Dans le cadre du projet de loi relatif à la programmation militaire sur la période 2024-2030, l'Assemblée nationale a adopté une série d'articles visant à renforcer la sécurité des systèmes d'information et par la même occasion étendre les pouvoirs et les prérogatives de l'agence nationale de la sécurité des systèmes d'information. Ce 1er juin, les députés réunis dans un Hémicycle assez clairsemé (jusqu'à un maximum de 89 votants pour cette session parlementaire de près de 4h20) ont ainsi voté les 4 articles (32, 33, 34 et 35) de la LPM couvrant ces enjeux.
Dans le détail, l’article 32 autorise l'Anssi, lorsqu’il est constaté qu’une menace est susceptible de porter atteinte à la sécurité nationale, de demander à un fournisseur de système de résolution de noms de domaine de bloquer, suspendre ou rediriger des noms de domaine vers un de ses serveurs sécurisés ou vers un serveur neutre, dans un délai qui ne peut être inférieur à 48h. Un délai qui n'a pas manqué de faire réagir l'opposition sur les bancs de l'Assemblée : « Je suis sceptique sur la portée de cet article 32 sur la nécessité et sur le délai proposé. 72h serait le minimum pour pouvoir éventuellement faire valoir ses droits devant le tribunal administratif qui est aussi le délai minium du référé liberté », a fait savoir Ugo Bernalicis, député de la Nupes. « On attire aussi l'attention sur l'existence de plateformes régionales qui servent à renvoyer vers des personnes privées chargées de faire de la sécurité privée. On s'interroge sur l'augmentation des prérogatives d'une agence gouvernementale qui fait du passe-plat avec le privé ».
10 voix contre l'article 35
Les députés ont également voté favorablement pour l'article 33 qui, va amener - pour les besoins de sécurité des systèmes d’information et aux seules fins de détecter et de caractériser des attaques informatiques - les opérateurs de communications électroniques ou les fournisseurs de système de résolution de noms de domaine, de transmettre aux agents habilités de l'Anssi des données techniques non identifiantes enregistrées de manière temporaire par leurs serveurs gérant le système d’adressage par domaines. Cela concerne les données en cache des serveurs de noms de domaine incluant en particulier les adresses IP, données techniques d'authentification et horodatage, en vue de connaître avec précision le mode opératoire des attaquants. L'Assemblée nationale a aussi validé l'article 34 qui oblige les éditeurs de logiciels - installés en France, ayant un siège social en France ou contrôlé par des sociétés ayant leur siège en France - à notifier à l'Anssi tout incident informatique ou vulnérabilité significative affectant un de leurs produits, aussi bien que l'analyse de leurs causes et de leurs conséquences.
Le dernier article (35) - qui a réveillé l'hémicycle - à avoir obtenu l'aval des députés, a concerné la possibilité de mise en oeuvre par l'Anssi sur le réseau d'un opérateur de communications, de datacenter ou d'un acteur de la confiance numérique, des marqueurs techniques (autrement appelé sonde) afin de recueillir des données réseau ou d'un système d'information. Les données techniques directement utiles à la prévention et à la caractérisation des menaces ne peuvent être conservées plus de deux ans, sachant que les autres informations ne rentrant pas dans ce champ devront alors être immédiatement détruites. Adopté à 76 voix pour et 10 contre (le nombre le plus élevé des 4 articles concernant le chapitre SSI de la LPM 2024-2030), l'article 35 n'a pas manqué de faire réagir : sur les bancs socialistes, des incertitudes concernant sa portée et le contrôle effectif par l'Arcep a été pointé, tandis que les députés de la Nupes se sont interrogés sur son impact sur les libertés publiques.
La promulgation de la LPM 2024-2030 est attendue début juillet 2023, l'ensemble de ses articles devant, d'ici là, être discutés et votés par les sénateurs.