Cette interview a été réalisée par Alain Establier lors des dernières Assises de la Cybersécurité

SDBR News : Concernant ces articles 64, 65 et 66 de la LPM*, s’agit-il de responsabiliser les propriétaires de noms de domaines informatiques mal protégés ou de décharger l’État de toute responsabilité face à un danger exponentiel ?

Garance Mathias : Les Lois de Programmation Militaire (LPM) préexistantes définissent le statut d’OIV (Opérateur d’Importance Vitale) et la nouvelle LPM s’inscrit dans cette démarche de Sécurité Nationale et de protection des systèmes d’information d’une certaine typologie d’acteurs. Dans cette nouvelle LPM, deux typologies de dispositions peuvent retenir l’attention en matière de cybersécurité: une partie qui concerne effectivement les propriétaires de noms de domaine et une autre qui concerne la vulnérabilité des logiciels. Ces dispositions ont été complétées par un décret en date du 10 mai 2024 qui précise le cadre procédural fixé par la loi ainsi que la prise en charge de la compensation financière.

Ainsi, concernant les filtrages des noms de domaine, pour rappel un principe de notre Droit est la neutralité d’Internet. C’est un principe très important, consacré par la Cour de Justice de l’Union Européenne. La question est donc : comment intégrer les garanties procédurales dans le cadre des nouveaux pouvoirs de l’ANSSI et dans le cadre du blocage de nom de domaine?  

SDBR News : En effet, comment ?

Garance Mathias : La LPM dote l’ANSSI de pouvoirs en cas de menace pour la défense et la sécurité nationale liée à l’usage de noms de domaines, utilisés ou instrumentalisés par les cyber-attaquants. Cette mise en œuvre est conditionnée par le constat préalable d’une menace susceptible de porter atteinte à la Sécurité Nationale.

Plusieurs hypothèses. Le titulaire du nom de domaine est de bonne foi et son nom de domaine est exploité à son insu. Dans un premier temps, l’ANSSI va enjoindre le propriétaire du nom de domaine à prendre des mesures correctives. Si ce dernier ne les prend pas dans le délai énoncé, l’ANSSI va enjoindre notamment le bureau d’enregistrement de suspendre le nom de domaine.

SDBR News : Que se passe t-il si le titulaire du nom de domaine a agit avec la volonté de nuire?

Garance Mathias : Dans cette autre hypothèse, le titulaire a enregistré son nom de domaine à des fins d’attaques, l’ANSSI pourra ordonner une redirection du nom de domaine vers un serveur sécurisé, suspendre le renouvellement du nom de domaine, voire devenir alors le titulaire du nom de domaine. L’ANSSI se réfère aux marqueurs techniques du code des communications électroniques pour identifier les menaces susceptibles d’impacter la sécurité des systèmes d’information et la sécurité de la Défense Nationale et des OIV.

SDBR News : Quels sont les enjeux pour l’ANSSI ?

Garance Mathias : Dans le cadre de l’analyse des noms de domaines, l’ANSSI bien entendu va avoir accès à des données personnelles et techniques, telles que l’adresse IP, mais c’est toujours proportionné par rapport aux finalités de lutte pour la Sécurité Nationale : identifier des victimes et pouvoir les prévenir. Les enjeux sont toujours les mêmes : comment caractériser, comment neutraliser les attaques et comment informer les victimes potentielles ? L’ANSSI devra donc collecter les données techniques listées dans le décret, qui lui sont strictement nécessaires pour remplir sa mission, et les conserver dans des délais courts avant leur destruction.

A noter que l’ensemble de ce dispositif est soumis au contrôle a posteriori de l’ARCEP**.

SDBR News : Ce texte est d’application. Peut-il poser des questions opérationnelles ?

Garance Mathias : En effet, c’est un texte intéressant mais il convient de voir ses conséquences opérationnelles, sur lesquelles nous avons actuellement peu d’informations. Les propriétaires de domaine concernés par la LPM, donc les OIV, vont-ils mettre en place une surveillance et un enregistrement de leurs sites web ? Avec les conséquences financières que cela entrainent, etc. Beaucoup de questions qui sont pour l’instant en suspens.

SDBR News : La LPM évoque aussi la vulnérabilité des logiciels. Quelle sera la règle dorénavant?

Garance Mathias : Ce sont les éditeurs de logiciels qui sont concernés, soit lorsqu’ils ont connaissance d’une vulnérabilité affectant un de leurs produits, soit en cas d’incident compromettant la sécurité de leur SI et donc susceptible d’affecter un de leurs produits.

Il appartient à l’éditeur d’apprécier le caractère significatif de cette vulnérabilité notamment au regard des critères précisés par la loi, à savoir : nombre d’utilisateurs concernés par la vulnérabilité ou l’incident affectant le produit, le nombre de produits intégrant le produit affecté, l’impact technique, l’exploitation imminente ou avérée (avec les preuves, etc.).

Dans ce cas ils devront notifier l’ANSSI dans un délai qui « ne peut être inférieur à 48h ». C’est donc une charge et un processus supplémentaires à la charge des éditeurs. Après analyse conjointe de la vulnérabilité et de l’incident avec l’ANSSI, cette dernière notifie à l’éditeur le délai dans lequel il doit notifier à ses clients cet incident, cette vulnérabilité : le message doit contenir les détails utiles pour comprendre la recommandation.

L’éditeur devra adapter ses contrats face à ces nouvelles obligations. N’oublions pas que tout cela aura un coût. Et à nouveau, si l’éditeur n’informe pas dans les délais, l’ANSSI pourra prendre une injonction, rendre publique la vulnérabilité.

SDBR News : Un petit éditeur ne pourra jamais gérer tout cela…

Garance Mathias : Certes, ces textes sont vertueux et partent d’un besoin de sécurité nationale pour les systèmes d’information en renforçant les pouvoirs de l’ANSSI. En cas de contentieux, le Conseil d’État est compétent, conformément au droit commun (le législateur n’a pas fait le choix d’avoir une chambre spécialisée compte tenu de la technicité des textes et des enjeux de sécurité nationale)… Il reste qu’il convient d’attendre le retour d’expérience sur ces dispositifs.

*LPM - Article 64 : Quand une menace portant atteinte à la sécurité nationale est détectée sur un enregistrement DNS (autrement dit, cela peut être la compromission d'un site web et de son enregistrement DNS), l'ANSSI doit notifier le propriétaire de cet enregistrement afin que celui-ci neutralise la menace. https://www.avocats-mathias.com/wp-content/uploads/2024/09/Mathias_Avocats_LPM_Noms-de-domaine_PDF.pdf

Article 65 : Les fournisseurs de système de résolution de noms de domaine transmettent aux agents de l'ANSSI individuellement désignés et spécialement habilités les données techniques ni directement ni indirectement identifiantes enregistrées de manière temporaire par leurs serveurs gérant le système d'adressage par domaines.

Article 66 : Tout éditeur fournissant un logiciel sur le territoire français, à des sociétés ayant leur siège social en France ou à des sociétés contrôlées par ces dernières, se doit de déclarer auprès de l'ANSSI toute vulnérabilité ...

** L'Arcep est l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, au statut d'autorité administrative.