Pour l'Arcep, l'arrivée de l'ANSSI chez les opérateurs soulève de nombreuses questions

Pour l’Arcep, l’arrivée de l’ANSSI chez les opérateurs soulève de nombreuses questions

Cyberconspect

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

20/02/2018 7 minutes
7

Pour l'Arcep, l'arrivée de l'ANSSI chez les opérateurs soulève de nombreuses questions

Pour l'autorité des télécoms, les responsabilités que la future Loi de programmation militaire ouvre aux opérateurs méritent nombre de précisions. Le respect du secret des correspondances et de la neutralité du Net posent question, comme la définition des indices que les opérateurs devront détecter pour voir les cyberattaques.

Suite à une requête de notre part, le régulateur des télécoms, l'Arcep, publie enfin son avis sur le projet de Loi de programmation militaire (LPM) 2019-2025.

Le texte introduit une nouvelle collaboration entre les opérateurs télécoms et l'Agence nationale de sécurité des systèmes d'information (ANSSI). Celle-ci pourra par exemple déléguer la détection de cyberattaques à ces entreprises et, si l'une d'elle est susceptible de viser une autorité publique ou un opérateur d'importance vitale (OIV), poser ses propres sondes sur leurs réseaux (voir notre analyse). Les opérateurs eux-mêmes seront en droit d'effectuer des détections similaires, mais avec leurs critères propres. 

Depuis l'annonce, Orange a été le seul acteur à nous répondre sur le sujet (voir notre entretien). Le secrétariat d'État au Numérique, l'ANSSI et les autres groupes sont restés désespérément muets sur la question. L'opérateur historique est ravi de cette future collaboration, espérant exploiter les « marqueurs » de l'agence étatique pour les clients d'Orange Cyberdefense.

Dans son avis daté du 30 janvier, l'Arcep estime néanmoins qu'« il conviendrait de  se  concerter préalablement avec  les  opérateurs concernés, en particulier sur l’ampleur des demandes de l’ANSSI et  les  modalités  de  leur  mise  en œuvre ». Pourquoi ? Parce que ces nouvelles obligations pourraient avoir des effets sur le fonctionnement des réseaux, la neutralité du Net, le secret des correspondances et la sécurité juridique des opérateurs. Autant de points d'inquiétude pour l'institution.

L'Arcep vigilante sur le secret des correspondances

L'œil du régulateur porte d'abord sur l'article 19 bis de la LPM, qui crée un nouvel article L.34-1-1 dans le Code des postes et des communications électroniques (CPCE). C'est par lui qu'arrive la possibilité pour les opérateurs de scruter leurs réseaux (à leurs frais) pour le compte de l'ANSSI et de ses protégés.

Le projet de loi est flou sur les informations que l'ANSSI et les opérateurs surveilleront. Si Orange nous assure que seules les données techniques de connexion seront exploitées (les métadonnées), l'Arcep s'inquiète d'y voir inclus le contenu des communications, soit la « correspondance privée et consultation de sites internet ». En clair, de briser le secret des correspondances. Il estime nécessaire d'apporter un garde-fou clair, comme à l'article L32-3 du CPCE.

Le régulateur demande aussi de définir précisément la liste des marqueurs à détecter. La version publiée du projet de loi précise bien que l'ANSSI devra les cataloguer, même si ces critères de détection ne seront pas forcément publics. Dans tous les cas, l'Arcep veut s'assurer de « la proportionnalité de la mesure au regard de l’atteinte au respect de la vie privée et à la protection des données ».

Par ailleurs, l'autorité se demande quelle latitude auront les opérateurs pour choisir ces indicateurs de compromission, et quelle garantie il y a qu'ils ne concerneront que « des événements susceptibles  d’affecter la sécurité ».

En outre, la conservation des données détectées « pose la question des garanties propres à assurer une conciliation équilibrée entre, d’une part, le droit au respect de la vie privée et, d’autre part, la prévention des atteintes à l’ordre public et la recherche des auteurs d’infractions ». Le système implique une manipulation et une conservation de données potentiellement personnelles, sans les garanties offertes par la loi Renseignement, où le malaxage des informations est surveillé par la Commission nationale de contrôle des techniques de renseignement (CNCTR).

Une collaboration obligatoire pour les opérateurs ?

Le régulateur des télécoms veut aussi clarifier si les opérateurs seront, oui ou non, obligés de détecter les cyberattaques quand l'ANSSI pensera une autorité publique ou un OIV en danger. Si une obligation s'applique à tous, « cela reviendrait de facto à imposer à tous les opérateurs sollicités par l’ANSSI de mettre en place un système de détection ». Surtout, l'atteinte potentielle au secret des correspondances serait généralisée à tous.

Le futur article L. 33-14 du CPCE autorise les groupes télécoms à repérer d'éventuelles attaques vers leurs abonnés, dans l'idée d'au moins les avertir. L'agence de sécurité peut donc fournir ses propres « marqueurs » aux opérateurs pour les intégrer à ces moulins. Or, rien n'est dit sur une éventuelle obligation.

La mise en place d'un tel système de détection, ainsi que l'alerte des utilisateurs concernés sur demande de l'ANSSI, amènerait droit à une juste rémunération des groupes télécoms, pense l'autorité, inspirée par la jurisprudence classique du Conseil constitutionnel. Interrogée sur la question, Orange n'avait pas d'évaluation précise du coût à nous fournir. La société, qui espère tirer un bénéfice commercial pour sa branche cybersécurité, n'aurait pas encore demandé de contrepartie financière à l'État.

Concernant l'article 19 ter, l'Arcep s'interroge sur les données des opérateurs auxquelles l'ANSSI peut avoir accès. Autrement dit, la LPM pourrait demander la conservation et la disponibilité d'informations allant au-delà de ce qu'ils conservent aujourd'hui. S'ils doivent manipuler des informations supplémentaires, il faudra encadrer ces procédures.

De la responsabilité en cas de problème avec les sondes ANSSI

L'article 19 quater insère dans le CPCE (à l'article L. 2321-2-1) la possibilité pour l'ANSSI de poser ses propres sondes au cœur du réseau d'un opérateur, dans le cas où un de ses protégés est susceptible d'être visé par une attaque.

Pour l'Arcep, cette disposition peut avoir « un impact important » sur ces réseaux, selon la configuration des équipements de l'agence de sécurité, leur maintenance, leur compatibilité avec le matériel des groupes télécoms et les mesures de protection des réseaux. Il faut donc préciser la responsabilité de chacun dans cette collaboration.

Ces interventions de l'ANSSI sont soumises à la sagacité de l'Arcep. Elle réclame que les modalités soient bien précisées et des moyens supplémentaires pour traiter « ces sujets extrêmement pointus ». Elle doit, entre autres, s'assurer du respect de la neutralité du Net et évaluer les éventuelles mesures de gestion de trafic que les opérateurs mettraient en place. D'ailleurs, rien n'est précisé dans le texte si l'autorité trouve un problème. Sans doute, ces points seront-ils réglés dans la future ordonnance commandée au gouvernement.

Le régulateur des télécoms est donc circonspect sur les nouvelles possibilités laissées aux groupes télécoms et à l'ANSSI, en matière de détection des cyberattaques. De nombreux détails restent à préciser, y compris la définition des « marqueurs » à repérer et le cadre exact de la collaboration.

7

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

L'Arcep vigilante sur le secret des correspondances

Une collaboration obligatoire pour les opérateurs ?

De la responsabilité en cas de problème avec les sondes ANSSI

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (7)


L’amoncellement de textes dans le domaine de la protection et la sécurité des données et des systèmes informatiques rend illisible les obligations des uns et des autres.



A l’image de l’interrogation de l’ARCEP s’agissant de l’ANSSI, il existe une multitude de débats (sur l’obligation de DPO par exemple), dont un particulièrement délicat sur l’obligation de notification imposée par l’article 32 de la RGPD, qui n’est pas la même que celle fixée par l’ancienne Loi n° 2013-1168 de prog militaire, qui n’est pas non plus la même que celle envisagée par le règlement eprivacy, (sans parler des textes plus ciblés où là encore l’obligation existe avec des conditions différentes: le règlement « eIDAS », la directive « NIS », la directive « Paquet Télécom », le Loi sur les données de santé etc…).



Il est peut être temps de mettre de l’ordre dans ce foutoir; si des acteurs économiques comme Orange ou bouygue peinent à connaitre ce qui est ou non de leurs responsabilités, imaginez pour les petites boites, qui peuvent d’ailleurs traiter des infos sensibles et/ou stratégiques…



Là où on prétend faire de la simplification du droit, parallèlement on accumule les textes sans principe clair et où les meilleurs juristes de ces domaines n’arrivent pas à proposer une analyse exhaustive et pratique des obligations de chacun (les commentaires dans les revues spécialisées, ne sont pour l’essentiel que de longues paraphrases des règlements ou des Lois sans analyse).


Personnellent, j’ai bien l’impression (à tord je l’espère) qu’ils font ce qu’ils veulent et que l’arcep peut dire ce qu’elle veut, si il y a une volonté politique de mettre en place un systeme de flicage du réseau en bas niveau, ce sera fait avec ou sans l’aval de l’arcep.


Nous sommes en république pas dans un état policier, le flicage à grande échelle n’existe pas <img data-src=" />








NeedSumSleep a écrit :



Nous sommes en république pas dans un état policier, le flicage à grande échelle n’existe pas <img data-src=" />





<img data-src=" />

Ça me fait penser à cette phrase : l’ennemi est bête, il croit que c’est nous l’ennemie alors que c’est lui <img data-src=" />



certes, c’est vrai. Un instant j’ai eu peur. D’ailleur la chine aussi est une république et l’on peut voir comment grâce à cela ils ont évité le pire.


en lisant l’article, j’ai une image qui me vient direct à l’esprit …



dans les films US, quand les gentils sentent que ça dérape, et que l’armée arrive avec un bataillon d’ingénieurs en disant “on prend le commandement des opérations, allez boire un café !”



en général, c’est rarement mieux après ^^








Jeanprofite a écrit :



<img data-src=" />

Ça me fait penser à cette phrase : l’ennemi est bête, il croit que c’est nous l’ennemie alors que c’est lui <img data-src=" />





Desproges !