Le projet de loi de programmation militaire en matière de cyberdéfense
Le 12 avril 2023, le ministre des Armées Sébastien Lecornu a présenté en Conseil des ministres le projet de loi relatif à la programmation militaire pour les années 2024 à 2030. Le projet de loi se concentre notamment sur la cyberdéfense et les noms de domaine et prévoit à ce titre, à son Chapitre 5 intitulé « Sécurité des systèmes d’information », quatre articles permettant à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) de lutter plus efficacement contre les cyber-attaquants et de mieux remédier aux effets de leurs attaques.
L’article 32 du projet autorise l’ANSSI à prescrire des mesures de filtrage de noms de domaine aux hébergeurs, aux fournisseurs d’accès à Internet et aux bureaux d’enregistrement de noms de domaine. L’objectif est de neutraliser l’utilisation d’un nom de domaine par un cyberattaquant qui menace la sécurité nationale.
Ces mesures peuvent consister dans le blocage du nom de domaine ou à sa redirection vers un serveur sécurité de l’ANSSI. La loi précise que ces mesures sont mises en œuvre pour « la durée et dans la mesure strictement nécessaires et proportionnées à la préservation de l’intégrité du réseau ».
L’article 33 prévoit la communication à l’ANSSI des données techniques, non identifiantes, enregistrées temporairement par les serveurs DNS qui établissent la correspondance entre le nom de domaine et l’adresse IP des machines d’un réseau. De telles données permettent de détecter les serveurs mis en place par les attaquants et d’établir la chronologie de leurs attaques.
L’article 34 oblige les éditeurs de logiciel, victimes d’un incident informatique ou ayant une vulnérabilité significative sur un de leur produit fourni sur le territoire français, à le notifier à l’ANSSI et à en informer leurs utilisateurs. Cette mesure a pour but d’accroître la transparence sur les incidents et vulnérabilités affectant les logiciels. Elle permet également à l’ANSSI de rendre public la vulnérabilité.
L’article 35 modifie plusieurs dispositions législatives afin d’améliorer la détection des menaces chez les acteurs du numérique. Il permet à l’ANSSI de mettre en œuvre des marqueurs techniques ou des dispositifs permettant le recueil de données sur le réseau d’un opérateur de communications électroniques. Il donne aux autorités compétentes le pouvoir de recueillir des données et de les analyser pour protéger les entités particulièrement sensibles. Enfin, il impose aux « opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique » de recourir à des marqueurs techniques fournis par l’ANSSI afin de détecter les menaces cyber. Si l’ANSSI a connaissance d’une telle menace, elle peut demander à l’opérateur d’utiliser le marqueur.
A noter que le projet de loi ne contient aucune disposition spécifique concernant les noms de domaine enregistrés sur la blockchain. L’articulation de ces mesures avec ces nouveaux noms de domaine (tels que .nft ou .blockchain par exemple) pourraient donc s’avérer périlleux.
Pour en savoir plus :
– Le projet de loi relatif à la programmation militaire pour les années 2024 à 2030
