Accueil Cyber Nouvelle LPM du 1er août : éditeurs, opérateurs, hébergeurs devront déclarer les...

Nouvelle LPM du 1er août : éditeurs, opérateurs, hébergeurs devront déclarer les vulnérabilités et incidents, sous contrôle de l’Anssi

Publiée  au JO le 1er août, la nouvelle LPM (Loi de Programmation Militaire a été largement mise à jour et traite également des sujets du numérique er de la cybersécurité. Les acteurs du logiciels, des télécommunications, des datas sont concernés par les dispositions d’un contexte d’ “économie de guerre”.

La LOI n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030  porte diverses dispositions intéressant la défense. Les décrets d’application sont attendus.

Lire le texte complet 

La nouvelle Loi de Programmation militaire couvre la période 2024-2030 et aborde largement le domaine du numérique

le contexte est clair: “L’agression de l’Ukraine par la Russie le 24 février 2022 a changé la donne géostratégique pour le monde entier. Tentative d’affirmation de la force brute et du fait accompli sur le droit international, elle impose de refondre notre analyse stratégique. Cette situation nouvelle a amené le Parlement, à l’initiative du Président de la République et sur proposition du Gouvernement, à décider d’interrompre la loi de programmation militaire (LPM) prévue pour 2019-2025, au profit d’une nouvelle LPM couvrant la période 2024-2030.

“Une transformation doit être entreprise  notamment dans le domaine de la cybersécurité, (…) , de l’intelligence artificielle.” 

Pour maintenir la supériorité opérationnelle de nos armées, une transformation doit être entreprise pour anticiper les sauts technologiques et les usages associés, notamment dans le domaine de l’espace, des fonds marins, de la cybersécurité, des drones, des différents domaines de la recherche fondamentale et appliquée issue de la physique quantique ou de l’intelligence artificielle. ”

Passons en revue les principales dispositions impactant notamment  les entreprises du numériques, au sein du “Chapitre V : Sécurité des systèmes d’information (Articles 64 à 69)” 

 Editeurs de logiciels : Article 66

Un nouvel article L. 2321-4-1 précise :« En cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits, les éditeurs de logiciels notifient à l’autorité nationale de sécurité des systèmes d’information cette vulnérabilité ou cet incident ainsi que l’analyse de ses causes et de ses conséquences. »

Notons que es éditeurs étrangers et les Gafam n’échappent pas à ces obligations, qui s’appliquent aux éditeurs français ou à ceux  « qui fournissent ce produit sur le territoire français »

« Les éditeurs de logiciels informent les utilisateurs de ce produit, dans un délai fixé par l’autorité nationale de sécurité des systèmes d’information et déterminé en fonction de l’urgence, des risques pour la défense et la sécurité nationale et du temps nécessaire aux éditeurs pour prendre les mesures correctives. A défaut, l’autorité nationale de sécurité des systèmes d’information peut enjoindre aux éditeurs de logiciels de procéder à cette information. Elle peut également informer les utilisateurs ou rendre publics cette vulnérabilité ou cet incident ainsi que son injonction aux éditeurs si celle-ci n’a pas été mise en œuvre.
« Pour l’application du présent article, on entend par éditeur de logiciel toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d’utilisateurs, à titre onéreux ou gratuit.
« Pour l’application du premier alinéa, on entend par incident informatique tout événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement ou des services que les réseaux et les systèmes d’information offrent ou rendent accessibles.
« Un décret en Conseil d’Etat, pris après avis de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, définit les modalités d’application du présent article. Il précise notamment les critères d’appréciation du caractère significatif de la vulnérabilité ou de l’incident mentionnés au premier alinéa. Le caractère significatif de la vulnérabilité est défini en fonction des pratiques et des standards internationaux communément admis. »

Opérateurs, hébergeurs , datacenters : Article 67

L’Anssi peut intervenir lors d’une menace :

« Art. L. 2321-2-1.-Aux seules fins de garantir la défense et la sécurité nationale, lorsqu’elle a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information des autorités publiques ou des opérateurs critiques , l’Anssi  «  peut mettre en œuvre, sur le réseau d’un opérateur de communications électroniques ou sur le système d’information d’une personne mentionnée aux 1 ou 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ou d’un opérateur de centre de données :
des dispositifs mettant en œuvre des marqueurs techniques  Ou, sur avis conforme de Arcep, des dispositifs permettant le recueil de données sur le réseau d’un opérateur de communications électroniques ou sur le système d’information d’une personne mentionnée aux mêmes 1 ou 2 ou d’un opérateur de centre de données affecté par la menace.

Aux seules fins de détecter et de caractériser des événements susceptibles d’affecter la sécurité des systèmes d’information des autorités publiques, des opérateurs jugés critiques et des opérateurs publics ou privés participant aux systèmes d’information de ces entités.
«

L’Anssi sera autorisée à procéder au recueil des données et à l’analyse des seules données techniques pertinentes, à l’exclusion de toute autre exploitation.
« Les données directement utiles à la prévention et à la caractérisation des menaces ne peuvent être conservées plus de deux ans.

Intervention lors d’un incident

Les données dans ce cas pourront être conservées jusqu’à 5 ans. « Lorsque l’autorité nationale de sécurité des systèmes d’information est informée, en application de l’article L. 33-14 du code des postes et des communications électroniques, de l’existence d’un événement affectant la sécurité des systèmes d’information d’une autorité publique, d’un opérateur critique d’un opérateur public ou privé participant aux systèmes d’information d’une de ces entités , l’Anssi peut obtenir les données techniques strictement nécessaires à l’analyse de cet événement. Ces données ne peuvent être exploitées qu’aux seules fins de caractériser la menace affectant la sécurité de ces systèmes. Elles ne peuvent être conservées plus de cinq ans.
« Les surcoûts identifiables et spécifiques des prestations suivantes effectuées à la demande de l’autorité nationale de sécurité des systèmes d’information sont compensés selon des modalités prévues par décret en Conseil d’Etat « 

Installer des marqueurs pour mesurer la menace

L’article L. 33-14 est ainsi modifié : « Lorsqu’elle a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information, l’autorité nationale de sécurité des systèmes d’information demande aux opérateurs de communications électroniques d’exploiter les marqueurs techniques qu’elle fournit. »

Protéger les noms de domaine contre l’usurpation : Articles 64 et 65

Art. L. 2321-2-3.-I.-Lorsqu’il est constaté qu’une menace susceptible de porter atteinte à la défense et à la sécurité nationale résulte de l’exploitation d’un nom de domaine à l’insu de son titulaire qui l’a enregistré de bonne foi, l’autorité nationale de sécurité des systèmes d’information peut demander à ce titulaire de prendre les mesures adaptées pour neutraliser cette menace dans un délai qu’elle lui impartit et qui tient compte de la nature de ce titulaire ainsi que de ses contraintes opérationnelles.

En l’absence de neutralisation de cette menace dans le délai imparti, l’Anssi pourra demander  de procéder au blocage ou à la redirection du nom de domaine vers un serveur sécurisé de l’autorité nationale ou vers un serveur neutre.