Message d’alerte aux abonnés des OCE
Les systèmes d’information étant en perpétuelle évolution, avec notamment l’installation de nouveaux services, leur niveau d’exposition vis-à-vis d’attaques sur Internet varie continuellement.
Les systèmes d’information étant en perpétuelle évolution, avec notamment l’installation de nouveaux services, leur niveau d’exposition vis-à-vis d’attaques sur Internet varie continuellement.
En parallèle, la publication quotidienne sur Internet de nouvelles vulnérabilités sur des produits (logiciels, matériels) facilite le développement et la prolifération de codes d’exploitation.
A ce titre, l’Agence nationale de sécurité des systèmes d’information (ANSSI) assure un service de veille active des vulnérabilités critiques et s’appuie sur les opérateurs de communications électroniques (OCE) pour alerter leurs abonné(e)s exposés.
En effet, les articles L. 33-14 et R.9-12-4 du code des postes et des communications électroniques (CPCE) permettent à l’ANSSI de s’appuyer sur les OCE pour transmettre des messages de signalement de vulnérabilité ou de suspicion de compromission auprès de leurs abonné(e)s.
A qui s'adresse cette réglementation ?
Ce cadre légal permet à l'ANSSI de travailler avec les OCE et le dispositif Cybermalveillance.gouv.fr pour mener des campagnes d’information auprès des abonné(e)s sur des vulnérabilités existantes, pouvant toucher leurs équipements informatiques.
Toute entreprise ou particulier pourrait être concerné par un tel message d’alerte. Si tel est le cas, l’ANSSI recommande de s'adresser à des spécialistes en capacité de les orienter afin d’obtenir de l’aide ou à se rendre à cette adresse https://www.cybermalveillance.gouv.fr/recherche-prestataire/ afin d’être mis en relation avec un prestataire de service informatique à proximité de chez eux.
Quelles sont ses principales dispositions ?
Les abonné(e)s peuvent recevoir un mail d’alerte de l'ANSSI via leur OCE contenant un lien avec des informations relatives à une vulnérabilité potentielle de l'un de leurs équipements exposés sur Internet et, le cas échéant, les inviter à trouver une assistance pour mettre à jour cet équipement via des prestataires référencés sur cybermalveillance.gouv.fr à cette adresse : https://www.cybermalveillance.gouv.fr/recherche-prestataire/.
Pour aller plus loin :
Références réglementaires :
- Article L. 33-14 al.5 du CPCE
- Article R. 9-12-4 du CPCE
- Arrêté du 24 mars 2020 pris en application de l'article R. 9-12-5 du code des postes et des communications électroniques fixant la tarification applicable aux prestations effectuées par les opérateurs de communications électroniques au titre du cinquième alinéa de l'article L. 33-14 du code des postes et des communications électroniques