Nouvelle étape pour le renforcement des capacités de détection des attaques informatiques en France, le décret d’application des dispositions de la LPM en la matière est entrée en vigueur le 1er janvier 2019


Le Décret du 13 décembre 2018, pris pour l’application de l’article L. 2321-2-1 du Code de la défense et de l’article L. 33-14 du Code des postes et des communications électroniques, est entrée en vigueur au 1er janvier 2019 en matière de cybersécurité.

Il concerne la prévention des menaces affectant la sécurité des systèmes d’information.

Pour mémoire, la loi relative à la programmation militaire pour les années 2019 – 2025 du 13 juillet 2018 a créé des dispositions relatives au renforcement des capacités de détection des attaques informatiques, à savoir notamment :

  • l’article L. 33-14 du Code des postes et communications électroniques disposant que « pour les besoins de la sécurité et de la défense des systèmes d’information, les opérateurs de communications électroniques   peuvent recourir, sur les réseaux de communications électroniques [1] qu’ils exploitent, après en avoir informé l’Autorité nationale de sécurité des systèmes d’information, à des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés. (….)
    Lorsque sont détectés des événements susceptibles d’affecter la sécurité des systèmes d’information, les opérateurs de communications électroniques en informent sans délai l’Autorité nationale de sécurité des systèmes d’information. »

  • l’article L. 2321-2-1 du Code de la défense permettant à l’Autorité nationale de sécurité des systèmes d’information (ANSSI), lorsqu’elle a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information de certains acteurs (autorités publiques, opérateurs d’importance vital, opérateurs de services essentiels), d’instaurer « des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information » desdits acteurs.

    Faire obstacle à la mise en œuvre desdits dispositifs est sanctionné pénalement.

Le décret précise les modalités d’application de ces textes  sur le plan technique et définit donc :

a) Les conditions de mise en œuvre, par les opérateurs de communications électroniques, de dispositifs de détection des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés, les catégories de données pouvant être conservées ainsi que des modalités d’échange entre ces opérateurs et l’ANSSI.

Les opérateurs ont l’obligation de communiquer à l’ANSSI une documentation qui décrit pour chaque dispositif :

« 1° La nature du dispositif, les mesures de sécurité appliquées et le type de marqueurs techniques susceptibles d’être exploités par ce dispositif ;

« 2° Les capacités d’analyse du dispositif, les infrastructures de communications électroniques concernées et, le cas échéant, les méthodes d’échantillonnage des flux de données analysés ainsi que la fréquence d’analyse ;

« 3° Les critères techniques définis pour détecter les événements susceptibles de porter atteinte à la sécurité des systèmes d’information ;

« 4° Les catégories de données susceptibles d’être collectées et la durée de conservation appliquée dans la limite de six mois mentionnée au troisième alinéa de l’article L. 33-14. »

Lorsque l’utilisation d’un marqueur est à l’origine d’une alerte pour la sécurité des systèmes d’information d’un abonné, la durée de conservation des données techniques est de 6 mois maximum.

Les marqueurs techniques exploités par les dispositifs sont des :

« éléments techniques caractéristiques d’un mode opératoire d’attaque informatique, permettant de détecter une activité malveillante ou d’identifier une menace susceptible d’affecter la sécurité des systèmes d’information. Ils visent à détecter les communications et programmes informatiques malveillants et à recueillir et analyser les seules données techniques nécessaires à la prévention et à la caractérisation de la menace. »


Les opérateurs sont autorisés à conserver les données suivantes, lorsqu’elles sont associées à une alerte et à l’exclusion du contenu des correspondances échangées :

« 1° Les données techniques permettant d’identifier l’origine de la communication et l’utilisateur ou le détenteur du système d’information affecté par l’événement détecté ;

« 2° Les données techniques relatives à l’acheminement de la communication par un réseau de communications électroniques, notamment le routage et le protocole utilisé ;

« 3° Les données techniques relatives aux équipements terminaux de communication concernés ;

« 4° Les caractéristiques techniques ainsi que la date, l’horaire, le volume et la durée de chaque communication ;

« 5° Les données techniques relatives à l’accès des équipements terminaux aux réseaux ou aux services de communication au public en ligne ;

« 6° Les caractéristiques techniques ainsi que la date et l’horaire de l’alerte dont l’utilisation des marqueurs techniques est à l’origine.

« La conservation de ces données est limitée au temps strictement nécessaire à la prévention et à la caractérisation des événements susceptibles d’affecter la sécurité des systèmes d’information des abonnés sans excéder six mois. »

Lorsque l’utilisation de marqueurs fournis par l’ANSSI  est à l’origine d’une alerte, l’opérateur doit en informer sans délai l’ANSSI l’autorité.  

Les opérateurs ont une obligation d’information envers leurs abonnés concernant les vulnérabilités de leurs systèmes d’information ou des atteintes subies par ces systèmes.

b)    les conditions selon lesquelles l’ANSSI peut mettre en œuvre sur le réseau d’un opérateur de communications électroniques ou le système d’information d’un hébergeur, des dispositifs de détection des événements susceptibles d’affecter la sécurité des systèmes d’information des autorités publiques et de certains opérateurs.

L’ANSSI doit notifier aux acteurs concernés sa décision de mettre en place des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information des autorités publiques.

Cette notification est accompagnée « d’un cahier des charges élaboré, le cas échéant, après concertation avec les personnes destinataires. Ce document précise les conditions techniques d’organisation et de fonctionnement nécessaires à la mise en œuvre de ces dispositifs ainsi que le délai dans lequel ils sont mis en œuvre et la durée de leur mise en œuvre. Il prévoit, le cas échéant, une phase de test préalable sur les réseaux ou systèmes d’information concernés. »

Les dispositifs sont mis en œuvre « pour une période maximale de trois mois, prorogeable en cas de persistance de la menace et dans cette limite. Toute prorogation fait l’objet d’une décision de l’Agence nationale de la sécurité des systèmes d’information » et doit être communiquée à l’Autorité de régulation des communications électroniques et des postes (ARCEP).

 

[1] L’article L. 32 du Code des postes et des communications électroniques définit un opérateur comme suit : « On entend par opérateur toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques. »

Marine Hardy, avocate, responsable des pôles Innovations et Sécurité

Nous contacter