Publication du décret n° 2015-349 du 27 mars 2015 relatif à l’habilitation et à l’assermentation des agents de l’autorité nationale de sécurité des systèmes d’information


L’article L.2321-3 du code de la défense, créé par l’article 24 de la loi de programmation militaire (loi n° 2013-1168 du 18 décembre 2013), permet pour les besoins de la sécurité des systèmes d’information de l’État et des opérateurs d’importance vitale (OIV), aux agents de l’Agence nationale de la sécurité des systèmes d’information* d’obtenir des opérateurs de communications électroniques, l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes d’information vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou la compromission de leur système.

Jusqu’ici, l’ANSSI ne disposait pas du cadre légal et réglementaire lui permettant de demander aux opérateurs de communications électroniques d’identifier à partir de données techniques telles qu’une adresse IP horodatée, les victimes d’une attaque ou les utilisateurs de systèmes vulnérables à une attaque.

Dorénavant, l’ANSSI pourra s’adresser aux opérateurs pour identifier les victimes lorsqu’elle a connaissance d’une d’attaque ou de la vulnérabilité d’un système d’information. Ainsi, l’Agence pourra alerter au plus tôt les victimes d’attaques informatiques et contribuer à en limiter les conséquences. Les demandes d’identifications seront limitées au seul cadre où l’Agence agit pour les besoins de la sécurité des systèmes d’information de l’État et des OIV.

Le présent décret d’application fixe les conditions d’habilitation et d’assermentation des agents chargés de mener cette mission et permet ainsi de mettre en œuvre les nouvelles dispositions prévues à l’article L. 2321-3 du code de la défense.

* Les personnels de l’’ANSSI sont habilités par le Premier ministre et assermentés dans les conditions du décret n° 2015-349 du 27 mars 2015.