Le Livre Blanc sur la Défense et la Sécurité Nationale avait annoncé la couleur en matière de lutte contre les cybermenaces. Ce document publié en juillet 2013 indiquait « s'agissant des activités d'importance vitale pour le fonctionnement normal de la Nation, l'Etat fixera par un dispositif législatif et réglementaire approprié, les standards de sécurité à respecter à l'égard de la menace informatique et veillera à ce que les opérateurs prennent les mesures nécessaires pour détecter et traiter tout incident informatique touchant leurs systèmes sensibles ».

Il ajoute un peu plus loin, « la capacité informatique offensive, associée à une capacité de renseignement, concourt de façon significative à la posture de cybersécurité ». La transposition législative du Livre Blanc est la loi de programmation militaire qui était en débat au Sénat et arrive en discussion à l'Assemblée Nationale.

Une extension du régime dérogatoire de collectes de données

Lors des échanges à la chambre haute, l'association des services Internet communautaires (ASIC) regroupant des acteurs comme Google, Yahoo, Microsoft est montée au créneau contre la création d'un régime d'exception en matière d'accès aux données des internautes. L'association constate que  le Sénat a instauré de très nombreuses dispositions destinées à renforcer et à étendre le régime d'exception créé à l'occasion de la loi antiterrorisme de 2006 en matière d'accès aux données des utilisateurs.

Ce régime dérogatoire concernera « la recherche des renseignements intéressant la sécurité nationale », « la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France » et « la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous ». Cela signifie que les demandes d'informations ne sont pas placées sous la direction ou la surveillance de l'autorité judiciaire et peuvent concerner toutes les infractions. En complément, le Sénat a indiqué que « les données peuvent être recueillies sur sollicitation du réseau et transmises en temps réel par les opérateurs aux agents ». L'association se demande si derrière la « sollicitation du réseau » ne se cache pas « un cadre juridique à une interconnexion directe sur les réseaux » et donc la mise en place de systèmes d'interception dans les réseaux des FAI, les opérateurs ou les sites web.

Une prolifération des demandeurs

De plus, l'Asic s'inquiète de la multiplication des intervenants capables de demander des accès administratifs aux données personnelles. Le texte cite « des agents des services relevant des ministres chargés de la Sécurité Intérieure, de la Défense, de l'Economie et du Budget. Les agents de l'ANSSI pourront également s'adresser aux fournisseurs d'accès à l'Internet pour obtenir l'identification de toute adresse IP notamment pour prévenir la lutte contre les piratages informatiques ».

En pleine affaire Snowden qui a montré le développement très complexe et élaboré du système d'espionnage de la NSA, la discussion sur la cybersécurité dans la loi de programmation militaire interpelle sur la frontière entre ce qui est autorisé et ce qui ne l'ait pas. L'affaire Prism a démontré l'absence de contrôle sur les outils de collectes de données personnelles, comme le montre le siphonage des serveurs de Google par exemple. Pour nos confrères de Numerama, il s'agit ni plus, ni moins que de l'installation d'une loi martiale numérique notamment à travers l'article 15 qui prévoit  que le Premier ministre peut ordonner toute mesure aux FAI et autres hébergeurs « pour répondre aux crises majeures menaçant ou affectant la sécurité des systèmes d'information ». La balle est maintenant dans le camp des députés qui peuvent décider de suivre la voie des sénateurs ou bien atténuer le texte.