Code des postes et des communications électroniques
Paragraphe III : Dispositions relatives au contrôle de la sécurité et de l'intégrité des installations, réseaux ou services
Afin d'être habilité pour effectuer ces contrôles, un organisme doit satisfaire aux conditions suivantes :
1° Justifier d'une accréditation pour la réalisation de contrôles de la sécurité et de l'intégrité des installations, réseaux et services des opérateurs de communications électroniques délivrée par le Comité français d'accréditation ou par un organisme signataire de l'accord européen multilatéral pris dans le cadre de la coordination européenne des organismes d'accréditation ;
2° Disposer de personnels titulaires de l'habilitation mentionnée à l'article R. 2311-7-1 du code de la défense permettant l'accès à des informations classifiées au niveau " Confidentiel Défense ” notamment pour pouvoir réaliser les contrôles des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du même code ;
3° Disposer de personnels autorisés à exercer le contrôle prévu au premier alinéa du présent article au terme d'une enquête administrative réalisée conformément à l'article L. 114-1 du code de la sécurité intérieure ;
4° Justifier de son indépendance vis-à-vis des opérateurs de communications électroniques en démontrant qu'il n'agit pas sous le contrôle de l'un d'eux au sens de l'article L. 233-3 du code de commerce ou qu'il ne fournit pas de services ou d'équipements utilisés dans les installations, réseaux ou services de ceux-ci.
II. – Les demandes d'habilitation sont adressées au haut fonctionnaire de défense et de sécurité du ministère chargé des communications électroniques qui les instruit.
Au terme de l'instruction le ministre chargé des communications électroniques inscrit l'organisme remplissant les conditions mentionnées au I sur une liste des organismes habilités pour effectuer les contrôles mentionnés à l'article L. 33-10 du code des postes et des communications électroniques. L'organisme habilité doit porter sans délai à la connaissance du ministre toute modification des éléments au vu desquels il a été inscrit sur cette liste.
Le ministre chargé des communications électroniques tient à jour cette liste et peut à cet effet s'assurer à tout moment que l'organisme satisfait aux conditions mentionnées au I. Si tel n'est pas le cas ou en cas de manquement de l'organisme à ses obligations, le ministre peut retirer ce dernier de la liste à titre définitif ou temporaire après l'avoir mis à même de présenter ses observations dans un délai de quinze jours.
Afin d'être habilité pour effectuer ces contrôles, un organisme doit satisfaire aux conditions suivantes :
1° Justifier d'une accréditation pour la réalisation de contrôles de la sécurité et de l'intégrité des installations, réseaux et services des opérateurs de communications électroniques délivrée par le Comité français d'accréditation ou par un organisme signataire de l'accord européen multilatéral pris dans le cadre de la coordination européenne des organismes d'accréditation ;
2° Disposer de personnels titulaires de l'habilitation mentionnée à l'article R. 2311-7-1 du code de la défense permettant l'accès à des informations classifiées au niveau " Confidentiel Défense ” notamment pour pouvoir réaliser les contrôles des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du même code ;
3° Disposer de personnels autorisés à exercer le contrôle prévu au premier alinéa du présent article au terme d'une enquête administrative réalisée conformément à l'article L. 114-1 du code de la sécurité intérieure ;
4° Justifier de son indépendance vis-à-vis des opérateurs de communications électroniques en démontrant qu'il n'agit pas sous le contrôle de l'un d'eux au sens de l'article L. 233-3 du code de commerce ou qu'il ne fournit pas de services ou d'équipements utilisés dans les installations, réseaux ou services de ceux-ci.
II. - Les demandes d'habilitation sont adressées à l'administrateur interministériel des communications électroniques de défense institué à l'article R. 1334-4 du code de la défense, qui les instruit.
Au terme de l'instruction le ministre chargé des communications électroniques inscrit l'organisme remplissant les conditions mentionnées au I sur une liste des organismes habilités pour effectuer les contrôles mentionnés à l'article L. 33-10 du code des postes et des communications électroniques. L'organisme habilité doit porter sans délai à la connaissance du ministre toute modification des éléments au vu desquels il a été inscrit sur cette liste.
Le ministre chargé des communications électroniques tient à jour cette liste et peut à cet effet s'assurer à tout moment que l'organisme satisfait aux conditions mentionnées au I. Si tel n'est pas le cas ou en cas de manquement de l'organisme à ses obligations, le ministre peut retirer ce dernier de la liste à titre définitif ou temporaire après l'avoir mis à même de présenter ses observations dans un délai de quinze jours.
Afin d'être habilité pour effectuer ces contrôles, un organisme doit satisfaire aux conditions suivantes :
1° Justifier d'une accréditation pour la réalisation de contrôles de la sécurité et de l'intégrité des installations, réseaux et services des opérateurs de communications électroniques délivrée par le Comité français d'accréditation ou par un organisme signataire de l'accord européen multilatéral pris dans le cadre de la coordination européenne des organismes d'accréditation ;
2° Disposer de personnels titulaires de l'habilitation mentionnée à l'article R. 2311-7 du code de la défense permettant l'accès à des informations classifiées au niveau " Secret ” notamment pour pouvoir réaliser les contrôles des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du même code ;
3° Disposer de personnels autorisés à exercer le contrôle prévu au premier alinéa du présent article au terme d'une enquête administrative réalisée conformément à l'article L. 114-1 du code de la sécurité intérieure ;
4° Justifier de son indépendance vis-à-vis des opérateurs de communications électroniques en démontrant qu'il n'agit pas sous le contrôle de l'un d'eux au sens de l'article L. 233-3 du code de commerce ou qu'il ne fournit pas de services ou d'équipements utilisés dans les installations, réseaux ou services de ceux-ci.
II.-Les demandes d'habilitation sont adressées à l'administrateur interministériel des communications électroniques de défense institué à l'article R. 1334-4 du code de la défense, qui les instruit.
Au terme de l'instruction le ministre chargé des communications électroniques inscrit l'organisme remplissant les conditions mentionnées au I sur une liste des organismes habilités pour effectuer les contrôles mentionnés à l'article L. 33-10 du code des postes et des communications électroniques. L'organisme habilité doit porter sans délai à la connaissance du ministre toute modification des éléments au vu desquels il a été inscrit sur cette liste.
Le ministre chargé des communications électroniques tient à jour cette liste et peut à cet effet s'assurer à tout moment que l'organisme satisfait aux conditions mentionnées au I. Si tel n'est pas le cas ou en cas de manquement de l'organisme à ses obligations, le ministre peut retirer ce dernier de la liste à titre définitif ou temporaire après l'avoir mis à même de présenter ses observations dans un délai de quinze jours.
Un seul contrôle peut être engagé par année civile pour un même réseau ou un même service. Toutefois, le ministre chargé des communications électroniques peut engager d'autres contrôles lorsque les réseaux ou les services de cet opérateur font l'objet, au cours de cette même année, d'une atteinte à leur sécurité ou d'une perte d'intégrité ayant un impact significatif sur leur fonctionnement ou lorsque des défauts ou des vulnérabilités dans les mesures prises pour assurer la sécurité et l'intégrité des installations, réseaux ou services de l'opérateur ont été constatés à l'occasion d'un précédent contrôle intervenu au cours de la même année civile.
II. – L'opérateur prend les dispositions nécessaires à la réalisation du contrôle par le service de l'Etat désigné par le ministre ou par l'organisme qu'il a choisi et communique ces dernières dans un délai de deux mois suivant la notification mentionnée au I du présent article au ministre chargé des communications électroniques, qui s'assure que ces dispositions répondent aux objectifs du contrôle.
L'opérateur rend compte sans délai de toute difficulté au ministre chargé des communications électroniques.
III. – Lorsque le contrôle intervient à la suite d'une atteinte à la sécurité ou une perte d'intégrité ayant un impact significatif sur le fonctionnement des réseaux ou des services de l'opérateur ou lorsque des défauts ou des vulnérabilités dans les mesures prises pour assurer la sécurité et l'intégrité de ses installations, réseaux ou services ont été constatés à l'occasion d'un précédent contrôle intervenu au cours de la même année civile, le ministre chargé des communications électroniques peut imposer que le délai mentionné au II soit inférieur à deux mois compte tenu du risque de sécurité identifié.
Le rapport, comportant, le cas échéant, les observations de l'opérateur, est remis par ce dernier au ministre chargé des communications électroniques au plus tard au terme du délai fixé pour la réalisation du contrôle.
Le ministre chargé des communications électroniques peut auditionner le service ou l'organisme ayant réalisé le contrôle, en présence de l'opérateur qui est également entendu, dans le mois qui suit la remise du rapport.
Le ministre chargé des communications électroniques informe l'Autorité de régulation des communications électroniques et des postes des principales conclusions du contrôle.
Le rapport, comportant, le cas échéant, les observations de l'opérateur, est remis par ce dernier au ministre chargé des communications électroniques au plus tard au terme du délai fixé pour la réalisation du contrôle.
Le ministre chargé des communications électroniques peut auditionner le service ou l'organisme ayant réalisé le contrôle, en présence de l'opérateur qui est également entendu, dans le mois qui suit la remise du rapport.
Le ministre chargé des communications électroniques informe l' Autorité de régulation des communications électroniques, des postes et de la distribution de la presse des principales conclusions du contrôle.
Un arrêté du Premier ministre fixe le coût unitaire global d'un contrôle mobilisant un agent pendant une journée.