Etendre le champ de détection avec les OCE
Articles L.33-14 du CPCE et L. 2321-3 al.1 et 2 du code de la défense
En Bref
« Les opérateurs de communications électroniques qui, au travers de leurs réseaux, connectent les systèmes d'information de leurs clients au réseau mondial, et voient passer par leurs réseaux l'ensemble des flux, ont un rôle clé à jouer dans la cyberdéfense des opérateurs essentiels à l'économie et à la société. » SGDSN - Revue stratégique de cyberdéfense - p.64 - 12 février 2018
Compte tenu de l'importance croissante en nombre, en intensité et en sophistication des cyberattaques, les articles L. 33-14 et R.9-12-1 à R.9-12-3 du code des postes et des communications électroniques (CPCE) ainsi que l'article L. 2321-3 al. 2 du code de la défense renforcent le dispositif de prévention et de protection de l’État et des opérateurs critiques en collaboration étroite avec les Opérateurs de communications électroniques (OCE). Le respect du cadre réglementaire est soumis au contrôle par une autorité administrative indépendante, l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP).
A qui s'adresse cette réglementation ?
Cette réglementation renforce avant tout la coopération avec les OCE. Au travers de ce cadre juridique, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) se voit doter de la possibilité de s'appuyer sur les capacités de détection des OCE pour mieux caractériser les attaques susceptibles d’affecter des autorités publiques, des opérateurs d'importance vitale (OIV) ou des opérateurs de services essentiels (OSE). Grâce à la mise en œuvre d’une détection au cœur des réseaux des OCE, ce dispositif permet la recherche et l’identification de victimes en masse.
Quelles sont ses principales dispositions ?
- L’autorisation pour les opérateurs d'installer des dispositifs de détection
A travers ce nouveau cadre juridique, les OCE sont autorisés à recourir, sur les réseaux de communications électroniques qu'ils exploitent, à des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés. Dès lors qu'ils disposent de telles capacités, les OCE doivent en informer l'ANSSI. Un formulair e d'identification des capacités pour accompagner la déclaration peut être demandé auprès de article34-operateurs.cossi@ssi.gouv.fr .
- Le partage de marqueurs techniques et le recueil par l'ANSSI de données techniques auprès des OCE
L'article L. 33-14 du CPCE relatif à la prévention des menaces affectant la sécurité des systèmes d’information permet à l'ANSSI de demander aux opérateurs disposant de capacités de détection d’exploiter des marqueurs techniques qu’elle leur fournit pour qu’elle puisse ensuite, à partir des notifications d'alertes remontées par l'OCE, caractériser une attaque.
De plus, lorsque l'ANSSI est informée de l'existence d'un événement pouvant affecter la sécurité des systèmes d'information d'une autorité publique, d'un OSE ou d'un OIV, l'article L. 2321-3 al. 2 du code de la défense permet aux agents spécialement habilités par le Premier ministre et assermentés, d'obtenir des OCE, des données techniques complémentaires strictement nécessaires à l'analyse de cet événement (données listées à l'article R. 10-15 du CPCE).
- La fourniture à l’ANSSI d’informations sur les personnes vulnérables, menacées ou attaquées afin de les alerter
Pour les besoins de la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, les agents de l'autorité nationale de sécurité des systèmes d'information, habilités par le Premier ministre et assermentés dans des conditions fixées par décret en Conseil d'Etat, peuvent obtenir des opérateurs de communications électroniques, en application du II bis de l'article L. 34-1 du code des postes et des communications électroniques, l'identité, l'adresse postale et l'adresse électronique d'utilisateurs ou de détenteurs de systèmes d'information vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou l'atteinte de leur système.
Pour aller plus loin :
Références réglementaires
- Article L.33-14 CPCE
- Article L.36-14 CPCE
- Article L. 2321-3 al.1 et 2 du code de la défense
- Articles R. 9-12-1 à R. 9-12-3 CPCE
- Article R. 10-15 CPCE
- Arrêté du 24 mars 2020 pris en application de l'article R. 2321-1-5 du code de la défense fixant la tarification applicable aux prestations effectuées par les opérateurs de communications électroniques au titre du deuxième alinéa de l'article L. 2321-3 du code de la défense
Foire aux questions
Pour se conformer à l’article L. 33-14 du CPCE, tout opérateur référencé par l’ARCEP doit avoir informé l’ANSSI de la mise en œuvre de dispositifs de détection en capacité d’exploiter des marqueurs techniques. Un prérequis est donc l’identification des dispositifs de détection que les OCE possèdent actuellement et/ou qu’ils envisagent d’acquérir, ainsi que les périmètres sur lesquels ils fonctionneront. Un formulaire aidant à cette déclaration est disponible sur demande à l'adresse suivante : article34-operateurs.cossi@ssi.gouv.fr .
L’ANSSI table sur une durée moyenne de un à deux mois. Cette durée sera toujours précisée en début de campagne.
L’OCE pourra faire remonter par lots les notifications d’alertes, a minima une fois par semaine.
Conformément à la réglementation, les OCE ne sont pas autorisés conserver les données plus de 6 mois.
Bien qu’il n’y ait pas de période de rétention minimale et que cela puisse également dépendre des capacités des infrastructures associées aux dispositifs de détection, l’ANSSI souhaiterait, dans la mesure du possible, que ces données soient conservées au minimum 45 jours après la fin d’une campagne, et plus si cela est possible