|
commission des affaires étrangères |
Projet de loi Loi de programmation militaire (1ère lecture) (n° 822 ) |
N° COM-32 3 octobre 2013 |
AMENDEMENTprésenté par |
|
||||
|
MM. CARRÈRE, BERTHOU et BOCKEL, rapporteurs ARTICLE ADDITIONNEL APRÈS ARTICLE 16 |
|||||
Après l'article 16, est inséré un article additionnel ainsi rédigé :
I. Après l'article L. 2321-2 du code de la défense, est inséré un article L. 2321-3 ainsi rédigé :
Art. L 2321-3. - Pour les besoins de la sécurité des systèmes d'information de l'Etat et des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2, les agents de l'autorité nationale de sécurité des systèmes d'information, habilités par le Premier ministre et assermentés dans des conditions fixées par décret en Conseil d'Etat, peuvent obtenir des opérateurs de communications électroniques, en application du III. de l'article L. 34-1 du code des postes et des communications électroniques, l'identité, l'adresse postale et l'adresse électronique d'utilisateurs ou de détenteurs de systèmes d'information vulnérables, menacés ou attaqués.
II. La première phrase du III de l'article L. 34-1 du code des postes et des communications électroniques est ainsi modifiée :
1°) Après les mots :
article L. 336-3 du code de la propriété intellectuelle,
sont insérés les mots :
ou pour les besoins de la prévention des atteintes aux systèmes de traitement automatisé de données prévues et réprimées par les articles 323-1 à 323-3-1 du code pénal
2°) Après les mots :
article L. 331-12 du code de la propriété intellectuelle,
sont insérés les mots :
ou de l'autorité nationale de sécurité des systèmes d'information mentionnée à l'article L. 2321-1 du code de la défense.
Objet
L'agence nationale de la sécurité des systèmes d'information reçoit régulièrement des adresses Internet correspondant à une localisation française (adresses "IP") transmises par des partenaires étrangers correspondant :
- soit à un équipement industriel connecté à Internet et présentant une vulnérabilité exploitable à distance par une personne ou un groupe malintentionné ;
- soit à un serveur compromis par un code malveillant, utilisé au sein d'un "botnet" pour relayer une attaque informatique en déni de service ou comme serveur relais de commande d'autres machines infectées et utilisées, par exemple, à des fins d'espionnage.
Que ce soit à des fins de prévention d'attaques informatiques ou à des fins de traitement de ces attaques, l'autorité nationale de sécurité des systèmes d'information n'a aujourd'hui aucun moyen de connaître l'identité de l'utilisateur d'une adresse IP correspondant à une vulnérabilité ou à une compromission. Il s'ensuit une incapacité à alerter le détenteur ou l'exploitant d'une installation industrielle en danger comme d'inviter voire d'aider le détenteur d'un serveur compromis à traiter l'attaque informatique dont il est victime.
Cette incapacité peut se révéler désastreuse en cas de crise informatique majeure dont un des invariants est la nécessité d'agir dans un délai court pour éviter son expansion.
L'introduction dans le code de la défense d'un nouvel article L. 2321-3, accompagné de la modification de l'article L. 34-1 du code des postes et des communications électroniques, vise à combler cette lacune.
Ce nouvel article vise à prévoir que l'autorité nationale de sécurité des systèmes d'information dispose d'agents assermentés pouvant obtenir auprès des opérateurs de communications électroniques les coordonnées des utilisateurs des adresses internet correspondant à un système d'information vulnérable ou déjà compromis.