Le 02 août 2013, le Gouvernement a dévoilé le projet de loi « relatif à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale » déclinant les priorités de la Défense nationale.

Ce projet met en avant l’importance du renseignement (moyens accrus, protection de l’anonymat des témoignages, transmission des données, etc.), mais également de la cyberdéfense, auxquels les articles 13 à 15 modifiant le Code de la défense sont notamment consacrés…

Ainsi, l’article 13 précise que la communication des logs par les fournisseurs d’accès à l’internet est possible a posteriori, mais également en temps réel. De son côté, l’article 14 indique que, pour répondre à des attaques informatiques, notamment dans le domaine des Opérateurs d’importance vitale (OIV), l’ANSSI ou d’autres services de l’Etat peuvent répliquer pour neutraliser l’attaque (et donc détenir licitement tout équipement, logiciel, etc. nécessaires en ce sens). Enfin, l’article 15 prévoit l’obligation pour les OIV et ceux qui participent à leurs SI de respecter des règles de sécurité, à leurs frais, ce qui inclut notamment :

  • la mise en place, le cas échéant, de systèmes qualifiés de détection des évènements susceptibles d’affecter la sécurité de leurs SI ;
  • l’information sans délai du Premier ministre « des incidents affectant le fonctionnement ou la sécurité » de leurs SI ;
  • la mise en place de contrôle de leur SSI, voire de mesures exceptionnelles.

Le fait de ne pas respecter les obligations issues de cet article 15 serait par ailleurs puni d’une amende de 150 000 €.

 En réalité, de telles dispositions ne sont pas véritablement étonnantes, car elles ne sont que la transcription dans la loi du livre blanc sur la Défense et la Sécurité nationale d’avril 2013. La cyberdéfense est donc largement mise à l’honneur, avec de forts moyens donnés à l’État d’intervenir… et de lourdes pressions pour les Opérateurs d’importance vitale. Rappelons que ceux-ci exercent notamment des activités de production ou de distribution de biens ou services indispensables à la satisfaction des besoins essentiels pour la vie des populations, à l’exercice de l’autorité de l’Etat au fonctionnement de l’économie, au maintien du potentiel de défense ou encore à la sécurité de la Nation (grands acteurs du secteur financier, de l’énergie, de la santé, etc.). Ces OIV sont en effet tenus de prévoir une sécurité des systèmes d’information parfaitement conforme aux exigences juridiques et techniques, sous peine de sanctions financières non négligeables.

Par ailleurs, le délit de non « notification de faille » qui serait créé reste pour le moment extrêmement flou, et l’on ne peut qu’espérer que le décret prévu précise le degré exact de caractérisation des incidents, ou encore la forme de cette information, comme en matière de réglementation sur la protection des données à caractère personnel. Enfin, il convient de rester clair sur le fait que le projet de texte ne met pas en place une « légitime défense numérique pour tous », permettant par exemple à des entreprises lambda de « pirater les pirates ».

Ainsi, le texte n’accorde aux services spécialisés « que » des pouvoirs qui se rapprochent en pratique de ceux des forces de l’ordre face à un flagrant délit dans la vie « physique ».

Télécharger le projet de loi « relatif à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale«  du 2 août 2013.

(article rédigé en août 2013)

Tagged on:         

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *