorités gouvernementales.

Contrairement à de nombreux pays occidentaux, la Belgique a adopté une approche proactive de la cybersécurité qui se distingue par son intervention directe pour protéger la population. Miguel De Bruycker souligne que leur clientèle comprend la population générale, les entreprises, les services gouvernementaux et l’infrastructure critique. Cette vision globale reflète une conception de la cybersécurité comme une question de santé publique, où l’État a un rôle actif à jouer pour le bien-être collectif.

L’une des initiatives phares du CCB est la création, il y a sept ans, de l’adresse email [email protected]. Disponible en quatre langues, ce service permet aux citoyens belges de signaler les courriels suspects. Les chiffres sont impressionnants : en 2024, le centre a reçu en moyenne 25 000 courriels par jour de la part de la population. Cette mobilisation citoyenne témoigne d’une prise de conscience collective des menaces numériques et d’une confiance dans les institutions pour traiter ces signalements.

Depuis cinq ans, le CCB a mis en place un système encore plus audacieux : le Belgian Anti-Phishing Shield (BPS). En partenariat avec les principaux fournisseurs d’accès Internet (FAI) du pays, le centre a développé un système de protection DNS avec une approche opt-out, c’est-à-dire que la protection est activée par défaut pour tous les citoyens.

Le fonctionnement est le suivant : à partir des 25 000 courriels quotidiens reçus, l’équipe identifie les domaines et sites web malveillants. Ces informations sont ensuite transmises aux FAI qui affichent des pages d’avertissement aux utilisateurs tentant d’accéder à ces sites dangereux. En 2024, ces pages d’avertissement ont été affichées 240 millions de fois, démontrant l’ampleur de la protection offerte.

Miguel De Bruycker reconnaît le caractère intrusif de cette approche et la nécessité d’éviter toute accusation de censure gouvernementale. C’est pourquoi le système intègre plusieurs garde-fous essentiels. Premièrement, contrairement aux systèmes opt-in utilisés dans d’autres pays (qui sont peu utilisés), le système belge est opt-out : les citoyens peuvent facilement désactiver la protection s’ils le souhaitent, les instructions étant clairement affichées sur les pages d’avertissement.

Deuxièmement, un mécanisme de contestation permet aux utilisateurs de signaler immédiatement si un site est incorrectement classé comme malveillant. Dans ce cas, le site est retiré de la liste et analysé rapidement. S’il s’avère qu’il n’est pas dangereux, il reste débloqué ; sinon, il est remis sur la liste. Après cinq ans de fonctionnement, aucune plainte officielle n’a été déposée contre ce système, ce qui témoigne de son acceptation par la population.

Bien que Miguel De Bruycker admette qu’il est difficile de mesurer précisément l’impact de ces mesures (car on peut quantifier ce qui est bloqué, mais pas ce qui aurait pu se produire sans protection), les indicateurs internationaux sont encourageants. La Belgique se classe régulièrement dans le top 3 ou 4 des pays européens en matière de cybersécurité selon divers indices comme le Bitsite Index ou l’ITO Index. Ce positionnement avantageux suggère que l’approche belge porte ses fruits et pourrait inspirer d’autres nations.

L’aspect peut-être le plus remarquable de cette initiative est son efficacité organisationnelle. L’équipe qui traite les 25 000 courriels quotidiens et gère le système BPS ne compte que quatre personnes. Cette prouesse est rendue possible par une automatisation poussée des processus. Le centre travaille avec deux partenaires privés qui aident au traitement. L’information est anonymisée de façon automatisée, puis contrôlée par les partenaires privés avant d’être analysée automatiquement au centre. L’intervention humaine n’est nécessaire que lorsque des anomalies sont détectées.

Sur le plan organisationnel, la cybersécurité en Belgique relève du niveau fédéral, comme la défense et les services de renseignement. Le CCB est au cœur d’un écosystème de coordination complexe. Un comité de coordination réunit mensuellement tous les chefs des services de renseignement et de sécurité (police, renseignement militaire et civil, affaires étrangères, défense). Au-dessus se trouve un comité stratégique incluant les représentants ministériels, et au sommet, le Conseil national de sécurité avec les ministres eux-mêmes. Cette structure permet une circulation efficace de l’information et une prise de décision coordonnée.

Au-delà de la protection des citoyens, le CCB joue un rôle majeur dans l’implémentation de la directive européenne NIS 2. Le centre a développé un framework appelé Cyber Fundamentals, qui établit une couche commune de mesures de cybersécurité pour tous les secteurs, tout en laissant la liberté aux autorités sectorielles et régionales d’ajouter des mesures spécifiques. Cette approche de simplification et de standardisation tout en respectant l’autonomie a été rapidement adoptée et inspire maintenant d’autres pays comme l’Irlande et la Roumanie. Une adoption au niveau européen est même envisagée.

Miguel De Bruycker conclut en soulignant que ces succès sont le fruit de dix années d’efforts soutenus. Le chemin n’a pas été simple : des accords n’ont pas toujours été respectés, des collaborations ont connu des difficultés. Mais la clé du succès a été la persévérance et la capacité à maintenir le dialogue plutôt que de rompre les collaborations. Le CCB a créé un Conseil de cybersécurité permettant de discuter des problèmes en dehors des grandes réunions officielles, favorisant ainsi la conciliation et la recherche de solutions communes.

Cette approche de collaboration continue, même face aux obstacles, illustre une philosophie où le bénéfice collectif prime sur les frictions individuelles. C’est cette vision à long terme et cette capacité à transformer les conflits apparents en opportunités de solutions qui ont permis à la Belgique de devenir un modèle en matière de cybersécurité citoyenne.