Déploiement de dispositifs pour caractériser une menace


Article L. 2321-2-1 du code de la défense

En Bref

L’article L. 2321-2-1 du code de la défense autorise l’Agence nationale de la sécurité des systèmes d’information (ANSSI) à déployer un dispositif de détection sur le réseau d’un opérateur de communications électroniques ou sur le système d’information d’un fournisseur d’accès (FAI) ou d’un hébergeur (HEB), au plus près d’un équipement utilisé par un attaquant en cas de menace susceptible de porter atteinte à la sécurité des systèmes d’information des autorités publiques, des opérateurs d’importance vitale (OIV) ou des opérateurs de services essentiels (OSE). Le respect du cadre réglementaire est soumis au contrôle par l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP), autorité administrative indépendante.

A qui s’adresse cette réglementation ?

Cette réglementation s’applique aux opérateurs de communications électroniques ou aux personnes mentionnées aux 1 ou 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.

Quelles sont ses principales dispositions ?

Ces dispositifs, mis en œuvre sur le réseau d’un OCE ou sur le système d’information d’un FAI ou d’un HEB, permettent d’identifier directement de nouvelles victimes potentielles sur le territoire national en analysant les connexions de l’équipement supervisé. Ils contribuent également à l’identification d’autres équipements de l’infrastructure de l’attaquant et peuvent permettre l’identification de victimes à l’étranger.

Grâce à son positionnement de proximité, ce dispositif permet d’analyser le trafic malveillant de l’équipement ainsi supervisé afin de caractériser une menace informatique et d’en prévenir les conséquences pour de potentielles victimes.
Ce dispositif donne ainsi la possibilité à l’ANSSI, lorsqu’elle a connaissance d’une menace grave et imminente sur les systèmes d’information d’une autorité publique, d’un OIV ou d’un OSE, de mettre en place un dispositif de détection local sur un serveur d’un hébergeur ou un équipement d’un opérateur de communications électroniques contrôlé par un attaquant. Le dispositif de détection est mis en œuvre pour une durée limitée sur un périmètre limité, et dans la mesure strictement nécessaire à la caractérisation de la menace.

Pour aller plus loin

Références réglementaires