Promulguée le 1er aout 2023, la loi n°2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 (LPM) a fixé le programme en la matière pour les prochaines années. Elle augmente ainsi les moyens accordés à l’armée afin de répondre aux menaces futures. Toutefois, certaines dispositions visent à étendre les pouvoirs de l’Agence nationale de sécurité des systèmes d’information (ANSSI) en cas de « menace susceptible de porter atteinte à la défense et à la sécurité nationale » (I) mais aussi en renforçant les obligations des éditeurs de logiciel (II).
Les pouvoirs étendus de l’ANSSI
Créé par l’article 64 de la LPM, l’article L.2321-2-3 du Code de la défense dispose à son paragraphe 1 :
« Lorsqu’il est constaté qu’une menace susceptible de porter atteinte à la défense et à la sécurité nationale résulte de l’exploitation d’un nom de domaine à l’insu de son titulaire qui l’a enregistré de bonne foi, l’autorité nationale de sécurité des systèmes d’information peut demander à ce titulaire de prendre les mesures adaptées pour neutraliser cette menace dans un délai qu’elle lui impartit et qui tient compte de la nature de ce titulaire ainsi que de ses contraintes opérationnelles. »
En l’absence de neutralisation dans le délai imparti, elle peut demander le blocage ou la suspension du nom de domaine.
Ces demandes de blocage ou de suspension auprès des fournisseurs de système de résolution de noms de domaines ou aux offices d’enregistrement ne peuvent toutefois être inférieure à 2 jours ouvrés.
Toutefois, les nouveaux pouvoirs ne sont pas sans limites et demeurent contrôlés.
En effet, ces mesures ne peuvent être prise que si elles sont « strictement nécessaires et proportionnées dans leurs effets à la préservation de l’intégrité du réseau, à la caractérisation et à la neutralisation de la menace et à l’information des utilisateurs ou des détenteurs des systèmes affectés, menacés ou attaqués. » Elles peuvent dans certains cas excéder une durée de deux mois et prennent fin dans tous les cas, sans délai, lorsque la menace est neutralisée.
Enfin, ces mesures sont soumises au contrôle a posteriori de l’Autorité de régulation des communications électroniques (Arcom). L’article L.36-14 du Code des postes et télécommunications dispose ainsi que l’Arcom est informée sans délai des mesures mises en œuvre par l’ANSSI dans le cadre de ces nouvelles prérogatives, dispose d’un accès complet aux données recueillies dans ce cadre et peut adresser à tout moment à l’ANSSI toute recommandation qu’elle juge nécessaire afin « d’assurer la régularité des mesures mises en œuvre ». Si l’ANSSI ne donne pas suite à ces recommandations, l’Arcom peut l’enjoindre d’interrompre les opérations et peut saisir le Conseil d’Etat si elle ne se conforme pas à ces injonctions.
Les nouvelles obligations des éditeurs de logiciel
Qui est concerné ?
Créé par l’article 66 de la LPM, le nouvel article L.2321-4-1 du Code de la défense prévoit, quant à lui une nouvelle obligation de notification particulièrement contraignante aux éditeurs de logiciel.
Avant de rentrer dans le détail de cette nouvelle obligation, il convient de s’attarder sur les personnes concernées par celle-ci. Le nouvel article L.2321-4-1 du Code de la défense définit un éditeur de logiciel comme « toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d’utilisateurs, à titre onéreux ou gratuit ».
L’article précise également que cet article s’impose aux éditeurs qui fournissent le produit logiciel sur le territoire français, à des sociétés ayant leur siège social sur le territoire français ou à des sociétés contrôlées par des sociétés ayant leur siège social sur le territoire français.
Quelles obligations ?
Ce nouvel article du Code de la Défense prévoit que les éditeurs de logiciels doivent « en cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits » notifier à l’ANSSI cette vulnérabilité ou cet incident ainsi que l’analyse de ses causes et de ses conséquences.
Bien que l’article ne définisse pas la notion de vulnérabilité significative, il considère qu’un incident informatique comme étant « tout événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement ou des services que les réseaux et les systèmes d’information offrent ou rendent accessibles », englobant ainsi l’écrasante majorité des failles de sécurités.
A la suite de cette notification à l’ANSSI, les éditeurs doivent également informer les utilisateurs des produits logiciels concernés dans un délai fixé par l’ANSSI en fonction de :
- L’urgence ;
- Des risques pour la défense et la sécurité nationale ;
- Du temps nécessaire pour prendre les mesures correctives.
A défaut de notification à l’utilisateur dans ce délai imposé, l’ANSSI peut enjoindre à l’éditeur de le faire où procéder elle-même à cette information ou rendre public l’incident ou la vulnérabilité en question.
Avant de pouvoir s’appliquer, un décret en Conseil d’Etat devra définir les modalités d’application de ce nouvel article et notamment précise les critères d’appréciation du caractère significatif de la vulnérabilité ou de l’incident.