Allez au contenu, Allez à la navigation

Proposition de loi visant à préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l'exploitation des réseaux radioélectriques mobiles

19 juin 2019 : Exploitation des réseaux radioélectriques mobiles ( rapport - première lecture )

B. L'ÉTAT SOUHAITE POUVOIR ANALYSER LES MODALITÉS D'EXPLOITATION DES ÉQUIPEMENTS 5G EN VUE DE PRÉSERVER LES INTÉRÊTS DE LA DÉFENSE ET DE LA SÉCURITÉ NATIONALE

1. Un nouveau régime d'autorisation préalable...

La présente proposition de loi établit une nouvelle autorisation administrative préalable à l'exploitation d'équipements de réseaux « mobiles » dans le but de « préserver les intérêts de la défense et de la sécurité nationale ». Ce nouveau dispositif serait ciblé sur les opérateurs de communications électroniques d'importance vitale. Les autorisations seraient délivrées par le Premier ministre, après instruction de l'Anssi.

Si le Gouvernement reconnaît que les réseaux « fixes », de même que les réseaux « mobiles » des générations antérieures, soulèvent leurs propres enjeux de sécurité, il estime que ceux-ci ne sont pas nouveaux et sont déjà pris en compte par le cadre existant de façon efficace, contrairement à ceux soulevés par les réseaux 5G déjà évoqués par le rapporteur.

Il estime ainsi que cette proposition de loi vient donner un cadre juridique à des pratiques déjà en cours entre l'Agence et les opérateurs, mais qui reposent aujourd'hui uniquement sur la confiance, ce qui ne peut suffire lorsqu'il s'agit de s'assurer de la protection des intérêts de la défense et de la sécurité nationale.

2. ...en réponse aux lacunes du droit en vigueur
a) La nécessité d'aller au-delà du régime en vigueur pour contrôler les modalités d'exploitation des appareils au regard de la défense et de la sécurité nationale

Pour le Gouvernement, le risque d'atteinte au secret des correspondances provenant de l'intelligence en « bord de réseau »59(*) est couvert par le régime de l'article 226-3 du code pénal par le biais de son extension prévue aux stations de base à compter du 1er octobre 2021.

En revanche, le régime d'autorisation en vigueur ne permet pas au Premier ministre de répondre à la virtualisation des réseaux et à la criticité des nouveaux usages.

S'agissant de ces nouveaux usages, ce n'est pas tant le secret des correspondances que la disponibilité des réseaux qui doit être assurée. Il est donc selon lui nécessaire de fonder un nouveau dispositif d'autorisation sur l'exigence de protection de la sécurité et de la défense nationales, au-delà du secret des correspondances.

La virtualisation et le fait que l'architecture du réseau dépendra en partie de son usage ont pour conséquence qu'une analyse centrée uniquement sur les caractéristiques techniques propres des équipements, tels qu'ils sont fournis par les équipementiers, ne suffit plus à couvrir l'ensemble des enjeux de sécurité, et qu'une analyse complémentaire des modalités d'exploitation (opérations de configuration et de supervision du réseau, recours à la sous-traitance) adoptées par chaque opérateur devient indispensable. Le directeur général de l'Anssi estime en effet « possible de déployer de très mauvais réseaux télécoms en termes de sécurité avec des équipements parfaitement sécurisés. En revanche, une architecture de réseau bien sécurisée permet d'utiliser des équipements d'un niveau de sécurité moins exigeant ».

Selon le Gouvernement, la plus grande liberté conférée aux opérateurs dans les choix de déploiement et d'exploitation de leurs équipements rend nécessaire qu'ils jouent un rôle accru dans leur sécurisation. Le Premier ministre pourra ainsi réaliser un accompagnement au cas par cas de chaque opérateur et de ses sous-traitants dans la définition des modalités d'exploitation de leur réseau. Pour le directeur général de l'Anssi, ce dispositif permettrait de s'assurer que les opérateurs restent, sur le long terme, les « maîtres du jeu » sur leurs réseaux.

b) L'insuffisant ciblage du dispositif applicable aux « OIV »

Le Gouvernement estime que les dispositions existantes visant à garantir la cybersécurité des opérateurs60(*) d'importance vitale ou « OIV » n'offrent pas la souplesse requise pour répondre à ces nouveaux enjeux. En effet, la qualification d'un système d'information comme système d'information d'importance vitale (SIIV) est du seul ressort des OIV, et les obligations qui leur sont imposées sont génériques. Par conséquent, ce dispositif ne permet pas la mise en oeuvre de mesures techniques précises et propres à une technologie donnée comme la 5G, ni l'appréciation au cas par cas des facteurs de risques que la proposition de loi apporte, et qui semble justifiée au regard de la nouveauté et de la forte évolutivité des technologies 5G.


* 59 Cette intelligence du « bord de réseau » par opposition au « coeur de réseau » provient notamment du développement des antennes actives déjà décrit.

* 60 Le terme est ici générique et ne désigne pas, contrairement au reste du présent rapport, les opérateurs de communications électroniques.