Attaques contre les réseaux de communication ukrainiens, suspension du site internet de l’Assemblée nationale… Comme en témoigne l’omniprésence des cyberattaques dans l’actualité récente, le domaine de la cybersécurité s’est graduellement imposé comme un enjeu stratégique de sécurité nationale. Le projet de loi de programmation militaire pour les années 2024 à 2030 consacre ainsi un volet entier à la sécurité des systèmes informatiques. Ces dispositions ont vocation à renforcer les pouvoirs de l’ANSSI en matière de collecte de données et de blocages administratifs, de sorte que l’autorité administrative soit en mesure de mieux caractériser et détecter les cybermenaces. Nos avocats en droit de la cybersécurité vous éclairent.
Le 12 avril, le ministre des Armées Sébastien Lecornu a présenté en conseil des ministres le projet de loi de programmation militaire pour les années 2024 à 2030.
En allouant un budget d’environ 413 milliards d’euros aux armées, cette loi a pour ambition de permettre à la France de faire face à l’émergence de nouvelles menaces, notamment du fait des fortes avancées technologiques dans les domaines de la robotique et de l’intelligence artificielle.
Ainsi, dans un contexte marqué par la généralisation des cyberattaques, le projet de loi de programmation militaire prévoit de nouvelles dispositions en matière de cybersécurité venant particulièrement renforcer les pouvoirs de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et faisant peser sur les éditeurs de logiciels de nouvelles obligations de signalement.
L’élargissement du champ d’application des blocages administratifs
Jusqu’à présent réservées aux domaines de la pédopornographie ou de l’apologie du terrorisme, de nouvelles mesures de blocages administratifs, procédures permettant à l’administration de bloquer des sites internet sans l’intervention du juge, ont été envisagées dans le cadre de ce projet de loi.
Ces blocages seraient désormais étendus au filtrage des noms de domaine qui sont utilisés ou instrumentalisés par des cyberattaquants en cas de menace susceptible d’affecter la sécurité nationale.
Si l’attaque est réalisée à l’insu du titulaire du nom de domaine, la procédure est menée en deux temps :
- Sommation par l’ANSSI du titulaire du nom de domaine de prendre les mesures nécessaires pour neutraliser l’attaque, dans un délai imparti ;
- Le cas échéant, demande aux hébergeurs et aux FAI de bloquer le nom de domaine ou demande aux bureaux d’enregistrement de noms de domaine de suspendre le nom de domaine.
Si le titulaire du nom de domaine exploite lui-même ce domaine à des fins malveillantes, alors l’ANSSI s’adressera directement aux hébergeurs, FAI et bureaux d’enregistrement.
La communication de données techniques DNS
Ensuite, l’article 33 du projet de loi prévoit la communication à l’ANSSI, par les opérateurs de communications électroniques et les FAI, des données techniques non identifiantes enregistrées temporairement par les serveurs DNS, serveurs qui établissent la correspondance entre le nom de domaine et l’adresse IP des machines d’un réseau.
L’objectif de cet article est de permettre aux autorités de détecter les serveurs utilisés dans le cadre d’attaques malveillantes.
Les obligations de signalement
En outre, en vertu de l’article 34 du projet de loi, les éditeurs de logiciels qui sont victimes d’un incident informatique sur leurs systèmes ou qui identifient une vulnérabilité critique au sein de leurs produits sont tenus d’une obligation de signalement auprès de l’ANSSI et de leurs clients.
Toutefois, en cas de manquement à cette obligation de signalement, le dispositif ne fait état d’aucune autre sanction que la communication au public par l’ANSSI de cette information.
L’élargissement du champ de collecte des données
Enfin, l’article 35 du projet de loi décrit un échantillon de mesures destinées à renforcer les capacités de détection des cyberattaques, en modifiant notamment les dispositions en vigueur relatives aux sondes et à la recherche de marqueurs techniques.
Déjà introduites dans la précédente loi de programmation militaire, ces mesures avaient été difficilement mise en œuvre par l’ANSSI en raison de l’ARCEP, qui avait interprété le texte de manière beaucoup plus restrictive.
A ce jour, l’ANSSI n’a accès qu’aux effets et aux flux de réseaux des activités de cyberattaques par exemple, et ne peut se voir communiquer leurs causes.
La loi de programmation 2024-2030 vient alors pallier cette divergence d’interprétation en accroissant expressément le champ des données susceptibles d’être collectées, puisqu’elle accorde à l’ANSSI le droit de consulter le code, les logs, ou encore le contenu stocké, ainsi qu’en élargissant le domaine de collecte qui inclut désormais les centres de données.
Le projet de loi sera discuté à l’Assemblée nationale en mai et devrait être promulgué avant le 14 juillet 2023.
