Etendre le champ de détection avec les OCE


Articles L.33-14 du CPCE et L. 2321-3 al.2 du code de la défense

En Bref

« Les opérateurs de communications électroniques qui, au travers de leurs réseaux, connectent les systèmes d’information de leurs clients au réseau mondial, et voient passer par leurs réseaux l’ensemble des flux, ont un rôle clé à jouer dans la cyberdéfense des opérateurs essentiels à l’économie et à la société. » SGDSN – Revue stratégique de cyberdéfense – p.64 – 12 février 2018

Compte tenu de l’importance croissante en nombre, en intensité et en sophistication des cyberattaques, les articles L. 33-14 et R.9-12-1 à R.9-12-3 du code des postes et des communications électroniques (CPCE) ainsi que l’article L. 2321-3 al. 2 du code de la défense renforcent le dispositif de prévention et de protection de l’État et des opérateurs critiques en collaboration étroite avec les Opérateurs de communications électroniques (OCE). Le respect du cadre réglementaire est soumis au contrôle par une autorité administrative indépendante, l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP).

A qui s’adresse cette réglementation ?

Cette réglementation renforce avant tout la coopération avec les OCE. Au travers de ce cadre juridique, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) se voit doter de la possibilité de s’appuyer sur les capacités de détection des OCE pour mieux caractériser les attaques susceptibles d’affecter des autorités publiques, des opérateurs d’importance vitale (OIV) ou des opérateurs de services essentiels (OSE). Grâce à la mise en œuvre d’une détection au cœur des réseaux des OCE, ce dispositif permet la recherche et l’identification de victimes en masse.

Quelles sont ses principales dispositions ?

1. Autorisation pour les opérateurs d’installer des dispositifs de détection

A travers ce nouveau cadre juridique, les OCE sont autorisés à recourir, sur les réseaux de communications électroniques qu’ils exploitent, à des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés. Dès lors qu’ils disposent de telles capacités, les OCE doivent en informer l’ANSSI. Un formulaire d’identification des capacités pour accompagner la déclaration peut être demandé auprès de article34-operateurs.cossi [at] ssi.gouv.fr .

2. Le partage de marqueurs techniques et le recueil par l’ANSSI de données techniques auprès des OCE

L’article L. 33-14 du CPCE relatif à la prévention des menaces affectant la sécurité des systèmes d’information permet à l’ANSSI de demander aux opérateurs disposant de capacités de détection d’exploiter des marqueurs techniques qu’elle leur fournit pour qu’elle puisse ensuite, à partir des notifications d’alertes remontées par l’OCE, caractériser une attaque.
De plus, lorsque l’ANSSI est informée de l’existence d’un événement pouvant affecter la sécurité des systèmes d’information d’une autorité publique, d’un OSE ou d’un OIV, l’article L. 2321-3 al. 2 du code de la défense permet aux agents spécialement habilités par le Premier ministre et assermentés, d’obtenir des OCE, des données techniques complémentaires strictement nécessaires à l’analyse de cet événement (données listées à l’article R. 10-15 du CPCE).

Pour aller plus loin

Références réglementaires

Foire aux questions

Tout OCE est-il concerné par ce dispositif ?

Pour se conformer à l’article L. 33-14 du CPCE, tout opérateur référencé par l’ARCEP doit avoir informé l’ANSSI de la mise en œuvre de dispositifs de détection en capacité d’exploiter des marqueurs techniques. Un prérequis est donc l’identification des dispositifs de détection que les OCE possèdent actuellement et/ou qu’ils envisagent d’acquérir, ainsi que les périmètres sur lesquels ils fonctionneront. Un formulaire aidant à cette déclaration est disponible sur demande à l’adresse suivante : article34-operateurs.cossi [at] ssi.gouv.fr .

Quelles est la durée moyenne d’exploitation des marqueurs ?

L’ANSSI table sur une durée moyenne de un à deux mois. Cette durée sera toujours précisée en début de campagne.

Quel est le rythme des remontées de notification d’alertes ?

L’OCE pourra faire remonter par lots les notifications d’alertes, a minima une fois par semaine.

Quelle est la durée de conservation par les OCE des données d’alertes nécessaires pour répondre à l’article R. 10-15 du CPCE ?

Conformément à la réglementation, les OCE ne sont pas autorisés conserver les données plus de 6 mois.
Bien qu’il n’y ait pas de période de rétention minimale et que cela puisse également dépendre des capacités des infrastructures associées aux dispositifs de détection, l’ANSSI souhaiterait, dans la mesure du possible, que ces données soient conservées au minimum 45 jours après la fin d’une campagne, et plus si cela est possible.