En application de la Loi du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 (LPM 2024 – 2030) et portant diverses dispositions intéressant la Défense, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a lancé une consultation publique sur le projet de décret en Conseil d’Etat concernant les mesures cyber.
Le décret a ainsi pour vocation à préciser les modalités de mise en œuvre de chacune des mesures inscrites dans le cadre de la LPM 2024 – 2030.
Le décret concerne ainsi la mise en place de nouvelles capacités de cyberdéfense et de cybersécurité confiées à l’ANSSI. Il s’applique à plusieurs acteurs, notamment l’ANSSI elle-même mais également :
- à l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP),
- aux opérateurs de communications électroniques,
- aux fournisseurs de services d’hébergement de contenus en ligne,
- aux opérateurs de centre de données,
- aux offices et bureaux d’enregistrement de noms de domaine,
- aux éditeurs de logiciels.
Les principales dispositions de ce projet incluent :
- la mise en place de mesures de filtrage de noms de domaine en cas de menace contre la sécurité nationale,
- la communication de certaines données techniques de cache de serveurs de systèmes de noms de domaine,
- l’obligation pour les éditeurs de logiciels de signaler à l’ANSSI tout incident informatique sur leurs systèmes d’information ou toute vulnérabilité critique sur un produit ou un service,
- le renforcement des capacités de détection des cyberattaques et d’information des victimes,
- les modalités de contrôle de l’ARCEP sur la mise en œuvre de certaines de ces mesures.
Les grands axes de ce texte :
✅ L’ANSSI pourra ainsi mettre en œuvre de dispositifs de collecte de données et de marqueurs techniques pour détecter les menaces sur les systèmes d’information : elle notifie et coordonne ces actions avec les opérateurs concernés, sous le contrôle de l’ARCEP. Les données collectées sont analysées dans un délai défini, et seules celles pertinentes pour la prévention des menaces sont conservées. Les modalités de compensation des prestations réalisées dans ce cadre sont fixées par arrêté conjoint du Premier ministre et du ministre des communications électroniques.
✅ Il établit des modalités de compensation pour les prestations réalisées par les personnes désignées dans le cadre de la loi sur la confiance dans l’économie numérique, ainsi que les conditions de transmission des données techniques et les responsabilités des fournisseurs de système de résolution de noms de domaine. De même, la traçabilité des données collectées et les opérations effectuées sur celles-ci seront renforcées.
✅ Une procédure de signalement des vulnérabilités et des incidents par les éditeurs de logiciels, ainsi que les procédures d’information des utilisateurs et les injonctions en cas de non-conformité seront également renforcées.
D’autres dispositions sont également prises en matière d’utilisation de l’espace numérique, modifiant le code des postes et des communications électroniques.
Cette consultation publique s’adresse principalement aux hébergeurs, aux fournisseurs d’accès à Internet (FAI), aux bureaux d’enregistrement de noms de domaine, aux éditeurs de logiciels et aux opérateurs de centres de données, qui sont les premiers concernés par ces nouveaux dispositifs.
Une FAQ est dès à présent disponible grâce à la récolte de plusieurs échantillons de réponses !
Une initiative essentielle pour pousser les réflexions en matière de cybersécurité au cœur de la Défense du territoire national.