Communiqué de l’ARCEP : Autorité de régulation des communications électroniques, des postes et de la distribution de la presse
Avis no 2023-0542 de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse en date du 9 mars 2023 sur des dispositions relatives à la sécurité des systèmes d’information dans le cadre du projet de loi relatif à la programmation militaire pour les années 2024-2030.
L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ci-après « l’Autorité » ou « l’Arcep »),
Vu le règlement (UE) 2015/2120 du Parlement européen et du Conseil du 25 novembre 2015 établissant des mesures relatives à l’accès à un internet ouvert (ci-après « règlement sur internet ouvert ») ;
Vu la directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen ;
Vu le code de la défense, notamment ses articles L. 2321-1 et suivants ;
Vu le code des postes et des communications électroniques (ci-après « CPCE »), notamment ses articles L. 32-1, L. 33 à L. 33-2, L. 33-14, L. 34-1, L. 36-5, L. 36-7, L. 36-14, D. 98-5 et D. 99 ;
Vu la loi no 2004-575 du 21 juin 2004 modifiée pour la confiance dans l’économie numérique (ci-après « LCEN »), notamment son article 6 ;
Vu la saisine pour avis du Secrétaire général de la défense et de la sécurité nationale en date du 23 février 2023,
Après en avoir délibéré le 9 mars 2023, en présence des six membres du collège nommés à date, sur les sept membres devant le composer,
Contexte de la saisine
L’article L. 36-5 du code des postes et des communications électroniques prévoit que l’Arcep est consultée sur les projets de loi, de décret ou de règlement relatifs au secteur des communications électroniques, et participe à leur mise en œuvre.
Par courrier en date du 23 février 2023, enregistré à l’Autorité le 24 février, le secrétaire général de la Défense et de la Sécurité Nationale a sollicité l’avis de l’Arcep sur des dispositions relatives à la sécurité des systèmes d’information dans le cadre d’une saisine du projet de loi relatif à la programmation militaire pour les années 2024 – 2030 et portant diverses dispositions intéressant la défense, dans le domaine cyber, et qui modifieraient notamment le code des postes et des communications électroniques ainsi que le Code de la Défense.
Présentation des dispositions qui font l’objet d’une saisine de l’Arcep
Les dispositions du projet de loi, soumis pour avis à l’Arcep, complète le cadre juridique actuel en matière de sécurité des systèmes d’information introduit par l’article 34 de la loi no 2018-607 du 13 juillet 2018 relative à la programmation militaire pour les années 2019 à 2025. Il comporte plusieurs dispositions permettant à l’Agence Nationale de Sécurité des Systèmes d’Information (ci-après « ANSSI ») de renforcer ses capacités de détection, de caractérisation et de prévention des attaques informatiques en impliquant les opérateurs de communications électroniques (ci-après « opérateurs »), les fournisseurs d’accès à internet (ci-après « FAI ») et hébergeurs de données (ci-après « hébergeurs »), les opérateurs de centres de données, les offices et bureaux d’enregistrement de noms de domaine.Ainsi, le projet d’article 32 introduit un article L. 2321-2-3 au code de la défense et prévoit d’étendre les capacités d’action de l’ANSSI dans le secteur des noms de domaine. Dans ce cadre, l’ANSSI peut prescrire des mesures de filtrage des noms de domaine aux FAI, aux hébergeurs, et aux offices et bureaux d’enregistrement de noms de domaine afin de neutraliser l’utilisation dévoyée d’un nom de domaine.L’ANSSI peut ainsi notamment demander aux FAI et hébergeurs, « lorsqu’il est constaté qu’une menace susceptible de porter atteinte à la sécurité nationale résulte de l’exploitation d’un nom de domaine enregistré à cette fin » et « en l’absence de neutralisation de cette menace » par le titulaire du nom de domaine, « de procéder, sans délai, au blocage ou à la redirection des noms de domaine concernés vers un serveur neutre ou vers un serveur sécurisé » qu’elle maîtrise.L’ANSSI peut également demander à « l’office d’enregistrement du domaine de l’internet correspondant aux codes pays du territoire national ou à un bureau d’enregistrement établi sur le territoire français » d’« enregistrer, de renouveler, de suspendre ou de transférer, sans délai, les noms de domaine concernés » par cette menace.Dans ce cadre, il prévoit également que l’ANSSI peut informer « les utilisateurs ou les détenteurs des systèmes d’information menacés » de la vulnérabilité ou de l’atteinte de leurs systèmes d’information.Le projet d’article 33 crée un article L. 2321-3-1 au code de la défense et prévoit d’imposer, pour les besoins de la sécurité des systèmes d’information et afin de détecter et de caractériser des attaques informatiques, une obligation pour les opérateurs ou les fournisseurs de système de résolution des noms de domaine de transmettre à l’ANSSI « les données techniques non identifiantes enregistrées de manière temporaire par leurs serveurs gérant le système d’adressage par domaines ».Le projet d’article 35 complète, en premier lieu, l’article L. 2321-2-1 du code de la défense qui prévoit que, lorsque l’ANSSI a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information des Autorités Publiques (ci-après « AP »), des Opérateurs d’Infrastructures Vitales (ci-après « OIV ») ou des Opérateurs de Services Essentiels (ci-après « OSE »), elle peut mettre en œuvre sur le réseau d’un opérateur, sur le système d’information d’un hébergeur ou sur celui d’un opérateur de centre de données des sondes de circonstance afin de recueillir les données de trafic sur les réseaux et des données stockées sur les équipements concernés par la menace, en réalisant notamment une copie de serveur. Il précise que ces dispositifs sont mis en œuvre pour la durée et dans la mesure strictement nécessaires à la caractérisation de la menace et aux seules fins de détecter et de caractériser des événements susceptibles d’affecter la sécurité des systèmes d’information des AP, des OIV ou des OSE, ainsi que des opérateurs publics ou privés «participant aux systèmes d’information de ces entités», notamment leurs sous-traitants.Il prévoit par ailleurs que la mise en place des dispositifs de détection et la copie des données des machines auprès des entités ciblées peuvent être sous-traitées à un autre service de l’État.En second lieu, le projet d’article 35 complète l’article L. 33-14 du CPCE et prévoit que les opérateurs désignés comme OIV doivent mettre en œuvre des marqueurs techniques sur leurs réseaux aux seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés.
Il prévoit également de supprimer l’exigence d’assermentation des agents de l’ANSSI qui exploitent les données collectées auprès des opérateurs.
En troisième lieu, le projet d’article 35 modifie le premier alinéa de l’article L. 2321-3 du code de la défense et prévoit d’étendre aux hébergeurs l’obligation de transmettre à l’ANSSI, pour les besoins de la sécurité des systèmes d’information des autorités publiques, des OIV et des OSE, « l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes d’information vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou l’atteinte de leur système ».
En quatrième lieu, s’agissant des missions dévolues à l’Arcep, le projet d’article 35 modifie, d’une part, l’article L. 36-7 du CPCE en prévoyant de confier à l’Arcep la compétence de veiller au respect des dispositions introduites par les projets d’articles 32 et 33 et, d’autre part, prévoit de soumettre à un avis de l’Arcep le renouvellement des mesures de redirection d’un nom de domaine mentionnées au projet d’article 32 et la mise en œuvre des sondes de circonstance prévue au projet d’article 35.
L’ANSSI doit se conformer à ces avis avant d’appliquer ces mesures.
Observations de l’Arcep
À titre liminaire, l’Autorité tient à souligner qu’elle partage le souci affiché par le Gouvernement de renforcer les capacités nationales de détection, de caractérisation et de prévention des attaques informatiques que ce projet de loi vise à améliorer.
La lutte contre la cybercriminalité et les cybermenaces est en effet un enjeu majeur pour notre pays, la sécurité nationale et l’économie française dans son ensemble. À titre d’illustration, l’OCDE estime, dans un rapport publié en 2021, que les risques liés à la sécurité numérique ont un coût annuel mondial supérieur à 100 milliards de dollars.
Sur l’élargissement du périmètre de l’ANSSI en termes de collecte de données et de filtrage de noms de domaine en cas d’attaque.
Pour rappel, la loi relative à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense (1) a introduit des dispositions permettant à l’ANSSI de :
|
- transmettre aux opérateurs des marqueurs caractéristiques d’une attaque informatique et, si ces marqueurs permettent à l’opérateur de détecter de potentielles victimes de cette attaque (2), obtenir des opérateurs les données techniques strictement nécessaires à l’analyse de celle-ci ;
- mettre en œuvre et exploiter ses propres systèmes de détection sur le réseau des opérateurs ou sur le système d’information des hébergeurs (3) sur la base de marqueurs techniques pour ne recueillir que les données techniques strictement nécessaires à la prévention et à la caractérisation des menaces ;
- demander aux opérateurs qui mettent en œuvre des marqueurs techniques d’informer leurs abonnés de la vulnérabilité de leurs systèmes d’information ou des atteintes qu’ils ont subies.
Elle a également confié à la formation de règlement des différends, de poursuite et d’instruction (formation RDPI), de l’Arcep la mission de veiller, par des contrôles a posteriori, au respect par l’ANSSI des conditions d’application des articles de loi4. La formation RDPI doit ainsi s’assurer que l’ANSSI n’accède qu’aux données strictement prévues par la loi (4).
