Via le site de la Régie des bâtiments, des plans de prisons, de palais de justice et de locaux de la police fédérale étaient en accès libre. Une directive interne de 2012 sur les » infos sensibles » est restée lettre morte. Le Vif/L’Express l’a lue. Pas le ministre de l’Intérieur ?
Pendant près de trois ans, la Régie des bâtiments a été ouverte à tout vent. Ses plans, cahiers spéciaux des charges, métrés, etc., étaient accessibles au grand public sur le site d’e-procurement, le portail des marchés publics du SPF Personnel et Organisation, en collaboration avec le service » marchés publics » du SPF Chancellerie du Premier ministre. Volonté d’économiser du papier (paperless project) au détriment de la cybersécurité ? Les données des bâtiments les plus sensibles étaient, en effet, accessibles en deux clics trois mouvements, comme l’écrivait le Morgen du 19 septembre dernier. Le Résidence Palace, à Bruxelles (où se tiennent les Conseils européens fréquentés par Angela Merkel, David Cameron ou François Hollande), les palais de justice (dont celui de Bruxelles, épicentre des procès terroristes), les prisons (Tournai, Louvain, Termonde, Ypres…), des bureaux et autres quartiers de la police fédérale auraient pu être déshabillés de l’intérieur par des personnes mal intentionnées.
Convoqués en hâte, l’Organe de coordination pour l’analyse de la menace (Ocam), la police fédérale et le Centre de crise ont décidé que la publication de ces éléments » n’était pas de nature à augmenter le niveau général de la menace qui reste à 2 avec vigilance accrue « . Cette task force ne disposait que de la clé USB fournie par la Régie des bâtiments. » Vu la présence de lieux tels que les prisons, les palais de justice et les infrastructures de la police fédérale sur la clé USB, la concentration d’informations – textes, images, plans détaillés – sur un seul site peut constituer un risque plus ciblé. » Mais, faute d’avoir » une idée correcte de l’ampleur de la divulgation et de ce qui reste encore en ligne, de ce qui a été effacé et de l’existence de copies au départ d’Internet « , les trois services de sécurité ne se prononçaient pas plus avant. Un nouvel audit externe est attendu pour ce 15 octobre.
Après les révélations du Morgen, des données que le commun des mortels pouvait se procurer via Google ont disparu du paysage, mais pas toutes. Le 24 septembre dernier, certaines étaient encore accessibles en étant abonné au Joint Electronic Public Procurement (JEPP), qui a remplacé le Bulletin des adjudications, le 1er janvier 2011. Le JEPP centralise la publication de tous les marchés publics émanant des pouvoirs publics. Les entreprises, bureaux d’études, fournisseurs, etc., s’y inscrivent pour être au courant des marchés et y déposer des offres électroniques. Le 24 septembre dernier, donc, des infos présentant un caractère » sécuritaire « , certes, léger, étaient toujours en ligne : construction d’un magasin au poste de commandement intégré de la prison de Dinant, installation d’un ascenseur dans une nouvelle aile de la prison d’Arlon, rénovation des murs intérieurs, sols et plafonds au centre de détention de Saint-Hubert. Rien de bien fracassant, mais sait-on jamais…
La Régie des bâtiments est un parastatal baladeur. Sa tutelle change à chaque gouvernement, ou presque. Elle offre un intérêt stratégique pour faire avancer des dossiers immobiliers importants. La preuve par le différentiel d’état entre les bâtiments publics du nord et du sud du pays, surtout les palais de justice, prisons et quartiers de la police fédérale. Actuellement, le ministre de la Sécurité et de l’Intérieur, Jan Jambon (N-VA), exerce cette fonction. Auparavant, c’était Servais Verherstraeten (CD&V), secrétaire d’Etat aux Réformes institutionnelles, et Didier Reynders (MR), ministre des Finances.
Le 2 octobre, donc, le ministre de l’Intérieur a affirmé que la Régie des Bâtiments avait adapté, le 1er octobre, ses directives relatives à la publication de marchés publics » de telle sorte que les plans des ouvrages concernés ne soient plus disponibles qu’à la demande et moyennant identification du soumissionnaire « . Le ministre de l’Intérieur est-il bien informé ? Si c’est le cas, la ficelle est un peu grosse. En effet, la directive du 1er octobre reprend les termes de celle du 4 décembre 2012, remaniée le 2 janvier 2014, que Le Vif/L’Express s’est procurée (JD1190/510/01/00/R). Cette ancienne directive est disponible sous la forme d’un » Manuel juridique-Marchés publics – e-notification » sur l’intranet de la Régie (DMS). Dans le chapitre » vente et diffusion des cahiers des charges « , page 5/7, on trouvait déjà ceci : » Si des informations sensibles sont jointes au cahier des charges (par exemple les plans d’une prison ou d’un palais de justice), vous ne pouvez pas transmettre ces informations sensibles par mail au Service e-notification, de sorte que ces informations ne seront pas publiées sur le site Web d’e-notification. Dans ce cas, vous devez mentionner dans l’avis de marché (sous la rubrique » autres renseignements « ) que les plans seront transmis sur CD-ROM ou DVD sur simple demande écrite (par mail ou par la poste) à la condition que l’identité du demandeur soit clairement mentionnée dans la demande. »
Ce texte, daté du 4 décembre 2012, porte la signature de Laurent Vrijdaghs, administrateur général de la Régie des bâtiments. Jan Jambon a présenté comme une nouveauté ce qui était – ou aurait dû être – d’application depuis près de trois ans. De même, il a minimisé la nature des » petits plans » qui auraient fuité, selon lui, deux seulement posant problème et ayant été retirés presto prestissimo. La réalité est plus cruelle. Durant trois ans, le parastatal a publié des marchés avec plans, détails de principe d’exécution et textes de prescriptions techniques détaillées en tout genre… Pour la construction : vitrages spéciaux, résistance des portes… Pour l’électricité et l’électronique : caméras, postes de visualisation des images provenant des caméras de vidéosurveillance, câblage des caméras et autres protections périmétriques, commande des serrures électriques… Il ne s’agit pas de détails totalement anodins. Dorénavant, annonce son porte-parole, Johan Vanderborght, la Régie publiera uniquement les annonces de ses marchés sur le site officiel de publication e-procurement, sans annexes ni documents complémentaires. L’entreprise intéressée devra d’abord s’enregistrer et s’identifier via un formulaire. Sa demande sera ensuite examinée et contrôlée avant de pouvoir lui transférer tous les détails du marché. »
Au sein de la Régie, le problème de la publicité des marchés publics relatifs à des bâtiments dits d’autorité était connu, mais il n’a pas fait l’objet d’une analyse de risque ou de recommandations particulières. La décision de publier informatiquement était laissée à l’appréciation de structures intermédiaires ( » service exécutant « , » service de publications « ). Le » client » (police fédérale, Justice, Finances…) n’était pas invité à valider la publication, avec les risques de dissémination que cela comportait. Insouciance ? Fin 2014, la Cour des comptes avait épinglé la lenteur de la Régie à se réformer, après le scandale de corruption qui a frappé certains de ses dirigeants en 2003. La culture de la sécurité : un nouveau chantier en vue.
Par Marie-Cécile Royen