Actuellement examinée à l’Assemblée nationale, la Loi programmation militaire 2019-2025 (LPM) vise à renforcer les moyens militaires de la France et, en particulier, son arsenal pour lutter contre les cybermenaces. Elle prévoit notamment des moyens de contrer les attaques d’envergure de type rançongiciels (Ransomware) comme WannaCry, Petya ou NotPetya, déployés contre les réseaux de communication français. Lesquels ne sont, aujourd’hui, pas suffisamment surveillés, car les opérateurs télécoms n’ont pas le droit d’analyser le contenu du trafic qui passe dans leurs tuyaux – sauf dérogation exceptionnelle. Une gigantesque faille dans la cybersécurité française.
La surveillance des réseaux : légale mais volontaire
C’est justement ce que cherche à combler l’article 19 de la LPM en espérant que, sur la base du volontariat, les opérateurs français (Orange, SFR, Bouygues, Free…) jouent le jeu du ministère des Armées. Il s’agirait alors d’installer des systèmes capables de détecter en temps réel les virus susceptibles d’altérer la sécurité des systèmes d’information de leurs abonnés. Une fois votée, la LPM pourra donc leur donner le droit de rechercher les virus dans leurs réseaux. À la clé, les opérateurs auront aussi l’opportunité d’accroître la qualité de leur service. En échange, l’Agence nationale de sécurité des systèmes d’information (ANSSI) fournira aux opérateurs la signature de certains virus afin de les aider à mieux les détecter et les neutraliser.
Obligation de transparence et respect des données
Le cas échéant, les opérateurs seront tenus de prévenir sans délai leurs abonnés du danger et de son impact sur leurs systèmes d’information. Pas question pour autant que cette vigilance de la part des opérateurs ne soit l’occasion de légitimer l’espionnage des Français, prévient le ministère des Armées. À cet égard, l’article 19 du projet de loi stipule que « les données recueillies autres que celles directement utiles à la prévention des menaces [doivent être] immédiatement détruites ».
Protection musclée des OIV
En cas d’attaque imminente contre des autorités publiques ou des opérateurs d’importance vitale (OIV), l’ANSSI sera habilités à installer des systèmes de détection des menaces directement chez les opérateurs ou hébergeurs. Les agents de l’ANSSI pourront donc recueillir et analyser les données pertinentes afin de caractériser la future attaque. Une nouveauté puisque, jusqu’ici, l’agence n’avait pas le droit de prendre le contrôle d’un hébergeur pour savoir qui se cachait derrière l’attaque. Quant aux données en question, elles pourront être conservées cinq ans maximum. Pour sa part, l’Autorité de régulation des communications électroniques et des postes (Arcep) sera chargée de veiller au respect par l’ANSSI de la nouvelle réglementation. Espérons que cet arsenal augmentera la résilience de la France face aux cyberattaques sans déroger à la liberté des citoyens et des entreprises.
Erick Haehnsen
Commentez