Indispensables, la poignée de dispositifs inscrits dans la LPM pour muscler la capacité de l’Anssi à détecter et anticiper les vulnérabilités et attaques de nos réseaux numériques critiques, engendre néanmoins une série d’interrogations techniques et juridiques. Le débat est complexe mais nécessaire, insiste le secteur privé.

« Objectivement, », insiste Marc-Antoine Ledieu, avocat expert dans le conseil à l’industrie numérique, « l’Anssi n’a aujourd’hui pas les moyens de lutter contre la cybermenace pesant sur nos infrastructures et nos entreprises critiques. On ne peut donc qu’applaudir la philosophie du volet cyber du projet de loi de programmation militaire » – cette LPM qui fixera les ambitions financières et capacitaires pour nos armées sur la période 2024-2030.

Très réduit, le volet cyber comprend une poignée de dispositifs ultra techniques mais à portée stratégique. En discussion, comme le reste du projet depuis le 22 mai à l’Assemblée nationale, ils visent, selon les mots de leurs rédacteurs, à muscler l’Anssi « en capacités de détection des logiciels malveillants et des vulnérabilités des systèmes ».

Un avis tranché sur la démarche sous-jacente à cet ajout dans la veine des précédentes LPM depuis 2008, que partage Jean-Noël de Galzain, le fondateur de Wallix, société spécialisée de la sécurisation des accès numériques, et le président d’Hexatrust, le club des cyber pépites tricolores. Cette figure et porte-voix de l’écosystème privé est très claire : « Il est devenu inconcevable de bâtir des réseaux physiques sans sécurité : alarmes, caméras, etc… Et l’on s’étonnerait que l’État veuille muscler la cybersécurité des opérateurs d’intérêt vitaux (« OIV ») et de service essentiels (« OSE ») ? Ce n’est pas sérieux. » Pour l’entrepreneur, « le vrai sujet est plutôt : les moyens seront-ils à la hauteur des enjeux ? »

Identifié comme le premier risque mondial par les assureurs des entreprises, devant les pandémies et les événements climatiques, les cyberattaques ont touché 832 réseaux critiques en France l’année dernière, à commencer par des établissements de santé, soulignait l’Anssi dans son dernier rapport. Demain, rappelle Jean-Noël de Galzain, l’État sera le garant de la sécurité d’au moins deux grands événements sportifs qui draineront des milliers de personnes sur notre sol : la coupe du monde de Rugby (septembre 2023), puis des Jeux Olympiques (en 2024). La menace terroriste demeure élevée et la France est l’une des cibles des cyberactivistes russes. Récemment, le site du Sénat fut paralysé plusieurs heures par des pirates informatiques revendiquant leur proximité avec Moscou.

Mais comme à chaque fois, quand le législateur entreprend de modifier l’équilibre entre liberté et sécurité, et élargit notamment le périmètre des prérogatives du régalien dans le champ du marché, la polémique enfle vite. Les débats ont souvent le mérite de clarifier les enjeux, s’est félicité Sébastien Lecornu, le ministre des Armées, à propos des échanges entre l’exécutif et les députés sur le volet dissuasion nucléaire de LPM.

Appliqué au volet cyber, le raisonnement trouve vite ses limites en raison de l’extrême complexité technique des sujets. Leur ampleur semble d’ailleurs avoir échappé en partie aux rédacteurs eux-mêmes, remarque une experte de la question des noms de domaine, qu’à l’occasion de cette loi, le législateur souhaite forcer les hébergeurs, les fournisseurs d’accès à lnternet et les bureaux d’enregistrement à filtrer afin de « neutraliser leur utilisation dévoyée ».

Des articles « impossibles » à mettre en œuvre

Membre d’Hexatrust, notre experte poursuit : « L’enfer est pavé de bonnes intentions et plusieurs articles apparaissent techniquement impossibles à mettre en application tels que rédigés dans leur version initiale ». De quoi alimenter les inquiétudes sur ce nouvel arsenal cyber, qui permettra concrètement à l’agence publique « d’accroître sa connaissance des modes opératoires des cyberattaquants, de mieux remédier aux effets de leurs attaques et d’alerter plus efficacement les victimes ».

Outre le filtrage des noms de domaine toxiques, les articles autoriseront l’Anssi à : récupérer les données techniques de connexion (logées dans les serveurs DNS – qui traduisent les noms de domaines en adresses IP) afin de mieux identifier les attaquants ; introduire des sondes chez les opérateurs vitaux (OIV) et essentiels (OSE), leurs sous-traitants et leurs hébergeurs de données pour surveiller le contenu des communications et anticiper les menaces ; inciter les éditeurs de logiciels à signaler leurs vulnérabilités et les effets de leurs attaques. Pour ce dernier dispositif, aucune sanction contre les récalcitrants n’était prévue, mais l’Anssi pourra rendre public leurs noms, selon la doctrine anglo-saxonne du « name and shame ».

Au-delà des imprécisions techniques, la première interrogation concrète des professionnels concerne la portée des nouvelles obligations imposées par l’Anssi. Viseront-elles uniquement les entités enregistrées et basées en France ou l’ensemble des opérateurs présents sur le marché français, quelle que soit leur nationalité et leur localisation ? Le projet est totalement muet sur ce point, s’inquiètent-ils. Le risque est de créer une distorsion de concurrence et un appel d’air à la délocalisation de tout un pan de l’écosystème français, alerte Jean-Noël de Galzain. En pratique, plusieurs types d’opérateurs impliqués doivent tenir compte de standards et normes internationales dont ils dépendent, et pas toujours compatibles avec ces nouvelles règles, telles celles de l’ICANN, société californienne de droit privé régulant de facto les adresses Internet.

Quid du traitement des données supplémentaires

L’autre interrogation majeure porte sur la façon dont l’Anssi captera et exploitera le gisement de données supplémentaires auxquelles elle aura accès. L’obligation inscrite dans ce projet de mettre en place des sondes par tous les opérateurs essentiels et vitaux n’est, en soi, que la transcription de la directive européenne NIS 2, qui doit entrer impérativement en vigueur en 2024 (160 000 entités concernées en Europe). Toutefois, elle s’accompagne d’un droit nouveau : connaître l’identité et l’adresse de détenteurs des réseaux vulnérables, de leurs sous-traitants et des hébergeurs de données, mais aussi capter le contenu des communications qui transitent par ces réseaux.

Le Conseil d’État a tranché. L’arsenal est proportionnel au but recherché : sauvegarder les intérêts fondamentaux de la nation. Mais où commence et s’arrêtent-ils, rétorquent les acteurs de la filière au fait des vifs débats qui opposent en ce moment, outre-Atlantique, les défenseurs et les détracteurs des lois fédérales (FISA, Cloud Act) octroyant un quasi-blanc-seing aux agences de sécurité pour capter les données numériques mondiales.

À ne pas y prendre garde, le législateur pourrait transformer l’Anssi en police du net, voire en NSA française, laissent entendre les gardiens des libertés sur Internet et du droit à la liberté d’opinion. Pur fantasme, balaye l’avocat Marc-Antoine Ledieu : « La question des libertés publiques est un non-sujet en France, où il y a longtemps qu’on a compris sa sensibilité, que reflètent ses efforts pour donner naissance au RGPD européen, un texte pionnier très protecteur des données privées. D’ailleurs, les données auxquelles accèdera à l’avenir l’Anssi seront tout sauf des données personnelles. »

Le risque serait même inversé, selon Jean-Noël de Galzain : « Au nom de la protection des données personnelles, il ne faudrait pas fabriquer un carcan qui handicaperait nos entreprises face à leurs concurrents indiens, chinois et aux GAFAM, tous puissants dans la course de vitesse mondiale à l’exploitation des données étendues. De l’agilité de la France, dépendra l’émergence d’une industrie tricolore de l’IA et de la révolution ChatGPT. »

En revanche, les experts du privé insistent sur l’importance de bien encadrer et clarifier le droit de captation des données : qui peut y avoir accès à l’Anssi et avec quels moyens ? Les opérateurs seront ils assermentés ou des contractuels ? L’agence pourra-t-elle recourir à des sous-traitants et à quelles conditions ? Ils réclament que la traçabilité des opérations soit complète. Et que l’ensemble des procédures fassent l’objet d’un audit indépendant, lui-même contrôlé à son tour par un organisme reconnu. C’est la seule façon, martèlent-ils, de consolider la confiance dans l’Anssi et de garantir aux opérateurs une sécurité juridique opposable au moindre incident.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.