Le projet de loi de programmation militaire entre aujourd'hui en débat au Sénat. Il contient plusieurs mesures touchant aux nouvelles technologies, multipliant notamment les pouvoirs de l'Agence nationale sur la sécurité des systèmes d'information et ceux de la police ou de la gendarmerie. Il modifie à cette fin le régime des réquisitions administratives, mais également du code pénal ou celui de la propriété intellectuelle. Analyse.
Patrick Pailloux, aux Assises de la sécurité à Monaco (octobre 2013)
Dans le cadre du projet de loi de programmation militaire discuté aujourd’hui au Sénat dès 11 heures, le gouvernement a ébauché la politique de recrutement au sein de l’ANSSI, l’agence nationale des systèmes d’informations.
Campagne de recrutements
Comme le montre cet amendement tout juste déposé par l'exécutif, ses effectifs devront ainsi atteindre 500 agents en 2015, mais seront « régulièrement augmentés, à la hauteur des efforts consacrés par nos principaux partenaires européens », histoire de ne pas laisser cette agence à la traine.
Cette agence gouvernementale qui a en charge« de proposer les règles à appliquer pour la protection des systèmes d’information de l’État et de vérifier l’application des mesures adoptées » va ainsi voir ses moyens humains monter en flèche, du moins selon le rythme suivi par ses équivalents européens.
Dans le secteur de la cyberdéfense, la même politique volontariste va être suivie : toujours selon le gouvernement, le ministère de la Défense lancera le recrutement d’au moins 350 personnes supplémentaires entre 2014 et 2019.
Ces mesures sont en pleine phase avec le livre blanc sur la Défense qui réclamait en avril dernier « d’augmenter de manière très substantielle le niveau de sécurité et les moyens de défense de nos systèmes d’information, tant pour le maintien de notre souveraineté que pour la défense de notre économie et de l’emploi en France ». À cette fin, il demandait que les moyens humains soient renforcés « à la hauteur des efforts consentis par nos partenaires britannique et allemand ».
Contre-mesure en cas d’attaques informatiques
Le projet de loi de programmation militaire est riche puisqu’avec lui, les services de l’État seront autorisés à mettre en place des contres mesures en cas d’attaque informatique touchant au potentiel de guerre ou économique, à la sécurité ou à la capacité de survie de la Nation (notre actualité).
Dans ce cadre, ils seront en droit de neutraliser les effets de cette attaque tout en se voyant autoriser à accéder aux systèmes d'information qui en sont à l'origine. Afin de parfaire leur formation, ses équipes se voient accorder le droit de détenir une armada d’outils servant normalement au piratage informatique, « en vue d'analyser leur conception et d'observer leur fonctionnement. »
Le texte modifie d’ailleurs le droit pénal de l’informatique. Si à ce jour il est interdit de posséder sans motif légitime un outil servant au piratage informatique sous toutes ses formes, le projet de loi autorise expressément cette détention à des fins de recherche ou de sécurité informatique. De même, il modifie l’exception de décompilation prévue par le code de la propriété intellectuelle en acceptant là encore expressément l’analyse de la sécurité informatique de tels bouts de code logiciel.
Les opérateurs d’infrastructure vitale
Dans ce projet de loi, les Opérateurs d’Infrastructure Vitale (OIV) se verront imposer des normes de sécurité bien précises, notamment en cas de crise majeure. Sous ce terme générique, on trouve des acteurs tels les banques, les centrales nucléaires et autres acteurs de l’énergie, les acteurs des télécoms ou des transports, etc. Sont également visés, les autres acteurs publics ou privés en liaison avec ces OIV « dont l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ».
L’ANSSI se verra en capacité de leur imposer toute une série de règles d’hygiène informatique et notamment des règles de détection, sous son contrôle et sous la menace de lourdes amendes. Ces acteurs devront informer sans délai le premier ministre des incidents touchant au fonctionnement ou à la sécurité de leur système. Tous les coûts afférents à cette mise à niveau ou aux opérations de contrôle seront à la charge des opérateurs. Le coût de ces mesures est difficilement quantifiable. Interrogé lors des Assises de la sécurité à Monaco, Patrick Pailloux s’est contenté d’une pirouette : « On a fait des estimations qui ne sont pas forcément diaboliques. Ce ne sera pas forcément cher. Déjà, si on débranche d’internet ces systèmes SCADA (Supervisory Control And Data Acquisition ou système de contrôle commande, NDLR), on aura significativement progressé. Et se débrancher d’Internet, cela coûte le prix des ciseaux ».
Toujours aux Assises, le numéro un de l’ANSSI, a souligné l’importance de ces nouveaux pouvoirs face à ces acteurs de premier ordre. « Ces technologies sont le système nerveux de nos nations. Notre survie, au sens étroit du terme, dépend parfois du bon fonctionnement des systèmes d’information : équipements médicaux, transport aérien et ferroviaire, production et distribution d’énergie, transport de l’eau, etc. Or, justement, ces systèmes de contrôle-commande sont en train de migrer à grande vitesse vers l’IP voire d’être connectés à internet sans qu’on se soit préoccupé de leur sécurité. »
L’ANSSI et les données de connexion des systèmes vulnérables
Le projet de loi de programmation militaire ne s’intéresse pas seulement à la situation des OIV. Ce même texte va en effet encore affûter les connaissances des autorités sur ce qui se passe sur les réseaux. Avec l’article 16 bis, ajouté en Commission parlementaire au Sénat, les agents de l’ANSSI pourront être habilités par le premier ministre à obtenir de n’importe quel opérateur télécom « l'identité, l'adresse postale et l'adresse électronique d'utilisateurs ou de détenteurs de systèmes d'information vulnérables, menacés ou attaqués ». Ils pourront se voir délivrer n’importe quelle donnée de connexion « pour les besoins de la prévention des atteintes aux systèmes de traitement automatisé ». Cependant, ces mesures seront conditionnées aux besoins de la sécurité des systèmes d'information de l'État et des opérateurs d’infrastructure vitale.
Des pouvoirs de police et de gendarmerie considérablement accrus
L’article 13 mérite une attention plus particulière puisqu’il concerne spécifiquement la lutte contre le terrorisme et le régime des réquisitions administratives. À la demande de Manuel Valls, les services de police et de gendarmerie pourront dorénavant accéder en temps réel aux données de connexion chez les opérateurs télécoms. Jusqu’à présent, ces mêmes entités ne pouvaient accéder qu’aux données de connexion (IP, etc.) grâce à ce cadre très flou mis en place temporairement en 2006, mais reconduit depuis lors de manière automatique. Avec la loi de programmation militaire, les forces de l’ordre traqueront par exemple tel utilisateur, tel abonné afin notamment de géolocaliser ses mouvements en direct.
Le président de la commission des lois, le socialiste Jean-Pierre Sueur, regrette cette extension des pouvoirs dans ce régime qui ne devait durer qu’un temps. Dans un amendement, il souhaite que ces opérations s’inscrivent dans la durée, mais soient désormais plus encadrées (notre actualité) : autorisées par le premier ministre, elles ne seraient envisageables que sur demande écrite et motivée du ministre de la Défense, de l’Intérieur ou des Douanes avec contrôle a posteriori de la Commission nationale de contrôle des interceptions de sécurité.
Un encadrement nettement plus net alors que ces réquisitions se satisfont aujourd’hui que de l’avis d’une personnalité qualifiée auprès du premier ministre.
Commentaires (41)
#1
vu ce qu’on vient d’apprendre sur le siphonnage des données téléphoniques des français par la NSA, il serait temps en effet de s’inquiéter.
J’imagine que l’ANSSI, tout comme moi, serait curieuse de savoir comment la NSA arrive à récupérer les données téléphoniques en France.
#2
tout à fait hellmut
pour faire encore moins cher que couper avec des ciseaux, suffit de débrancher ;)
#3
#4
#5
#6
J’espère qu’en hauts-lieux, Leonarda sera consultée !
#7
salut
" />
on le voit la frontière “est tenue” ENTRE: la lutte contre le terrorisme..ET le respect de
la vie privée !
SI..y-a un attentat (réussi) ..“que fait la Police” ?
(oh la la..c’est pas évident tout ça)
#8
#9
#10
#11
Ce ne sera pas forcément cher. Déjà, si on débranche d’internet ces systèmes SCADA (Supervisory Control And Data Acquisition ou système de contrôle commande, NDLR),
Un aveu que Flame et Stuxnet n’auraient pas seulement touchés l’Iran ?
Pour le reste on officialise ce qui se faisait déjà avant mais à l’arrache. Maintenant on sécurise les fonctionnaires d’état contre tout retour de flamme judiciaire genre Tarnac et ses écoutes “sauvages” à l’ancienne (bretelle sur l’armoire du bout de la rue).
J’imagine que l’ANSSI, tout comme moi, serait curieuse de savoir comment la NSA arrive à récupérer les données téléphoniques en France.
Maintenant, je sais pourquoi ma connexion rame de temps en temps
#12
MÉFIANCE ! MÉFIANCE ! MÉFIANCE !
#13
Et puis bien sûr, comme d’habitude, le système servira à nous traquer pour des amendes impayées, relever des infractions sans savoir qui conduisait, ou simplement pour servir de base de données pour nos habitudes de consommation afin de recevoir des pubs ciblées, dans quel hypermarché on se rend, si on fait un détour avant de rentrer chez soi, si on est allé voter et pour qui pendant qu’on y est, etc…
" />
Ce qui, pendant qu’on traque les honnêtes gens, n’empêchera pas les cambriolages d’exploser, la came de circuler, l’économie souterraine de prospérer, et c’est ça qui m’énerve.
#14
#15
Ôh ! Yeahhhhhhhhh…
" />
on va bientôt posséder notre propre frenchy NSA
On va au moins pouvoir être doublement espionné de façon certaine, c’est trop cool
Bon, en même temps, il serait crédule de penser que les Chinois, les Russes, les… ne pratiquent pas la surveillance.
#16
#17
A tous ceux qui veulent devenir le prochain Snowden, c’est le moment de postuler.
" />
#18
#19
De toute façon on sait bien qu’on est espionné. Si on veut rester un tant soit peu une nation majeure , on a intérêt à avoir des défenses qui tiennent la route : on a la bombe atomique pour ce qui concerne un attaque militaire conventionnelle (tu nous attaques avec tes chars/avions, soit on est en mesure de te repousser avec des armes conventionnelles et on le fait, soit non et on te bombes atomique la tronche=> arme de dissuasion donc). Maintenant, si on nous attaque informatiquement (genre on prend le contrôle des aiguillage de la SNCF, des barrages hydrauliques, des centrales nucléaires et j’en passe…) : 1/ faut savoir qu’on est piraté et pas juste, gros bug, 2/ faut savoir qui nous attaque! , 3/ faut savoir répondre (et effectivement ce serait mieux de les repousser informatiquement que de leur envoyer une bomba atomique sur la tronche ou d’envoyer les chars/avions car il se pourrait qu’on ne puisse plus+faire des milliers/millions de morts vs une attaque informatique : ça aurait du mal à passer au niveau international voire national).
Donc je pense qu’il faut absolument que la France se dote d’une force de défense et d’attaque au niveau informatique, tout comme nous avons des moyens conventionnels de très haut niveau (pas en nombre par contre… mais à la pointe) et la fameuse bombe atomique.
#20
#21
#22
Sauf que en bas de la page : CDD 3 ans. En gros, contractuel, et variable d’ajustement de la dépense publique. Non merci.
Haha! plein de petits snowden en préparation
le consultant français qui va nous faire découvrir frenchelon de l’intérieur.
#23
#24
#25
#26
#27
Le truc important à savoir, c’est le taux de “turn-over” qui je pense est moins important dans ces administrations justement.
Dans l’administration, il y a des gens en CDD sur le même poste depuis parfois 20 ans : journalistes, postiers, profs, techniciens etc.
#28
#29
#30
tu rigoles mais ça m’a fait penser à la guéguerre Free/Google à propos de Youtube.
Google qui voulait, pour résoudre les problèmes de tuyaux, placer des serveurs à eux directement en coeur de réseau chez Free…
après j’en sais rien hein, à tous les coups ça n’a rien à voir.
De manière purement pratique, un tel flux de données congestionne forcément le réseau à un moment ou à un autre. Même si ça ne traverse pas l’Atlantique (la NSA a des bases un peu partout en UE, comme en Allemagne et en GB) copier un tel flux de données, ça en prend de la bande passante.
Après laisser placer des serveurs étrangers soumis au patriot act, dans un coeur de réseau, c’est claire que c’est ouvrir la porte de la bergerie au loup.
#31
#32
Oh cool, un Patriot Act français maintenant. Supayre.
#33
#34
regle n°1 : virer windows, passer à Un*x
regle n°2 : avoir son propre serveur root DNS, parce que les ricains traffiquent l’infrastructure meme du web.
quoi d’autre?
#35
Ca fait des décennies qu’on a donné notre souveraineté à l’Europe et donc aux USA.
Alors le livre blanc il me fait bien rire…
edit : encore un truc à 30 millions d’euros
#36
“Edward ! Y’a une place disponible pour toi !”
" />
“Ah, on me dit dans mon oreillette qu’on ne veut pas de toi en France…”
“Désolé…”
#37
Ctrl f : Microsoff 0 response
Je m’attendais à voir du crosoft sachant qu’on parle de secret défense militaire. C’est un pan entier qui n’est pas mis en relation quant à la transmission d’information transatlantique, “ fine guerre in ze noze “.
Déçu de l’INpact oublié de ce détail, dans cet article. /semigrilled post 34
#38
Tiens, à l’heure où le ministère de la Défense subit (une fois de plus) des coupes budgétaires massives – c’est tellement plus facile avec la Grande Muette – voilà pourtant qu’ils mettent le paquet sur ce qui ressemble à un ensemble d’outils de flicage contrôle… l’enfer étant pavé de bonnes intentions et les prétextes possibles nombreux je sens très moyennement ce genre d’initiatives !
J’espère me tromper quant à ce qui paraît se dessiner à moyen terme dans notre pays notamment.
#39
#40
#41
Ils arrivent même pas d’arrêter de se faire pomper par les US alors pour la France…
" />