Retour aux actualités
Article suivant Article précédent

Revue 174 - Cybersécurité : quelles réponses juridiques ?

Articles Revue TELECOM

-

15/10/2014

Cybersécurité : quelles réponses juridiques ?

Par Myriam Quemener dans la revue TELECOM n° 174

Le Livre blanc pour la défense et la sécurité nationale de 2013 fait de la cybersécurité l’une des priorités nationales pour la France. Le constat d’une dépendance accrue de la Nation aux systèmes d’information, ainsi qu’une vulnérabilité aigüe des appareils d’État et des entreprises1 laissant craindre des cyberattaques majeures sur les infrastructures et les réseaux numériques, ont justifié la mise en place d’une véritable stratégie decybersécurité.
La loi n° 2013-1168 du 18 décembre 2013 relative à la programmation 
militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale2 en est la concrétisation sur le plan juridique. Les dispositions normatives en faveur du renforcement de la cybersécurité réforme le cadre juridique du renseignement de la cyberdéfense3, de la protection des sites et impose de nouvelles obligations aux Organismes d’Importance Vitales (OIV).

Cybersécurité et accès aux données4

Le législateur a adapté les procédures d’encadrement des pratiques de surveillance administrative au contexte numérique, en y incluant notamment la surveillance sur l’Internet et l’accès aux données de géolocalisation en temps réel5 : Avec ces nouvelles dispositions, les services de l’État français sont désormais dotés des mêmes moyens d’actions que leurs homologues étrangers en matière de cybersécurité. Les autorités compétentes pour accéder aux données sont « les agents individuellement désignés et dûment habilités des services relevant des ministres chargés de la Sécurité intérieure, de la Défense, de l’Économie et du Budget, chargés de missions prévues à l’article L. 241-2 » du Code de la sécurité intérieure, à savoir la recherche des « renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous de combat et de milice privés ».

Le fait d’inclure dans le champ d’application des formulations aussi génériques que la « prévention de la criminalité » ou de la « délinquance organisée » permettra désormais aux agents compétents d’accéder aux données dans le cadre des enquêtes relevant de la lutte contre la contrefaçon ou contre la fraude fiscale.
 

On relève ainsi la tendance à vouloir faire traiter en priorité les affaires relatives à la cybersécurité dans le cadre administratif plutôt que judiciaire.

Les données de connexion

Les autorisations pour récupérer les données de connexion a posteriori seront désormais données par une personnalité qualifiée, placée auprès du Premier ministre, sous le contrôle de la Commission Nationale de Contrôle des Interceptions de Sécurité (CNCIS). Les fadettes rentrent ainsi dans le droit commun plus protecteur de la loi du 10 juillet 1991 relative au secret des correspondances émises par la voie des communications électroniques, alors qu’elles faisaient, jusqu’à présent, l’objet d’un dispositif spécifique dans la loiantiterroriste du 23 janvier 20066, qui sera caduc le 31 décembre 2015. L’accès aux données prévu par ce nouveau texte a pour particularité d’être réalisé sous le contrôle d’un juge en invoquant la sécurité nationale.

Les données de géolocalisation

Les données de surveillance en temps réel sont visées par le nouvel article L 246-3 du Code de la sécurité intérieure ; celles-ci sont recueillies « sur sollicitation du réseau et transmis en temps réel par les opérateurs » aux agents individuellement désignés. Le rôle de la Commission Nationale de Contrôle des Interceptions de Sécurité (CNCIS) est restreint dès lors que l’autorisation du recueil se fait uniquement par le Premier ministre sur une demande écrite et motivée des ministres de la Sécurité intérieure, de la Défense, del’Économie et du Budget ou des personnes spécialement désignées par eux. La CNCIS est simplement informée de la décision du Premier Ministre et elle dispose d’un accès permanent au dispositif de recueil concerné pour procéder à des contrôles de sa légalité (CSI, art. L. 246-4). Elle pourrait considérer que le recueil de données a été autorisé en méconnaissance des présentes dispositions, mais son seul moyen d’action consistera à adresser une recommandation au Premier ministre tendant à ce qu’il y soit mis fin, mesure cependant non contraignante.
 

Le nouveau dispositif sera ainsi plus protecteur des libertés avec l’accroissement du contrôle effectué par la CNCIS et en raison de la motivation des demandes de géolocalisation par le ministre et non plus uniquement des personnes désignées et habilitées. En outre, le nouveau régime apparaît également plus adapté aux besoins opérationnels des services, car ouvert à tous les services de renseignement, et pour des motifs plus larges. La durée des autorisations de géolocalisation a été fixée à 30 jours. Notons néanmoins que la durée des autorisations en matière d’interception de sécurité, pourtant estimée plus intrusive dans la vie privée, est de quatre mois.

Cybersécurité et protection des organismes d’importance vitale (OIV)

Concernant les Opérateurs d’Importance Vitale7 (OIV), désormais, selon l’article 22 de la loi de programmation militaire (LPM), le Premier ministre « fixe les règles de sécurité nécessaires à la protection de [leurs] systèmes d’informations ». L’objectif de ces dispositions est de protéger de manière particulière les systèmes pour lesquels « l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation » .

En conséquence, le Gouvernement peut ordonner tout type de mesure pour répondre aux crises majeures menaçant ou affectant la sécurité desdits systèmes d’information. Le fait de ne pas se conformer à ces obligations8 est passible d’une amende de 150 000 €9. Il peut être exigé des opérateurs d’importance vitale, à leurs frais, qu’ils mettent en oeuvre « des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs systèmes d’informations10 ». D’autres mesures liées spécifiquement à la sécurité des systèmes, telles que la coupure d’un serveur, le routage de données vers des réseaux spécifiques, ou même la participation à des contre-attaques peuvent potentiellement être visées par cette disposition. Les OIV doivent soumettre leurs systèmes d’information à des contrôles par les services du Premier ministre destinés à vérifier leur niveau de sécurité et le respect de règles de sécurité. Ces contrôles seront diligentés par l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI11) ou par des prestataires deservices qu’elle qualifie.
 

En outre, un régime spécial de la notification d’incident est créé12 à destination des Opérateurs d’Importance Vitale (OIV) qui sont désormais tenus d’informer sans délai le Premier ministre des « incidents affectant le fonctionnement ou la sécurité des systèmes d’information », en pratique l’ANSSI. Un décret en Conseil d’État doit intervenir afin de préciser les conditions et limites d’application de l’ensemble de ces nouvelles dispositions. On voit apparaître en raison du renforcement de ces contraintes qui inquiètent certains secteurs économiques, notamment le secteur bancaire, une volonté de développement de l’assurance des cyber-risques13.
 

Pour compléter ce système de notification, l’article 24 de la loi de programmation instaure le nouvel article L.2321-3 au Code de la défense en permettant à ce que l’ANSSI obtienne des opérateurs de communications électroniques « l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes d’information vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou la compromission de leur système ». Désormais, l’ANSSI peut donc obtenir les coordonnées de tout abonné, hébergeur ou éditeur de site Internet, si l’agence estime que son système informatique est ou peut être sujet à des attaques. Mais la disposition ne réserve pas cette faculté qu’aux seules fins d’information des personnes concernées, l’article 24 modifie également l’article L. 34-1 du Code des postes et des communications électroniques pour donner à l’ANSSI la possibilité de se faire communiquer des données d’abonnés « pour les besoins de la prévention des atteintes aux systèmes de traitement automatisés ».
 

La stratégie française s’inscrit plus largement dans une démarche coordonnée au niveau européen dans une stratégie européenne du cyberespace. La France contribue activement à la formulation de cette stratégie qui doit permettre d’assurer une meilleure cybersécurité dans les institutions européennes et dans les Etats membres, mais aussi de faire de l’Union un des acteurs majeurs du cyberespace au niveau mondial.

 

1/ M. Quéméner , J-P Pinte « Cybersécurité des acteurs économiques » : réponses stratégiques et juridiques « 2012 Ed. Hermès Lavoisier » 
2/ JORF n°0294 du 19 décembre 2013 page 20570 
3/ M. Quéméner » La cyberdéfense au regard du livre blanc 2013 sur la défense et la sécurité nationale, https://www.cdse.fr/la-cyberdefense-au-regard-du-livre.html 
4/ articles L. 246-1 à L. 246-5du Code de la sécurité intérieure 
5/ article 20 de cette loi 
6/Loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers

7/ Article R1332-3 du Code de la Défense 
8/ C. défense, art. L. 1332-6-1 à L. 1332-6-4 
9/ C. défense, art. L. 1332-6-6. 
10/ C. défense, art. L. 1332-6-1 
11/www.ssi.gouv.fr 
12/ article L. 1332-6-2 du Code de la défense 
13/ J-L Santoni, Loi de programmation militaire, Contribution de l’assurance des cyberrisques : Expertises, avr. 2014, p. 135 à 140).




L’auteur
 


Myriam
 Quéméner, magistrat, ancien auditrice de l’IHEDN, actuellement avocat général près la Cour d’appel de Versailles est expert auprès du Conseil de l’Europe en matière de cybercriminalité.

Elle est l’auteur de nombreux ouvrages sur les problématiques liées au cyberespace, notamment « Cybercriminalité, droit pénal appliqué » (Economica), « Cybersécurité des acteurs économiques » , Hermès Lavoisier et « cybersociété, entre espoirset risques » (Lharmattan).

 

 
 

 

357 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Quels rôles jouent les technologies numériques dans l’évolution de la médecine du travail ? Groupe Santé#196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

Le numérique au service de la décarbonisation #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

DC Brain nommé au prix de la croissance #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril