Renforcement de la cyber dans le Projet de loi de programmation militaire français : Impacts sur la cybersécurité civile et les entreprises

Le texte prévoit pour les opérateurs « d’importance vitale » (telles que les entreprises qui fournissent des services essentiels à la population, tels que l'eau, la finance, l'énergie, les transports, les communications.. visés dans le code de la défense) d’identifier leurs données sensibles et de s’assurer qu’elles ne sont pas confiées à des sociétés installées en dehors de l’Union européennes ou contrôlées par des entités extra européennes”.

L’ambition du texte est de contenir les traitements et données au sein de l’UE et non plus d'utiliser par exemple des fournisseurs de cloud, tels que les GAFAM soumis à des législations extraterritoriales.

Être responsable de ses sous-traitants

Les organismes concernés ne pourront également plus confier en sous traitance les traitement à une société dont le capital social et les droits de vote sont, “directement ou indirectement, détenus individuellement à plus de 24 % et collectivement à plus de 39 %, par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non-membre de l’Union européenne”.


Ces mesures doivent permettre de renforcer la sécurité contre les intrusions, utilisation d’information et garantir une protection renforcée contre les cyberattaques et les actes de malveillance.

Le renforcement de la cybersécurité militaire et des exigences envers les opérateurs vitaux auront, par ruissellement, des conséquences pour les entreprises et le secteur civil de manière générale.

Les mesures de sécurité exigées par la LPM seront par rebond transposées à d'autres secteurs et ainsi vont doper les exigences en matière de cybersécurité.
Il paraît nécessaire aux entreprises de se préparer rapidement aux changements à venir.

D’autres implications pour la cybersécurité des entreprises

Les mesures prises dans le cadre du Projet de loi de programmation militaire auront d’autres implications pour la cybersecurite civile.
Le texte instaure de nouveaux pouvoirs à l’ANSSI. L’ANSSI pourra prescrire des mesures graduelles de filtrage de noms de domaine aux hébergeurs, aux fournisseurs d’accès à Internet (FAI) et aux bureaux d’enregistrement de noms de domaine. Le but est de neutraliser l’utilisation dévoyée d’un nom de domaine par un cyber attaquant et de mieux comprendre et contrer ses modes opératoires.

L’ANSSI formera une injonction à prendre des mesures adaptées, à bloquer ou suspendre le nom de domaine, mais aussi à rediriger sans délai les noms de domaine concernés vers un serveur neutre ou sécurisé de l’ANSSI, à enregistrer, renouveler, suspendre et transférer des noms de domaine.
La communication obligatoire à l’ANSSI des données techniques, non identifiantes, enregistrées temporairement par les serveurs DNS qui établissent la correspondance entre le nom de domaine et l’adresse IP des machines d’un réseau), est instaurée.

De telles données permettent de détecter les serveurs mis en place par les attaquants et d’établir la chronologie de leurs attaques.

De nouvelles obligations pour les éditeurs

Une mesure incitative est instaurée pour obliger les éditeurs de logiciel victimes d’un incident informatique sur leurs SI, ou ayant une vulnérabilité significative sur un produit fourni sur le territoire français, à des entreprises établies en France ou contrôlées par ces dernières, à le notifier à l’ANSSI et à en informer leurs utilisateurs.

Cette mesure vise à accroître la transparence sur les incidents et vulnérabilités affectant les logiciels et permet à l’ANSSI de rendre publique la vulnérabilité ou l’incident ainsi que l’injonction lorsque l’éditeur n’y a pas répondu. La mesure vient en cohérence avec le RGPD et les autres cadres réglementaires cyber en cours.

Un ensemble de dispositions renforçant les différentes capacités de détection chez les acteurs du numérique à des fins de meilleures prévention et caractérisation des menaces sera déployé.

L’accès aux réseaux

Le texte étend les données recueillies au contenu des communications qui transitent par les réseaux (pouvant lui révéler l’identité des victimes, etc.) et, plus largement, en permettant à l’ANSSI d’obtenir la copie du serveur utilisé par l’attaquant.

Le texte inclut les opérateurs de centres de données dans le périmètre des opérateurs sur lesquels l’ANSSI pourrait apposer des marqueurs techniques ou obtenir la copie de leurs serveurs.

Il englobe les sous-traitants des autorités publiques, des opérateurs d’importance vitale et des opérateurs de services essentiels au profit desquels l’ANSSI peut détecter et caractériser des événements susceptibles d’affecter la sécurité de leurs systèmes d’information.

Les hébergeurs de données seront tenus de communiquer l’identité des utilisateurs

Le texte instaure également l’obligation pour les opérateurs de communications électroniques (OCE) qui sont opérateurs d’importance vitale (OIV) de se doter de capacités de détection.

L’obligation de communication de l’identité et de l’adresse d’utilisateurs ou de détenteurs de SI vulnérables est étendue aux hébergeurs de données ainsi que la communication des données techniques des sous-traitants des OIV, OSE et autorités publiques.

L’ambition est de redonner la responsabilité aux donneurs d’ordre qui réalisent des réseaux et hébergement de données par l’intermédiaire du recours aux sous-traitants et aux technologies en nuage.
Un décret viendra préciser les modalités.

Patrice REMEUR pour Prorisk cyber