Outre l'installation obligatoire de produits de sécurité qualifiés par l'Etat ou par des prestataires agréés, les fournisseurs d'accès à internet (FAI) et les hébergeurs considérés comme "d'importance vitale" par la France auront aussi l'obligation de donner accès à toutes les informations techniques sur leur réseau, qui relèvent en principe du secret industriel.
Dans son décret n° 2015-351 du 27 mars 2015 publié dimanche, le Gouvernement se fonde sur l'article L1332-6-3 du code de la défense créé par la loi de programmation militaire de fin 2013, pour exiger que les opérateurs d'importance vitale "soumettent leurs systèmes d'information à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité prévues".
Dans le cadre de ce contrôle, qui pourra avoir lieu une fois par an (ou plus souvent en cas de défaillances), les FAI et hébergeurs concernés devront fournir à l'ANSSI ou au prestataire privé agréé "notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels", ainsi que "les moyens nécessaires pour accéder à ses systèmes d'information et à l'ensemble de leurs composants afin de permettre au service de l'Etat ou au prestataire de réaliser des analyses sur les systèmes, notamment des relevés d'informations technique".
Un rapport classé secret-défense désignera alors "les vulnérabilités et les manquements aux règles de sécurité constatés lors du contrôle", ainsi que les recommandations pour y remédier.
RESONSABILITÉ PERSONNELLE DES DIRIGEANTS
En premier lieu, il s'agit pour l'Etat de s'assurer que les systèmes d'information des FAI et des hébergeurs français soient résistants et résilients, en cas de cyberattaque de la part d'une puissance étrangère ou d'un groupe privé.
Mais il est difficile de ne pas imaginer que les informations glanées puissent aussi bénéficier à d'autres services, en particulier ceux de la Direction générale de la sécurité intérieure (DGSI), pour faciliter l'espionnage de cibles devant faire l'objet de surveillances. Même si elle ne participe pas directement aux opérations, le décret prévoit que l'ANSSI "communique aux ministres coordonnateurs des secteurs d'activités d'importance vitale concernés les conclusions du contrôle". Or parmi ces ministres figure bien sûr le ministre de l'intérieur et le ministre de la défense, qui supervisent les services de renseignement.
L'article R1332-41-23 du décret précise que si un opérateur refuse de se plier aux contrôles ou aux obligations d'installer les "produits de sécurité" imposés par l'Etat, l'ANSSI pourra saisir l'autorité judiciaire et demander la condamnation personnelle des dirigeants à 150 000 euros d'amende.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !