Allez au contenu, Allez à la navigation

Projet de loi relatif à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale

8 octobre 2013 : Programmation militaire 2014-2019 ( rapport - première lecture )

CHAPITRE III - DISPOSITIONS RELATIVES À LA PROTECTION DES INFRASTRUCTURES VITALES CONTRE LA CYBERMENACE

Article 14 (articles L. 2321-1 et L. 2321-2 nouveaux du code de la défense) - Renforcement du dispositif étatique en matière de cyberdéfense

Cet article a deux objets. Il vise tout d'abord à consacrer la compétence du Premier ministre en matière de protection et de défense des systèmes d'information. Il a également pour objet de reconnaître aux services concernés de l'Etat la possibilité de prendre une série de mesures de lutte informatique défensive en cas d'attaque informatique.

· Clarification de la compétence du Premier ministre en matière de protection et de défense des systèmes d'information et consécration de la fonction d'autorité nationale de défense des systèmes d'information

Cet article prévoit d'introduire un nouvel article L. 2321-1 dans le code de la défense visant à consacrer expressément la responsabilité du Premier ministre en matière de définition de la politique et de la coordination de l'action gouvernementale en matière de sécurité et de défense des systèmes d'information. Ce nouvel article vise également à consacrer la fonction d'autorité nationale de défense des systèmes d'information, qui est confiée à l'Agence nationale de la sécurité des systèmes d'information (ANSSI), service du Premier ministre rattaché au Secrétaire général de la défense et de la sécurité nationale.

Il s'agit davantage d'une clarification que d'une véritable innovation.

· Possibilité pour l'Etat de prendre des mesures de lutte informatique défensive en cas de grave attaque informatique

L'article prévoit également d'introduire un nouvel article L. 2321-2 dans le code de la défense. Ce nouvel article vise à reconnaître la possibilité pour les services compétents de l'Etat de prendre une série de mesures de lutte informatique défensive en cas d'attaque informatique portant atteinte au potentiel de guerre ou économique, à la sécurité ou à la capacité de survie de la Nation.

Actuellement, l'Etat n'est pas en mesure, avec la sécurité juridique suffisante, d'effectuer toutes les opérations techniques qui lui permettraient d'être pleinement efficace dans son action, tant en matière de prévention que lors du traitement d'attaques informatiques.

Ainsi, l'article 323-3-1 du code pénal ne permet pas, sans motif légitime, la détention de programmes informatiques susceptibles de porter atteinte aux systèmes de traitement automatisé de données. Les services de l'Etat concernés par la sécurité ou la défense des systèmes d'information sont pourtant amenés à rencontrer et donc à détenir de tels programmes lors du traitement des attaques informatiques. Ces services ont besoin de les analyser pour comprendre le fonctionnement des attaques. Il s'agit de pouvoir analyser les programmes informatiques malveillants, tant du point de vue statique (analyse du code, comparaison avec d'autres programmes déjà identifiés, etc.) que du point de vue dynamique (observation du fonctionnement du programme, modes et canaux de mise à jour, analyse des ordres éventuellement reçus d'un serveur informatique distant auquel le programme s'est connecté, etc.).

En outre, l'article 323-1 du code pénal réprime les accès frauduleux aux systèmes de traitement automatisé de données. Avec l'objectif particulier de caractériser une attaque informatique et d'en limiter les effets, les services de l'Etat concernés par la défense des systèmes d'information peuvent avoir besoin d'accéder aux systèmes à l'origine de l'attaque pour rechercher des données permettant de comprendre le fonctionnement de l'attaque informatique. Il s'agit ici de pouvoir accéder aux systèmes d'information, qui, par leur action hostile, portent gravement atteinte aux système d'information dont dépendent la préservation du potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation (serveurs informatiques de mise à jour ou de commandes par exemple) et d'y effectuer les opérations susceptibles de neutraliser les effets de l'attaque (récupération de données permettant la mise en place de mesures de sécurité par exemple). Ces opérations étant sensibles, il est proposé qu'elles ne puissent être mises en oeuvre que dans des conditions fixées par le Premier ministre.

Pour répondre à l'insécurité juridique au plan pénal dans laquelle se trouvent les services de l'Etat concernés pour effectuer leurs missions en matière de défense des systèmes d'information, cet article distingue les différentes actions qui peuvent être effectuées par ces services et, étant légalement autorisées, ne sont ainsi plus susceptibles d'être pénalisées sur le fondement des articles 323-1 et 323-3-1 du code pénal.

Votre commission approuve ces dispositions qui permettront de renforcer l'efficacité de notre dispositif de protection et de défense des systèmes d'information.

Votre commission a adopté cet article sans modification.

Article 15 (articles L. 1332-6-1 à L. 1332-6-6 nouveaux du code de la défense et article L. 1332-7 du code de la défense) - Renforcement des obligations des opérateurs d'importance vitale en matière de sécurité et de défense des systèmes d'information

Cet article vise à renforcer sensiblement les obligations des opérateurs d'importance vitale en matière de sécurité et de défense des systèmes d'information.

I. La situation actuelle :

Les opérateurs d'importance vitale sont les opérateurs « dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation », selon les termes de l'article L. 1332-1 du code de la défense. Ces opérateurs d'importance vitale sont environ 250, issus du secteur public ou du secteur privé. La liste de ces opérateurs est classifiée.

Comme l'avait souligné notre collègue M. Jean-Marie Bockel, dans le rapport d'information sur la cyberdéfense publié en juillet 201259(*) et présenté au nom de votre commission, le niveau de sécurité des systèmes d'information des entreprises et administrations désignées comme opérateurs d'importance vitale est en général très insuffisant pour permettre à ces opérateurs d'assurer leur mission dans des conditions de sécurité acceptables, si bien que cette situation constitue un véritable « talon d'Achille » pour notre défense et notre sécurité.

II. Le projet de loi :

L'article 15 du projet de loi prévoit d'introduire une nouvelle section 2 intitulée « Dispositions spécifiques à la sécurité des systèmes d'information » au chapitre II du titre III de la partie 1 de la partie législative du code de la défense. Cette nouvelle section comprendrait six nouveaux articles numérotés L. 1332-1 à L. 1332-6. Par ailleurs, l'article L. 1332-7 serait modifié.

Quatre principales mesures sont prévues pour renforcer la protection des systèmes d'information des opérateurs d'importance vitale.

· La reconnaissance de la possibilité pour l'Etat d'imposer des règles aux opérateurs d'importance vitale concernant leurs systèmes d'information critiques

Le texte proposé pour le nouvel article L. 1332-6-1 du code de la défense prévoit que le Premier ministre peut imposer des règles aux opérateurs d'importance vitale concernant la protection de leurs systèmes d'information critiques. Il est précisé que les opérateurs seront tenus d'appliquer ces règles à leurs frais.

Selon les informations recueillies par votre rapporteur, l'expérience opérationnelle de l'ANSSI acquise lors du traitement d'attaques informatiques montre que le niveau de sécurité des systèmes d'information des entreprises et administrations désignées comme opérateurs d'importance vitale est en général très insuffisant pour permettre à ces opérateurs d'assurer dans des conditions de sécurité acceptables leur mission.

L'objectif de cette mesure est donc d'imposer l'application de règles de sécurité informatique conjointement élaborées avec les opérateurs concernés, sous le pilotage du ministère concerné par le secteur d'importance vitale correspondant.

Dans un grand nombre de cas, les mesures devront être spécifiques à chaque secteur d'activité : les règles de sécurité applicables à une centrale nucléaire seront nécessairement différentes de celles d'une banque.

Enfin, dans certains cas, ces mesures devront également être appliquées par des fournisseurs ou des sous-traitants qui « participent » au système d'information des OIV concernés.

Ces règles pourront comprendre, pour les systèmes d'information les plus sensibles pour l'activité et lorsque la situation l'imposera, l'obligation de mettre en oeuvre un système de détection d'attaques informatiques.

Certains systèmes très critiques doivent impérativement être strictement déconnectés de l'Internet pour être certain qu'aucun attaquant ne pourra facilement les pénétrer. Or, actuellement, l'Etat n'est pas en mesure d'imposer une telle règle aux opérateurs concernés.

Selon les informations recueillies par votre rapporteur, il est ainsi arrivé que l'ANSSI aide une grande entreprise française, victime d'une attaque informatique majeure, à reprendre le contrôle de son système d'information et lui conseille la mise en place de règles techniques destinées à renforcer la sécurité de son réseau et à retarder la progression d'un attaquant qui réussirait, malgré les précautions prises, à pénétrer une nouvelle fois dans le système.

Quelque temps plus tard, l'ANSSI a été informée que cette même entreprise avait subi une nouvelle attaque. Comme elle avait choisi de ne pas appliquer l'ensemble des mesures préalablement proposées par l'ANSSI, l'attaquant a pu à nouveau effectuer un certain nombre d'actions préjudiciables à la compétitivité de l'entreprise.

À l'inverse, certains équipements industriels doivent impérativement être connectés à Internet afin de permettre l'activité de l'opérateur (par exemple des banques et des opérateurs de communications électroniques). Or, ces installations sont exposées à des attaques informatiques qui pourraient entraîner des dysfonctionnements mettant en péril l'activité de l'opérateur comme une modification de certains paramètres d'exploitation ou l'envoi de données erronées. Critiques pour l'opérateur, ces systèmes doivent être protégés par des règles de sécurité appliquées à leur configuration et par un système de détection de cyberattaques.

Etant donné que la détection d'attaques informatiques relève, comme la cryptologie, de la souveraineté nationale, et pour être en mesure de détecter des attaques de toutes origines, ces équipements de détection devront être « de confiance », qualifiés par l'ANSSI, comme les prestataires qui exploiteront ces équipements et auxquels seront éventuellement confiées des informations permettant l'identification d'attaques d'origine étatique. Le concepteur d'un équipement de sécurité est, en effet, en mesure de le contourner comme le serait un attaquant qui disposerait de ses caractéristiques techniques. Enfin, l'exploitation de ces équipements devra être effectuée sur le territoire national afin d'éviter toute compromission des données issues des opérateurs, traitées par les prestataires, ou des informations qui leurs sont confiées.

· L'obligation pour les opérateurs d'importance vitale de notifier les incidents significatifs intervenant sur leurs systèmes d'information critiques

Pour chacun des opérateurs d'importance vitale, il s'agit de connaître l'ampleur et la nature des attaques informatiques le ciblant et d'identifier les attaques nécessitant un traitement particulier. Certaines des attaques menées sont de nature à mettre en danger la compétitivité de l'opérateur (attaques à des fins d'espionnage) ou de l'empêcher d'exercer en toute sécurité sa mission d'importance vitale (attaques à des fins de sabotage). Or, il n'existe pas aujourd'hui de méthode permettant de connaître la réalité des attaques informatiques visant les entreprises ou les administrations françaises et singulièrement les opérateurs d'importance vitale.

Par ailleurs, selon les informations recueillies par votre rapporteur, l'expérience acquise par l'ANSSI après trois années de traitement d'attaques informatiques de grande ampleur montre que lorsqu'un opérateur est attaqué à des fins d'espionnage, il est vraisemblable que les opérateurs appartenant au même secteur d'activité d'importance vitale subissent les mêmes attaques.

Le texte proposé pour le nouvel article L. 1332-6-2 du code de la défense prévoit donc aux opérateurs d'importance vitale une obligation de notification systématique et sans délai des incidents informatiques au Premier ministre.

La notification par les opérateurs de certains incidents survenus sur les systèmes d'information essentiels à leur activité permettra d'identifier les attaques informatiques nécessitant une intervention de l'ANSSI, d'une autre administration de l'Etat ou d'un prestataire.

Comme le précise l'étude d'impact, un décret d'application précisera par secteur d'activité le type d'incidents à notifier, les niveaux de gravité et les délais dans lesquels ces incidents devront être déclarés. Il pourra également prévoir l'échange d'informations relatives aux menaces et aux vulnérabilités liées aux incidents déclarés avec les opérateurs d'importance vitale.

· L'obligation pour les opérateurs d'importance vitale de se soumettre à un contrôle ou à un audit de sécurité de leurs systèmes d'information, à la demande du Premier ministre

L'article L. 33-10 du code des postes et des communications électroniques prévoit déjà la possibilité à l'Etat d'effectuer des contrôles de sécurité et d'intégrité des réseaux des opérateurs de communications électroniques. Ces contrôles permettent notamment d'évaluer le niveau de sécurité des équipements, voire de détecter leur éventuelle compromission.

L'objectif du texte proposé pour le nouvel article L. 1332-6-3 est d'étendre cette capacité de contrôle et d'audit à l'ensemble des secteurs d'activité d'importance vitale.

Selon les informations recueillies par votre rapporteur, l'expérience de l'ANSSI montre que le niveau de sécurité des opérateurs d'importance vitale est très souvent très en-deçà de ce qui lui permettrait de résister à des attaques informatiques de niveau intermédiaire.

Il est de la responsabilité de l'Etat de connaître le niveau de sécurité des systèmes d'information des infrastructures critiques de la Nation. Or, aujourd'hui, l'Etat n'a pas la possibilité d'opérer ou de faire opérer des audits ou des contrôles chez les opérateurs du secteur privé, à l'exception du secteur des communications électroniques.

Cette disposition permettra à l'Etat de disposer de cette capacité. Elle permettra l'évaluation du niveau de sécurité des systèmes d'information qui assurent le fonctionnement du coeur de métier des opérateurs d'importance vitale et le contrôle de l'application des règles édictées. Elle sera, en elle-même, une incitation à l'application de ces règles.

Dans la plupart des attaques informatiques importantes traitées par l'ANSSI, un audit préalable du niveau de sécurité des systèmes d'information visés aurait révélé son faible niveau de protection. Des mesures techniques et organisationnelles correctives auraient pu être mises en place et éviter ainsi certaines attaques.

Il est précisé que ces contrôles ou audits pourront être effectués par l'autorité nationale de sécurité des systèmes d'information, par des services de l'Etat désignés par le Premier ministre ou encore par des prestataires qualifiés par ce dernier. Par ailleurs, le coût du contrôle sera à la charge de l'opérateur.

Comme le prévoit l'étude d'impact, « le décret d'application précisera les conditions d'exercice du contrôle ou de l'audit. Il pourrait reprendre certains des principes et des modalités de réalisation des contrôles des opérateurs de communications électroniques tels que définis par le décret n°2012-1266 du 15 novembre 2012. Un arrêté du Premier ministre désignera les administrations susceptibles d'effectuer les contrôles ».

· En cas de crise informatique majeure, la possibilité pour le Premier ministre d'imposer des mesures aux opérateurs d'importance vitale

Le texte proposé pour le nouvel article L. 1332-6-4 donne la possibilité au Premier ministre d'imposer, en cas de crise informatique majeure, les mesures techniques nécessaires à la protection des systèmes d'information des opérateurs d'importance vitale.

Les attaques informatiques ont une cinétique et une capacité d'expansion particulière. Des exemples d'attaques récentes montrent qu'en quelques minutes, des dizaines de milliers d'ordinateurs d'une entreprise peuvent être mis hors d'état de fonctionnement tandis qu'un programme informatique malveillant peut se diffuser dans des systèmes d'information du monde entier en quelques heures.

Comme l'ont montré les différents exercices « Piranet » menés au sein de l'Etat avec la participation d'opérateurs privés, il importe d'être en capacité d'imposer dans des délais courts des mesures techniques aux opérateurs d'importance vitale, en fonction de la nature de l'attaque et des objectifs apparemment visés par les attaquants. Il importe également de préciser qui au sein de l'Etat décide de ces mesures et de donner une base juridique solide à ces dernières, notamment au regard de l'impact qu'elles peuvent avoir sur l'activité de l'opérateur.

Ainsi, la propagation via Internet d'un programme informatique malveillant cumulant des fonctionnalités de destruction d'ordinateurs (comme par exemple le code « Shamoon » ayant touché les opérateurs d'énergie d'Arabie Saoudite en août 2012 et des opérateurs bancaires et des médias en Corée du Sud en mars 2013) et des capacités de réplication rapide (comme le virus « Conficker » en novembre 2008) constituerait une crise majeure pour laquelle nous n'aurions qu'un délai de quelques heures afin de protéger les systèmes d'information de l'Etat et des entreprises, qu'elles soient ou non opérateurs d'importance vitale.

Dans ce type de situation, il serait nécessaire d'imposer des mesures exceptionnelles et drastiques, comme par exemple la déconnexion d'Internet afin d'éviter que les opérateurs ne soient paralysés par l'action du programme malveillant, entraînant par effet domino l'arrêt de l'économie du pays et de ses fonctions vitales.

· Ces modalités d'application seront définies en concertation avec les opérateurs d'importance vitale

Comme l'indique le texte proposé pour le nouvel article L. 1332-6-6 du code de la défense, un décret en Conseil d'Etat précisera les modalités de la coopération avec les opérateurs d'importance vitale concernant la mise en oeuvre de ces obligations. Comme le précise l'étude d'impact, ce décret d'application « permettra d'anticiper les mesures pouvant être prises notamment en fonction de leurs secteurs d'activité et de l'impact de ces mesures sur leur activité ». Il précisera également « les modes de notification des mesures aux opérateurs ».

· La préservation de confidentialité de l'Etat

Le texte proposé pour le nouvel article L. 1332-6-5 du code de la défense vise à préserver la confidentialité de l'Etat concernant les informations recueillies auprès des opérateurs d'importance vitale.

La révélation d'informations concernant une attaque informatique réussie contre une entreprise, éventuellement cotée en bourse, pourrait avoir des conséquences sur sa valeur financière, la confiance de ses clients et fournisseurs ou encore l'estime de ses salariés. Ainsi, en septembre 2011, la révélation d'une attaque informatique ayant conduit au vol d'informations appartenant à la société néerlandaise Diginotar avait entraîné la faillite de cette entreprise quelques semaines plus tard. De plus, si ces révélations interviennent au cours de la phase préliminaire de traitement de l'attaque, elles peuvent alerter l'attaquant et l'amener à changer de stratégie. De la même manière, si les résultats d'un audit de sécurité des systèmes d'information venaient à être connus d'un attaquant potentiel, il aurait son action malveillante grandement facilitée par ces informations. Comme dans d'autres domaines, l'Etat traitera donc les informations recueillies, tant en ce qui concerne la notification d'incidents que les résultats d'audits et de contrôles, comme des informations sensibles.

· La création de sanctions pénales pour les opérateurs d'importance vitale en cas de manquement à leurs obligations

L'article 15 du projet de loi prévoit enfin de modifier l'article L. 1332-7 du code de la défense afin de préciser les sanctions pénales encourues par les opérateurs d'importance vitale en cas de non-respect des obligations prévues précédemment.

Ces sanctions sont alignées sur celles prévues par l'article L. 1332-7 du code de la défense pour la protection physique des installations d'importance vitale.

Le non-respect de l'une de ces obligations sera passible d'une amende de 150 000 euros pour les personnes physiques et d'une amende d'un montant maximal de 750 000 euros pour les personnes morales.

A l'exception du manquement à l'obligation de notification de l'incident, la sanction en cas de manquement n'interviendra qu'après une mise en demeure.

III. La position de votre commission :

Les mesures proposées par cet article répondent aux principales recommandations adoptées par votre commission dans son rapport d'information sur la cyberdéfense de juillet 201260(*), à l'image de l'obligation pour les opérateurs d'importance vitale de notifier à l'Etat les incidents informatiques.

Elles sont également conformes aux positions adoptées par votre commission à l'occasion de l'examen de la stratégie européenne de cybersécurité et de la proposition de directive européenne de la Commission européenne sur la sécurité des systèmes d'information, qui ont été approuvées par le Sénat dans sa résolution européenne du 19 avril 201361(*).

Votre commission approuve donc ces dispositions.

Votre commission a adopté cet article sans modification.

Article 16 (articles 226-3 et 226-15 du code pénal) - Extension de la liste des équipements informatiques soumis au régime d'autorisation

L'article 16 vise à étendre la liste des équipements informatiques soumis au régime d'autorisation.

L'article 226-3 du code pénal soumet à autorisation les appareils conçus pour porter atteinte au secret des correspondances, atteinte qui constitue l'infraction prévue à l'article 226-15 du code pénal. Les catégories d'appareils relevant de cette procédure sont définies par l'arrêté du Premier ministre du 4 juillet 2012 fixant la liste d'appareils et de dispositifs techniques prévue par l'article 226-3 du code pénal.

L'autorisation est délivrée par le Premier ministre après avis d'une commission consultative, présidée par le directeur général de l'Agence nationale de la sécurité des systèmes d'information et composée de représentants de différentes administrations, d'un représentant de la Commission nationale de contrôle des interceptions de sécurité et de deux personnalités qualifiées désignées par le Premier ministre.

Afin de satisfaire à leurs obligations légales en matière d'interception de communications, les opérateurs de communications électroniques recourent, en effet, à des équipements conçus pour réaliser les interceptions et relevant à ce titre du régime d'autorisation de l'article 226-3 du code pénal.

Il s'agit ainsi pour les opérateurs de communications de répondre, dans le cadre de la loi, aux réquisitions des magistrats (interceptions judiciaires) ou du Premier ministre (interceptions de sécurité).

Ces équipements conçus pour réaliser des interceptions présentent un risque pour le respect de la vie privée des citoyens. Ils ne peuvent donc être fabriqués, importés, détenus que sur autorisation délivrée par le Premier ministre.

Or, les évolutions technologiques montrent que de plus en plus d'équipements de réseau, sans être des moyens d'interception en eux-mêmes, possèdent des fonctions qui pourraient être aisément utilisées pour intercepter le trafic du réseau.

A cet égard, les fonctions de duplication ou de routage du trafic de certains équipements de réseau, configurables et accessibles à distance, sont susceptibles de permettre des interceptions. Par exemple, certains équipements de coeur de réseau ou certains équipements d'accès aux réseaux, tels que les stations de base de réseau mobile, alors même qu'ils n'ont pas été spécifiquement conçus à des fins d'interception, sont cependant susceptibles, selon leurs caractéristiques, de permettre des interceptions du trafic.

N'étant pas spécifiquement conçus pour les interceptions, ces équipements ne sont actuellement pas soumis à l'autorisation prévue par l'article 223-3 du code pénal, qui ne porte que sur les appareils « conçus pour réaliser » les interceptions. Or, ces équipements présentent les mêmes risques pour la sécurité des réseaux et des communications que ceux destinés spécifiquement à l'interception.

Cet article a donc pour objet d'étendre le contrôle étatique aux équipements qui sans être conçus pour permettre les interceptions de communication, les captations de données informatiques ou les interceptions de correspondances, sont susceptibles d'être utilisés à ces fins. Il est donc proposé de remplacer à l'article 226-3 du code pénal les mots « conçus pour réaliser les opérations » par les mots «  susceptibles de permettre la réalisation d'opérations ».

Par cohérence, l'article propose également de modifier au deuxième alinéa de l'article 226-15 du code pénal les mots « conçus pour réaliser » par les mots « susceptibles de permettre la réalisation ».

La modification envisagée permettra donc d'étendre la délivrance d'une autorisation à l'ensemble des équipements susceptibles de permettre des interceptions.

La liste des appareils et des dispositifs techniques figurant à l'arrêté du 4 juillet 2012 devra ainsi être complétée par les nouvelles catégories d'équipements de réseau présentant des possibilités d'interception des communications. Cette liste pourra être mise à jour en fonction des évolutions technologiques.

La réforme envisagée permettra donc d'assurer une plus grande sécurité des réseaux et des communications, en particulier s'agissant des « routeurs de coeur de réseaux » conformément aux recommandations adoptées par votre commission dans son rapport d'information sur la cyberdéfense.

Votre commission a adopté l'article 16 sans modification.

Article 16 bis (nouveau) (article L. 2321-3 nouveau du code de la défense, articles L.336-3 et L. 34-1 du code des postes et des communications électroniques) - Accès aux coordonnées des utilisateurs des adresses Internet pour les besoins de la sécurité informatique

Ce nouvel article, introduit par un amendement de votre commission, vise à reconnaître la possibilité, pour les agents habilités et assermentés de l'autorité nationale de sécurité des systèmes d'information, d'obtenir des opérateurs de communications électroniques l'identité, l'adresse postale et l'adresse électronique d'utilisateurs ou de détenteurs de systèmes d'information afin de les alerter sur la vulnérabilité ou la compromission de leur système.

L'Agence nationale de la sécurité des systèmes d'information reçoit régulièrement des adresses Internet correspondant à une localisation française (adresses "IP") transmises par des partenaires étrangers correspondant :

- soit à un équipement industriel connecté à Internet et présentant une vulnérabilité exploitable à distance par une personne ou un groupe malintentionné ;

- soit à un serveur compromis par un code malveillant, utilisé au sein d'un "botnet" pour relayer une attaque informatique en déni de service ou comme serveur relais de commande d'autres machines infectées et utilisées, par exemple, à des fins d'espionnage.

Que ce soit à des fins de prévention d'attaques informatiques ou à des fins de traitement de ces attaques, l'autorité nationale de la sécurité des systèmes d'information n'a aujourd'hui aucun moyen de connaître l'identité de l'utilisateur d'une adresse « IP » correspondant à une vulnérabilité ou à une compromission. Il s'ensuit une incapacité à alerter le détenteur ou l'exploitant d'une installation industrielle en danger comme d'inviter voire d'aider le détenteur d'un serveur compromis à traiter l'attaque informatique dont il est victime.

Cette incapacité peut se révéler désastreuse en cas de crise informatique majeure dont un des invariants est la nécessité d'agir dans un délai court pour éviter son expansion.

L'introduction dans le code de la défense d'un nouvel article L. 2321-3, telle que prévue par cet article, accompagnée de la modification de l'article L. 34-1 du code des postes et des communications électroniques, est destinée à combler cette lacune.

Le nouvel article vise donc à prévoir que l'autorité nationale de la sécurité des systèmes d'information dispose d'agents assermentés pouvant obtenir auprès des opérateurs de communications électroniques les coordonnées des utilisateurs des adresses internet correspondant à un système d'information vulnérable ou déjà compromis.

Votre commission a adopté l'article 16 bis (nouveau) ainsi rédigé.

Article 16 ter (nouveau) (article 323-3-1 du code pénal et article L. 122-6-1 du code de la propriété intellectuelle) - Possibilité d'exercer une activité de recherche ou de développement de produits ou de service de sécurité informatique

Ce nouvel article, introduit par un amendement de votre commission, vise à clarifier et à renforcer la sécurité juridique de l'activité de recherche comme celle de nombreuses entreprises industrielles ou de services qui détiennent ou utilisent des programmes, des équipements ou des instruments informatique, afin de développer des produits ou services de sécurité informatique.

Les attaques contre les systèmes d'information sont généralement réalisées par des programmes informatiques spécialement conçus ou adaptés à cette fin. Ces programmes exploitent les "failles" ou "vulnérabilités" qui existent dans les programmes.

Actuellement, l'article 323-3-1 du code pénal interdit, sauf motif légitime, l'importation, la détention, l'offre, la cession ou la mise à disposition de ces programmes.

Certes, on peut penser que l'activité de recherche ou de développement de produits ou de services de sécurité font partie des motifs légitimes, mais la rédaction actuelle est ambiguë et est laissée à l'interprétation de la jurisprudence.

Or, pour être efficace, le développement de produits et de services de sécurité informatique implique de tester la résistance de ces produits et services à ces programmes, leur capacité à les détecter, à les analyser afin d'élaborer les parades susceptibles de contrer les attaques. De même, l'activité de recherche en sécurité informatique implique de connaître et d'analyser ce type de programmes.

Cette situation a pour conséquence de brider la recherche nationale en matière de sécurité informatique et de faire peser sur le secteur d'activité de la sécurité numérique une insécurité juridique qui peut entraver l'activité ou des décisions d'investissement et de développement.

Cet article vise donc à clarifier la rédaction de l'article 323-3-1 du code pénal.

Il a également pour objet de modifier la rédaction de l'article L. 122-6-1 du code de la propriété intellectuelle afin de préciser qu'on peut, sans l'autorisation de l'auteur, observer, étudier ou tester non seulement le fonctionnement d'un logiciel mais aussi sa sécurité.

Votre commission a adopté l'article 16 ter (nouveau) ainsi rédigé.


* 59 Rapport d'information n°681 (2011-2012) sur la cyberdéfense présenté par M. Jean-Marie Bockel au nom de la commission des Affaires étrangères, de la Défense et des Forces armées du Sénat, le 18 juillet 2012

* 60 Rapport d'information n°681 (2011-2012) sur la cyberdéfense présenté par M. Jean-Marie Bockel au nom de la commission des Affaires étrangères, de la Défense et des Forces armées du Sénat, le 18 juillet 2012

* 61 Rapport n° 491 (2012-2013) de MM. Jacques Berthou et Jean-Marie Bockel, fait au nom de la commission des affaires étrangères, de la défense et des forces armées du Sénat, déposé le 10 avril 2013 et la résolution européenne du Sénat n°138 (2012-2013), adoptée le 19 avril 2013.