Loi de programmation militaire : le renforcement de l’Anssi validé
L’Assemblée nationale a adopté, le 7 juin 2023, la loi de programmation militaire pour 2024-2030, qui inclut quatre articles renforçant les prérogatives de l’Anssi
La loi de programmation militaire (LPM) pour la période 2024-2030 a été adoptée, le 7 juin 2023, par l’Assemblée nationale, par 408 voix pour et 87 contre. Le texte, qui propose un investissement de 413 milliards d’euros sur la période, va poursuivre sa trajectoire législative au Sénat. Cette LPM entend notamment mieux préparer les armées françaises aux « nouveaux champs de conflictualité » : espace, fonds marins et cyberespace.
La loi doit ainsi permettre de répondre à une cybermenace « élevée » en poursuivant « le développement d’une cyberdéfense de premier plan », via une enveloppe de 4 milliards d’euros. Le 1er juin 2023, les députés ont débattu des articles 32 à 35 de cette LPM, consacrés au renforcement des pouvoirs de l’Anssi. L’Assemblée nationale les a tous adoptés, avec de rares modifications pour limiter la portée de certaines dispositions.
La nouvelle LPM autorise ainsi l’Anssi, en cas d’urgence, à agir sur des noms de domaine à la place de leurs titulaires, par exemple en les bloquant ou en redirigeant le trafic vers des serveurs sécurisés. La loi précise aussi que l’Anssi peut, pour « garantir la défense et la sécurité nationale », collecter des « données techniques non-identifiantes » et utiliser des « dispositifs de marqueurs techniques ».
L’agence pourra désormais réaliser chaque année une cinquantaine de copies de serveurs et une vingtaine de captations de flux réseau, visant de potentiels cybercriminels. Pour l’heure, l’Anssi ne peut accéder qu’à des informations « très limitées » sur le trafic des machines suspectes.
La loi rend également obligatoire la coopération des opérateurs télécoms pour traquer les adresses IP suspectes. La précédente législation autorisait déjà cette collaboration, mais « un seul de ces opérateurs était entré dans une démarche de coopération active avec l’Anssi », selon le ministre délégué au Numérique, Jean-Noël Barrot,
Plusieurs députés Nupes ont fait état de leurs inquiétudes sur ces dispositifs. « Copier l’intégralité de serveurs, même en nombre relativement limité, constitue une atteinte manifeste à la vie privée puisqu’il s’agit de données personnelles », a ainsi critiqué le député Jérémie Iordanoff (EELV).
En réponse, la rapporteuse de cette partie de la loi, Sabine Thillaye (MoDem), a rappelé que ces dispositifs étaient limités aux cas impliquant la garantie de la défense et de la sécurité nationale. Un amendement a par ailleurs réduit la durée de conservation des données copiées de 10 à 5 ans.