Le gouvernement français a pris la mesure de la guerre en Ukraine et des cyberattaques, dont la menace devient une priorité nationale. Loi d’urgence dans une certaine mesure, la nouvelle Loi de Programmation Militaire, publiée le 1er août 2023, couvre la période 2024-2030. Elle remplace donc la LPM prévue pour 2019-2025. Cette mise à jour couvre notamment les sujets du numérique et de la cybersécurité. Les acteurs du logiciels, des télécommunications, des datas sont concernés par les dispositions d’un contexte d’« économie de guerre ». Les décrets d’application sont attendus.
Passons en revue quelques dispositions impactant notamment les entreprises du numériques, mais aussi toute entreprise développant ses applications, regroupées dans les articles 64 à 60 du Chapitre V (Sécurité des systèmes d’information). De manière générale, elles auront à répondre à « l’autorité nationale de sécurité des systèmes d’information », c’est-à-dire l’Anssi.
Editeurs de logiciels, Gafam compris
L’article 66 vise les éditeurs de logiciels, mais attention, cette appellation est à prendre au sens large : non seulement les sociétés d’édition de logiciels proprement dite et les développeurs indépendants, mais aussi les entreprises utilisatrices qui auraient développé leur application. En effet le texte stipule : « Pour l’application du présent article, on entend par éditeur de logiciel toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d’utilisateurs, à titre onéreux ou gratuit. »
L’article prévoit : « En cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits, les éditeurs de logiciels notifient à l’autorité nationale de sécurité des systèmes d’information cette vulnérabilité ou cet incident ainsi que l’analyse de ses causes et de ses conséquences. ». Notons que les éditeurs étrangers et les Gafam n’échappent pas à ces obligations, si elles « fournissent ce produit sur le territoire français »
Des sondes ou l’enregistrement des données en cas d’incidents chez les opérateurs, les hébergeurs, les datacenters
Afin de garantir la défense et la sécurité nationale, l’autorité de sécurité, lorsqu’elle a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information des autorités publiques ou des opérateurs critiques , pourra placer des marqueurs ou procéder au recueil des données (conservées jusqu’ à 5 ans), sur le réseau d’un opérateur de communications électroniques, sur le système d’information d’une entreprise critique, ou d’un opérateur de centre de données, stipule l’article 67. Ceci afin de détecter et de caractériser des événements susceptibles d’affecter la sécurité des systèmes d’information des autorités publiques, des opérateurs jugés critiques et des opérateurs publics ou privés participant aux systèmes d’information de ces entités.
Protéger les noms de domaine contre l’usurpation
Dans le cas de campagne de phishing reprenant le nom d’une société, celle-ci aurait la responsabilité d’intervenir. Les articles 64 et 65 stipulent en effet : « Lorsqu’il est constaté qu’une menace susceptible de porter atteinte à la défense et à la sécurité nationale résulte de l’exploitation d’un nom de domaine à l’insu de son titulaire qui l’a enregistré de bonne foi, l’autorité nationale de sécurité des systèmes d’information peut demander à ce titulaire de prendre les mesures adaptées pour neutraliser cette menace dans un délai qu’elle lui impartit et qui tient compte de la nature de ce titulaire ainsi que de ses contraintes opérationnelles. »
A défaut, l’Autorité pourra demander de procéder au blocage ou à la redirection du nom de domaine vers un serveur sécurisé de l’autorité nationale ou vers un serveur neutre. n
Texte complet : https://www.legifrance.gouv.fr/jorf/id/JORFSCTA000047914997
