Projet de loi relatif à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense

CHAPITRE V : SÉCURITÉ DES SYSTÈMES D'INFORMATION

Article 32
Prescrire des mesures de filtrage de noms de domaine (DNS) aux hébergeurs, fournisseurs d'accès à Internet (FAI) ou registrars en cas de menaces à la sécurité nationale

1. Le dispositif proposé

Le dispositif proposé pour l'article 32 s'inscrit dans un ensemble de dispositions, avec les articles 33, 34 et 35, visant à renforcer les capacités d'analyse de la menace et de détection d'attaques informatiques par l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

L'article 32 vise à demander aux hébergeurs, fournisseurs d'accès à Internet ou registrars, le filtrage gradué des noms de domaine utilisés ou instrumentalisés par les cyber attaquants en vue d'entraver une menace susceptible de porter atteinte à la sécurité nationale.

Les noms de domaine étant fréquemment utilisés par les cyber attaquants, il s'agirait pour l'ANSSI de prescrire des mesures de filtrage ou de redirection de noms de domaine afin de neutraliser leur utilisation par un « pirate », mais aussi de mieux comprendre et contrer ses modes opératoires.

La mise en oeuvre de ces mesures serait conditionnée par le constat de trois critères cumulatifs pouvant constituer une menace susceptible de porter atteinte à la sécurité nationale :

- la présomption de la nature étatique de l'attaquant ;

- le niveau de complexité et de sophistication des moyens techniques employés ;

- la nature de la victime selon qu'elle soit une entité étatique, un opérateur d'importance vitale ou un opérateur de services essentiels, ou que l'attaque fasse courir un risque particulier au tissu économique, sanitaire ou à l'ordre public sur le territoire national.

La mesure concerne d'une part les opérateurs de communications électroniques et les hébergeurs par l'obligation qu'ils auraient à mettre en oeuvre les mesures de filtrage ou de redirection demandées par l'ANSSI, moyennant une indemnisation fixée par voie réglementaire.

D'autre part, la mesure concerne les propriétaires des noms de domaine utilisés par les cyber attaquants en distinguant les propriétaires de bonne foi - lesquels se verraient enjoints de prendre les mesures nécessaires pour neutraliser la menace dans un délai imparti, et à défaut un blocage de leur nom de domaine - des propriétaires qui utilisent leurs noms de domaine précisément à des fins malveillantes ; dans ce dernier cas l'ANSSI effectuerait une redirection sans délai vers un serveur neutre ou sécurisé qu'elle maîtrise.

L'encadrement de cette procédure, quant à la justification de la menace et de la proportionnalité de la mesure, serait effectué par l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP), laquelle serait investie de la mission de statuer sur les demandes de l'ANSSI et de lui rendre un avis conforme.

Ce régime d'autorisation se justifie par le fait que les données collectées pour la compréhension des modes opératoires ne doivent être obtenues et exploitées qu'à des fins de défense des systèmes d'information et uniquement en cas de menace susceptible de porter atteinte à la sécurité nationale.

Dans le cas prévu par l'article 32, le dispositif de neutralisation des attaques et d'informations des victimes ne nécessite pas d'accéder à des données de contenu. Les données collectées seraient détruites dans un délai maximal de 10 ans et les données non nécessaires au traitement de l'attaque détruites sans délai.

Les mesures d'application de l'article seraient prises par décret en Conseil d'État après avis de l'ARCEP.

2. Les modifications adoptées à l'Assemblée nationale

Outre des amendements rédactionnels, l'Assemblée nationale a adopté plusieurs modifications substantielles tendant à :

- tenir compte de la nature du titulaire, de bonne foi, du nom de domaine ainsi que de ses contraintes opérationnelles pour prendre des mesures dans le délai imparti ;

- prévoir une concertation avec les opérateurs avant de fixer le délai ;

- réduire de 10 à 5 ans la durée de conservation des données aux fins d'exploitation des antériorités ;

- ajouter un avis de la Commission nationale de l'informatique et des libertés (Cnil), en plus de celui de l'ARCEP, préalable à la prise du décret en Conseil d'État.

3. La position de la commission

La commission a adopté deux amendements rédactionnels (COM-131 et 218) et trois amendements tendant à :

- supprimer la phase de concertation introduite à l'assemblée nationale (COM-132) ;

- préciser que le délai de destruction des données non pertinentes pour l'analyse des attaques serait défini par voie réglementaire (COM-133) ;

- prévoir que le décret d'application de cet article soit pris après avis de la Commission nationale de contrôle des techniques de renseignement (CNCTR) en complément des avis de la Cnil et de l'ARCEP (amendements identiques COM-40, présenté par le rapporteur, COM-123 et 134).

Il convient de préciser que cette instauration d'un avis de la CNCTR ne résulte en aucun cas de l'assimilation de la procédure proposée par l'article 32 à la mise en oeuvre de quelconques techniques de renseignement.

À cet égard, la commission rappelle très clairement que l'Agence nationale des systèmes d'information (ANSSI) n'est pas un service de renseignement et que l'analyse des données qui seraient faite par l'agence a pour seule finalité la caractérisation, la neutralisation des attaques et l'information des victimes.

Toutefois, considérant que ni la Cnil, ni l'ARCEP ne sont des autorités administratives indépendantes particulièrement compétentes pour apprécier l'état d'une menace sur la défense et la sécurité nationale, il a été jugé utile qu'un avis de la CNCTR concourt à définir les conditions de mise en oeuvre des mesures que prévoira le décret d'application du présent article.

Il convient de souligner que l'avis de la CNCTR est prévu pour écarter toute ambigüité sur le périmètre d'action de l'ANSSI, sur la stricte séparation de ses missions d'avec celles des services de renseignement et sur les conditions de traitement des données.

Article 33
Prévoir la communication à l'ANSSI de certaines données techniques de cache de serveurs de systèmes de noms de domaines (DNS)

1. Le dispositif proposé

L'article 33 prévoit la transmission, par les fournisseurs de système de résolution de noms de domaine, à l'ANSSI de données techniques non identifiantes enregistrées temporairement par des serveur DNS afin de lui permettre d'identifier les serveurs et les infrastructures mis en place par les cyber attaquants, de suivre leur activité et d'établir la chronologie des attaques.

Il est précisé que les données recueillies ne sont ni directement ni indirectement identifiantes et ne peuvent être exploitées que pour les besoins de la sécurité des systèmes d'information et qu'aux seules fins de détecter et de caractériser des attaques informatiques.

Les mesures d'application de l'article seraient prises par décret en Conseil d'État après avis de l'ARCEP.

2. Les modifications adoptées à l'Assemblée nationale

Outre des amendements rédactionnels, l'Assemblée nationale a adopté plusieurs modifications substantielles tendant à :

- limiter le périmètre de la mesure aux seules fins de garantir la défense et la sécurité nationale ;

- préciser que les données transmises aux agents de l'ANSSI doivent être anonymisées par les fournisseurs de système de résolution de noms de domaine ;

- encadrer la durée de conservation des données non identifiantes en prévoyant un délai maximal de cinq ans, par cohérence avec le délai de conservation fixé à l'article 32 ;

- préciser par voie réglementaire la fréquence et les conditions de la transmission des données par les fournisseurs de système de résolution de noms de domaine.

3. La position de la commission

La commission a adopté un amendement de coordination rédactionnel (COM-135) et un amendement (COM-41, COM-124 et 136 identiques) prévoyant que le décret d'application de cet article soit pris après avis de la Commission nationale de contrôle des techniques de renseignement (CNCTR) en complément des avis de la Cnil et de l'ARCEP, selon les mêmes motivations précédemment exposées (cf. article 32).

La commission a adopté cet article ainsi modifié.

Article 34
Obliger les éditeurs de logiciel victimes d'un incident informatique sur leurs systèmes d'information ou ayant une vulnérabilité critique sur un produit ou un service à en informer l'ANSSI et leurs clients français

1. Le dispositif proposé

L'article 34 vise à obliger les éditeurs de logiciels victimes d'un incident informatique sur leur système d'information susceptible d'affecter un de leurs produits ou ayant une vulnérabilité significative sur un produit à le notifier à l'ANSSI et à en informer leurs utilisateurs.

Cette mesure a pour objet de garantir l'information des utilisateurs afin qu'ils puissent mettre en oeuvre des mesures adaptées pour corriger les vulnérabilités dont ils auront été informés.

À défaut d'information par les éditeurs, le dispositif proposé prévoit que l'ANSSI puisse elle-même informer les utilisateurs et rendre public l'incident ou la vulnérabilité.

Si l'injonction de l'ANSSI n'est pas suivie d'effet et que l'éditeur persiste dans son défaut d'information, le manquement ainsi constaté peut faire l'objet d'une information publique.

Plusieurs mesures d'encadrement sont prévues :

- le dispositif ne concerne que les éditeurs de logiciels et les utilisateurs recourant à leurs produits sur le territoire français ;

- seuls les vulnérabilités significatives ou les incidents informatiques compromettant la sécurité des systèmes d'information des éditeurs seront à notifier ;

- en cas de vulnérabilité sur des systèmes confidentiels, seule l'ANSSI sera destinataire des notifications.

2. Les modifications adoptées à l'Assemblée nationale

L'Assemblée nationale a adopté plusieurs amendements tendant à préciser les obligations d'information mises à la charge des éditeurs de logiciel :

- la mesure ne s'appliquant qu'aux incidents et vulnérabilités significatifs ;

- l'information étant restreinte aux seuls utilisateurs professionnels afin de réduire la charge des éditeurs ;

L'Assemblée a également introduit deux alinéas visant à préciser la définition de ce qu'est un éditeur de logiciel et un incident informatique :

- l'éditeur de logiciel s'entendant de toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel, et le met à disposition d'utilisateurs, à titre onéreux ou gratuit ;

- l'incident informatique étant tout événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou faisant l'objet d'un traitement, ou des services que les réseaux et systèmes d'information offrent ou rendent accessibles.

Enfin, deux amendements ont été adoptés afin que l'ARCEP rende un avis préalable à la prise des mesures d'application réglementaire et que celles-ci définissent les critères d'appréciation du caractère significatif de la vulnérabilité ou de l'incident informatique.

3. La position de la commission

La commission a adopté un amendement (COM-137) tendant à supprimer la restriction aux seuls utilisateurs professionnels et à rétablir une obligation d'information par les éditeurs à tous les utilisateurs de logiciels.

La commission a adopté cet article ainsi modifié.

Article 35
Renforcer les capacités de détection des cyberattaques
et d'information des victimes

1. Le dispositif proposé

L'article 35 constitue le dernier article du dispositif dédié à la sécurité des systèmes d'information au sein de la loi de programmation militaire et se présente comme un ensemble de dispositions visant à renforcer les capacités de détection des cyberattaques par l'ANSSI en s'appuyant sur certains acteurs du numérique pour mieux prévenir et caractériser les menaces et alerter les victimes.

Il comporte trois volets.

Le premier volet vise à permettre la collecte par l'ANSSI des données nécessaires à la compréhension de la menace, à l'identification des victimes et à la protection de la Nation. Il vise à renforcer le dispositif adopté dans le cadre de la loi de programmation 2019-2025 en étendant la possibilité de recueil des données non pas aux seules métadonnées (celles relatives à la description des flux) mais aux données de contenu et à la copie du trafic du réseau et à la mémoire du serveur utilisé par l'attaquant^30(*). Compte tenu des atteintes portées par ce nouveau dispositif aux droits et libertés, que le Conseil d'État a jugées adaptées, nécessaires et proportionnées, l'article 35 instaure un contrôle par l'ARCEP sur la justification de la menace, notamment au moyen d'un avis conforme pour les dispositifs permettant le recueil de données de contenu (copie de disque dur, sonde capturant l'intégralité des flux). Par ailleurs, le périmètre de la mesure serait limité aux opérateurs sensibles (autorités publiques, opérateurs d'importance vitale (OIV) et opérateurs de survie essentiels (OSE)), pour une durée limitée, via une exploitation par des agents spécialement habilités et avec une destruction immédiate des données jugées inutiles pour la prévention et la caractérisation de la menace.

Le deuxième volet vise à rendre obligatoire la mise en place de capacités de détection chez les opérateurs de communications électroniques, moyennant une juste rémunération pour la partie matérielle des dispositifs destinés à l'exploitation des « marqueurs » de l'ANSSI. Il s'agit de dispositifs permettant de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés. Cette mesure vise à étendre les capacités nationales de détection de l'ANSSI et à amener les opérateurs à fournir à leurs clients un flux sécurisé de données.

Enfin, le troisième volet vise à étendre le périmètre de mise en oeuvre des dispositifs de détection, d'obtention de copie de serveur et de données de trafic sur les réseaux aux opérateurs de centres de données, et aux sous-traitants des autorités publiques, OIV et OSE.

2. Les modifications adoptées à l'Assemblée nationale

Outre des amendements rédactionnels, l'Assemblée nationale a adopté une série d'amendements visant à mieux encadrer le dispositif eu égard aux capacités nouvelles de recueil de données de contenu par l'ANSSI :

- en précisant que la collecte de données ne s'effectuerait qu'aux fins de garantir la défense et sécurité nationale ;

- en prévoyant une consultation de la Cnil et de l'Arcep dans le cadre de la prise des mesures réglementaires d'application ;

- en maintenant l'exigence d'assermentation judiciaire des agents de l'ANSSI recueillant des données auprès des acteurs numériques ;

- en renvoyant au décret d'application la définition des informations et catégories de données susceptibles de faire l'objet d'un recueil par l'ANSSI.

3. La position de la commission

Compte tenu de l'extension des pouvoirs de l'ANSSI accordés par le projet de loi, la commission a adopté deux amendements visant à mieux encadrer les conditions de traitement des données par l'agence :

- en précisant que le délai bref dans lequel interviendrait la destruction des données non pertinentes seraient défini par voie réglementaire (COM-138) ;

- en prévoyant que le décret d'application de cet article serait pris après avis de la Commission nationale de contrôle des techniques de renseignement (CNCTR) en complément des avis de la Cnil et de l'ARCEP, selon les mêmes motivations précédemment exposées (COM-42, COM-125 et 139 identiques).

Enfin, dans un souci de simplification, la commission a rétabli le texte dans sa rédaction initiale afin de supprimer l'obligation d'assermentation des agents de l'ANSSI, jugeant qu'elle n'apportait pas de garanties supplémentaires, les agents concernés étant déjà habilités et soumis à une obligation de secret et de discrétion professionnelle.

La commission a adopté cet article ainsi modifié.

Article 35 bis (nouveau)
Rapport au Parlement sur l'application des mesures de filtrage des noms de domaine

La commission a adopté un amendement COM-220 tendant à la remise par l'ANSSI d'un rapport d'activité sur les conditions d'exercice et les résultats des mesures prises dans le cadre de la prescription de mesures de filtrage de noms de domaine (DNS) aux hébergeurs, fournisseurs d'accès à Internet (FAI) ou registrars en cas de menaces à la sécurité nationale.

Article 35 ter (nouveau)
Rapport sur la stratégie indopacifique française

La commission a adopté un amendement (COM-221) portant article additionnel après l'article 36.

Cet article additionnel prévoit qu'un rapport sur la stratégie indopacifique précisant les moyens destinés à sa mise en oeuvre issus de la LPM soit présenté par le Gouvernement dans les 24 mois qui suivront la promulgation de la LPM.

La stratégie indopacifique ne ressort pas du seul ministère des armées et concerne également le ministère des affaires étrangères, il conviendra que le Gouvernement vise bien tout le périmètre interministériel de sa stratégie indopacifique.

La commission a adopté cet amendement.

* ³⁰ Selon l'étude d'impact, l'accès aux seules données techniques de description des flux n'est plus suffisant pour détecter et caractériser des attaques cyber, les codes malicieux et les analyses nécessaires pour détecter des activités malveillantes nécessitant un accès aux contenus eux-mêmes.