C. L'ÉLARGISSEMENT DU PÉRIMÈTRE D'ACTION

La LPM 2014-19 et la stratégie numérique de 2015 ont fixé des orientations et priorités en matière de protection des systèmes d'information des OIV et d'assistance aux victimes des actes de cyber malveillance 33 ( * ) .

La directive européenne relative à la sécurité des systèmes d'information, dite NIS, transposée par une loi du 26 février 2018 34 ( * ) , conforte ces orientations. La mise en place de la notion d'opérateurs de services essentiels (OSE) permettra d'englober des entités au-delà des actuels OIV.

1. La transposition de la « directive NIS »

L'enjeu de la directive 35 ( * ) est d'assurer un niveau élevé et commun de sécurité dans l'UE 36 ( * ) . Depuis sa transposition 37 ( * ) , les opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l'économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d'information nécessaires à la fourniture desdits services (OSE), désignés par le Premier ministre, sont soumis à des règles de sécurité élaborée par l'ANSSI.

Environ 120 opérateurs de services essentiels ont d'ores et déjà été désignés et une trentaine d'opérateurs sont en cours de désignation. Cette première vague de désignation a porté sur les opérateurs les plus importants pour le fonctionnement de l'économie ou de la société 38 ( * ) .

La mise en oeuvre de ces dispositions a eu pour principale conséquence organisationnelle d'élargir le nombre d'entités régulées et donc de provoquer un surplus d'activité, toutefois l'agence ne dispose pas d'une estimation des moyens budgétaires qui y ont été consacrés. Comme il a été exposé dans le précédent avis de la commission, un renforcement des effectifs de l'ANSSI sera nécessaire pour se saisir des nouvelles prérogatives. Le retour à une progression du schéma d'emplois de 50 ETP par an au cours des prochaines années satisfait cette observation.

2. La protection des réseaux

La sécurisation des réseaux de télécommunications est un enjeu majeur. L'ANSSI joue un rôle central dans le contrôle réglementaire instauré en application de l'article 226-3 du code pénal qui soumet à autorisation la commercialisation et la détention d'équipements susceptibles de porter atteinte à la confidentialité des communications électroniques 39 ( * ) .

La loi n° 2019-810 du 1 er août 2019 visant à préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l'exploitation des réseaux électriques mobiles introduit une obligation d'autorisation préalable, par le Premier ministre, de l'exploitation des appareils d'infrastructure des réseaux mobiles de 5 ème génération qui présentent, par leur fonctionnalité, un risque pour la sécurité de ces réseaux 40 ( * ) . L'ANSSI assurera effectivement, en lien étroit avec le SGDSN, l'instruction technique et administrative des demandes d'autorisation découlant de ce nouveau régime. Ce dispositif vient donc compléter le dispositif existant 41 ( * ) . Elle dispose déjà d'un savoir-faire et d'une expérience significative dans l'analyse de tels équipements, et dans la mise en oeuvre d'un régime de contrôle réglementaire, qu'elle transposera dans le traitement du nouveau régime d'autorisation préalable.

Même si les champs d'application des deux régimes ne sont pas strictement équivalents il est anticipé à terme une volumétrie d'autorisations L. 34-11 d'au plus un millier de demandes par an, laquelle devrait s'établir progressivement, à compter des premiers déploiements de la 5G attendus en 2020 42 ( * ) .

L'ANSSI prévoit d'assurer le traitement de ces demandes selon la même logique que les demandes R.226, avec des personnels consacrés à l'instruction administrative, s'appuyant en tant que de besoin sur des expertises techniques fournies par d'autres équipes de l'ANSSI dont le renforcement a été anticipé. Afin de faire face à la volumétrie à terme, mais également à un niveau d'exigence renforcé sur les délais 43 ( * ) , deux ETP complémentaires seront affectés au traitement administratif des nouvelles demandes. Par conséquent, la mise en oeuvre de ces nouvelles dispositions devrait pouvoir être assurée sans moyens complémentaires.

Enfin, un bilan de la première année de mise en oeuvre de ces nouvelles dispositions sera intégré au rapport annuel que le gouvernement remettra au Parlement à compter du 1 er juillet 2020, comme le prévoit l'article 5 de la loi.


* 33 L'ANSSI les accompagne dans la sécurisation de leurs systèmes d'information critiques qui passe, entre autres, par l'application de règles de sécurité qu'elle définit avec les opérateurs, ainsi que par l'installation d'un dispositif de détection d'incidents et d'attaques.

* 34 Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité.

* 35 (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (dite « directive NIS »).

* 36 Sénat n° 110 Tome IX (2017-2018) par MM. Cadic et Mazuir p. 33 et suiv .

* 37 Loi n° 2018-133 du 26 février 2018.

* 38 De ce fait, une majorité de ces opérateurs sont des opérateurs d'importance vitale et donc déjà soumis aux dispositions en matière de cybersécurité instaurées par l'article 22 de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019.

* 39 Ce régime de contrôle a été étendu par un arrêté du 11 août 2016 qui a permis de soumettre de nouveaux équipements au contrôle R226, notamment les «stations de bases» de réseau mobile, susceptibles, selon leurs caractéristiques, de permettre des interception du trafic. Ces nouvelles mesures sont assorties d'un délai d'application de cinq ans, pour permettre aux opérateurs d'intégrer ces exigences dans leur calendrier de déploiement à l'horizon 2020 des réseaux de 5 ème génération.

* 40 Article 34-11 du code des postes et des communications électroniques (CPCE). Voir sur ce point l'avis n° 569 (2018-2019) de M. Pascal Allizard au nom de la commission des affaires étrangères, de la défense et des forces armées du Sénat.

* 41 En particulier le régime de contrôle», découlant des articles 226-3, R. 226-3 et R. 226-7 du Code pénal qui soumet à autorisation la commercialisation (R. 226-3) et la détention (R. 226-7) de tout dispositif de nature à permettre une atteinte au secret des correspondances électroniques ou à la vie privée, parmi lesquels figurent de nombreux équipements d'infrastructure des réseaux mobiles. Ce contrôle R. 226 donne actuellement lieu, dans sa globalité, à la délivrance d'environ 1 200 autorisations par an, réparties équitablement entre autorisations de commercialisation R. 226-3 (664 autorisations en 2018) et autorisations de détention R. 226-7 (602 autorisations en 2018). Parmi ces dernières, environ 500 portent sur des équipements du domaine des télécommunications, le reste relevant principalement des différents types d'outils d'investigation numérique et de techniques de renseignement prévus par la loi.

* 42 Dans la mesure où ces déploiements ne porteront initialement que sur les « antennes » 5G, et non sur les infrastructures centrales dites de « coeur de réseau » (déploiement 5G dit « non standalone », dans lequel le coeur de réseau reste en technologie 4G), alors que ces coeurs de réseau représentent une part importante de la typologie d'appareils soumis à autorisation.

* 43 Les autorisations L.34-11 doivent être accordées ou refusées dans un délai de deux mois à compter de la réception d'un dossier de demande complet, délais inférieurs à ceux généralement constatés sur les autorisations R.226.

Page mise à jour le

Partager cette page