Comment les pouvoirs de l’Anssi pourraient être renforcés avec la nouvelle loi de programmation militaire

Comment les pouvoirs de l’Anssi pourraient être renforcés avec la nouvelle loi de programmation militaire


L’Anssi pourrait obtenir un nouveau renforcement de ses pouvoirs et de son champ d’intervention à la faveur de la prochaine loi de programmation militaire 2024-2030. Présenté mardi en conseil des ministres, ce texte prévoit en effet de muscler les compétences du cyberpompier de l’Etat à travers quatre articles.

Autant de dispositions qui doivent permettre à l’agence de Vincent Strubel « d’augmenter sa connaissance des modes opératoires des cyberattaquants, de mieux remédier aux effets de leurs attaques et d’alerter plus efficacement les victimes des incidents ou des menaces pesant sur leurs systèmes d’information », précise le gouvernement.

Le retour des sondes

Dans le détail, ce projet de loi doit être l’occasion, via son article 35, de revoir les dispositions relatives aux sondes et à la recherche de marqueurs techniques. Ces mesures introduites dans la précédente loi de programmation militaire avaient déjà fait couler beaucoup d’encre.

Mais pour l’Anssi, le résultat n’a pas été à la hauteur des attentes. Comme le précise l’étude d’impact de la nouvelle loi de programmation militaire, l’agence s’est ainsi heurtée à une divergence d’interprétation avec l’Arcep, le régulateur des télécoms, ayant une lecture plus restrictive sur le champ de la collecte possible.

Résultat : le cyberpompier français n’a aujourd’hui accès qu’aux effets des activités malveillantes, les flux réseaux, et non leurs causes, le code, les logs ou le contenu stocké, regrette le gouvernement. Un raté qui doit désormais être corrigé en permettant à l’agence par exemple d’obtenir la copie du serveur utilisé par l’attaquant.

Extension du périmètre

Au passage, l’Anssi table sur une extension du périmètre retenu aux opérateurs de centres de données, une façon de prendre en compte l’évolution de la menace. Le gouvernement souligne en effet la « fréquente utilisation par des attaquants de serveurs compromis, loués par des hébergeurs étrangers auprès d’opérateurs de centres de données basés sur le territoire national ».

Cet article de la loi de programmation militaire prévoit également de rendre obligatoire la mise en place de capacités de détection chez les opérateurs de communications électroniques désignés comme des opérateurs d’importance vitale. Enfin, le gouvernement veut élargir aux hébergeurs de données l’obligation de communication, « à des fins exclusives d’alerte », d’utilisateurs de systèmes vulnérables ou attaqués et de données techniques. Soit une façon pour l’Anssi d’améliorer sa connaissance des modes opératoires des attaquants et de pouvoir identifier et alerter plus de victimes.

Obligation de signalement

Outre ce premier gros morceau législatif, le gouvernement table sur l’introduction d’une nouvelle obligation de signalement pour les éditeurs de logiciels victimes d’un incident informatique ou ayant découvert une vulnérabilité sur un produit utilisé en France. Le projet de loi veut ainsi imposer la transmission d’une information à l’Anssi et aux utilisateurs de ces logiciels.

Une façon, espèrent les autorités, d’améliorer la transparence et la réaction dans ce domaine. Et sans oublier de donner un bâton pour convaincre les plus récalcitrants. L’agence pourrait ainsi faire du « name and shame » en signalant des injonctions sans réponse adressées à des éditeurs. Selon l’étude d’impact, les approches à l’amiable actuelles du cyberpompier ne rencontrent pas toujours « le succès escompté ».

Filtrage des noms de domaine

Ensuite, l’article 32 du projet de loi doit permettre également à l’Anssi de prescrire des mesures de filtrage de noms de domaine pour neutraliser des attaques informatiques. Cette disposition pourrait prendre la forme d’une injonction à un blocage et d’une suspension pour contrer une action malveillante, ou d’une redirection et d’un transfert du nom de domaine à des fins de renseignement.

« Les opérateurs contribueraient ainsi à assurer aux utilisateurs finaux un flux sécurisé de données dans le cadre de leur navigation sur internet », signale l’étude d’impact. « Cela permettrait également une augmentation significative des capacités nationales de détection des attaques informatiques et donnerait à l’Anssi la capacité de neutraliser des menaces graves et avérées, susceptibles d’affecter la sauvegarde de la sécurité nationale. »

Données techniques DNS

Enfin, l’article 33 prévoit la communication à l’agence des « données techniques, non identifiantes, enregistrées temporairement par les serveurs DNS qui établissent la correspondance entre le nom de domaine et l’adresse IP des machines d’un réseau ». Soit une façon, explique le gouvernement, qui signale un vide juridique existant, de détecter les serveurs mis en place par les attaquants et d’établir la chronologie de leurs attaques.

Si le Conseil d’Etat a jugé ces différentes dispositions proportionnées, il a par contre suggéré de ne pas retenir l’une des mesures du texte, jugée bancale. Celle-ci prévoit la possibilité pour l’Anssi de sous-traiter le recueil de données technique à un autre service de l’Etat dans un objectif de mutualisation.

Déposé à l’Assemblée nationale, le projet de loi devrait être examiné par les députés dans le courant du mois de mai, avec une navette vers le Sénat espérée pour le mois suivant. Le gouvernement mise sur une promulgation autour de la date symbolique du 14 juillet, la fête nationale.





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.