Code des postes et des communications électroniques
Paragraphe III bis : Dispositions relatives à la prévention des menaces affectant la sécurité des systèmes d'information
1° La nature du dispositif, les mesures de sécurité appliquées et le type de marqueurs techniques susceptibles d'être exploités par ce dispositif ;
2° Les capacités d'analyse du dispositif, les infrastructures de communications électroniques concernées et, le cas échéant, les méthodes d'échantillonnage des flux de données analysés ainsi que la fréquence d'analyse ;
3° Les critères techniques définis pour détecter les événements susceptibles de porter atteinte à la sécurité des systèmes d'information ;
4° Les catégories de données susceptibles d'être collectées et la durée de conservation appliquée dans la limite de six mois mentionnée au troisième alinéa de l'article L. 33-14.
1° Des coûts exposés pour les études, l'ingénierie, la conception et le déploiement des dispositifs mentionnés à cet alinéa ;
2° Des coûts liés à la maintenance et, le cas échéant, à la location des moyens permettant le fonctionnement de ces dispositifs.
Les choix techniques opérés par l'opérateur au titre du 1° et du 2° font l'objet d'une validation préalable par le ministre chargé des communications électroniques, après avis de l'autorité nationale de sécurité des systèmes d'information.
Une convention entre le ministre chargé des communications électroniques et l'opérateur détermine les modalités de paiement de la juste rémunération.
II. - Les surcoûts liés à la conception et au déploiement des systèmes d'information ou, le cas échéant, à leur adaptation, permettant la communication des données mentionnées au quatrième alinéa de l'article L. 33-14 et au deuxième alinéa de l'article L. 2321-3 ainsi que les surcoûts liés au fonctionnement et à la maintenance de ces systèmes sont remboursés par l'Etat selon des tarifs fixés par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques.
Nota
Lorsque l'utilisation d'un marqueur, à l'initiative de l'opérateur de communications électroniques ou à la demande de l'Agence nationale de la sécurité des systèmes d'information, est à l'origine d'une alerte pour la sécurité des systèmes d'information d'un abonné, l'opérateur est autorisé à conserver, pour une durée maximale de six mois, les données techniques mentionnées à l'article R. 10-15 associées à cette alerte.
Lorsque l'utilisation d'un marqueur, à la demande de l'autorité nationale de sécurité des systèmes d'information, est à l'origine d'une alerte pour la sécurité des systèmes d'information d'un abonné, l'opérateur mentionné au premier alinéa de l'article L. 33-14 est autorisé à conserver, pour une durée maximale de six mois, les données techniques mentionnées à l'article R. 10-15 associées à cette alerte.
Nota
Les opérateurs, après avoir vérifié l'innocuité des marqueurs techniques fournis par l'Agence nationale de la sécurité des systèmes d'information pour leurs réseaux et services, les mettent en œuvre pour la durée indiquée. Ils tiennent à la disposition de l'agence une situation à jour de l'exploitation des marqueurs techniques fournis et justifient toute non-utilisation, même temporaire, de ces derniers.
Lorsque l'utilisation d'un marqueur technique fourni par l'Agence nationale de la sécurité des systèmes d'information est à l'origine d'une alerte pour la sécurité des systèmes d'information d'un abonné, l'opérateur en informe celle-ci sans délai. Il lui transmet, conformément au deuxième alinéa de l'article L. 2321-3 du code de la défense, les données techniques permettant d'identifier l'utilisateur ou le détenteur du système d'information affecté par l'événement détecté.
A la demande de l'agence, si l'événement concerne une autorité publique, un opérateur mentionné aux articles L. 1332-1 et L. 1332-2 du code de la défense ou à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, les opérateurs communiquent à l'agence, dans les mêmes conditions, les données mentionnées à l'article R. 10-15 associées à cette alerte.
Les opérateurs, après avoir vérifié l'innocuité des marqueurs techniques fournis par l'Agence nationale de la sécurité des systèmes d'information pour leurs réseaux et services, les mettent en œuvre pour la durée indiquée. Ils tiennent à la disposition de l'agence une situation à jour de l'exploitation des marqueurs techniques fournis et justifient toute non-utilisation, même temporaire, de ces derniers.
Lorsque l'utilisation d'un marqueur technique fourni par l'Agence nationale de la sécurité des systèmes d'information est à l'origine d'une alerte pour la sécurité des systèmes d'information d'un abonné, l'opérateur en informe celle-ci sans délai. Il lui transmet la date et l'horaire de l'alerte associés au marqueur technique qui en est à l'origine ainsi que les données techniques permettant d'identifier l'utilisateur ou le détenteur du système d'information affecté par l'événement détecté.
A la demande de l'agence, si l'événement concerne une autorité publique, un opérateur mentionné aux articles L. 1332-1 et L. 1332-2 du code de la défense ou à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, les opérateurs communiquent à l'agence, dans les mêmes conditions, les données mentionnées à l'article R. 10-15 associées à cette alerte.
Nota
Nota
Nota
1° Des éléments de nature à justifier l'existence de la menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 de ce code ou des opérateurs mentionnés à l'article 5 de la loi du 26 février 2018 précitée, y compris le cas échéant, les éléments relatifs à l'infrastructure d'attaque informatique ;
2° De la notification aux personnes mentionnées au premier alinéa de l'article R. 2321-1-1 du code de la défense, de la décision de mise en œuvre des dispositifs techniques mentionnés au premier alinéa de l'article L. 2321-2-1 du même code et du cahier des charges mentionnés au même article R. 2321-1-1 ;
3° Des réseaux et systèmes d'information des opérateurs de communications électroniques et personnes mentionnées aux 1 ou 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique sur lesquels sont mis en œuvre les dispositifs mentionnés à l'article L. 2321-2-1 du code de la défense ;
4° Des caractéristiques techniques de ces dispositifs et des objectifs attendus ;
5° Des catégories de données techniques susceptibles d'être recueillies ;
6° Des résultats de l'analyse technique réalisée en application du deuxième alinéa de l'article L. 2321-2-1 du même code ;
7° Le cas échéant, de la décision de prorogation mentionnée à l'article R. 2321-1-2 de ce code.
1° Des éléments de nature à justifier l'existence de la menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 de ce code ou des opérateurs mentionnés à l'article 5 de la loi du 26 février 2018 précitée, y compris le cas échéant, les éléments relatifs à l'infrastructure d'attaque informatique ;
2° De la notification aux personnes mentionnées au premier alinéa de l'article R. 2321-1-1 du code de la défense, de la décision de mise en œuvre des dispositifs techniques mentionnés au premier alinéa de l'article L. 2321-2-1 du même code et du cahier des charges mentionnés au même article R. 2321-1-1 ;
3° Des réseaux et systèmes d'information des opérateurs de communications électroniques et personnes mentionnées aux 1 ou 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique sur lesquels sont mis en œuvre les dispositifs mentionnés à l'article L. 2321-2-1 du code de la défense ;
4° Des caractéristiques techniques de ces dispositifs et des objectifs attendus ;
5° Des catégories de données techniques susceptibles d'être recueillies ;
6° Des résultats de l'analyse technique réalisée en application du deuxième alinéa de l'article L. 2321-2-1 du même code ;
7° Le cas échéant, de la décision de prorogation mentionnée à l'article R. 2321-1-2 de ce code.
1° Au titre de l'article L. 2321-2-1 du code de la défense :
a) Des éléments de nature à justifier l'existence de la menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense ou des opérateurs mentionnés à l'article 5 de la loi du 26 février 2018 précitée, y compris le cas échéant, les éléments relatifs à l'infrastructure d'attaque informatique ;
b) De la notification aux personnes mentionnées au I de l'article R. 2321-1-2 du code de la défense, de la décision de mise en œuvre des dispositifs techniques mentionnés au 1° de l'article L. 2321-2-1 du même code et du cahier des charges mentionnés au même article R. 2321-1-2 ;
c) Des réseaux et systèmes d'information des personnes mentionnées au I de l'article R. 2321-1-2 du code de la défense sur lesquels sont mis en œuvre les dispositifs mentionnés à l'alinéa précédent ;
d) Des caractéristiques techniques de ces dispositifs et des objectifs attendus ;
e) Des catégories de données techniques susceptibles d'être recueillies ;
f) Des résultats de l'analyse technique réalisée en application du cinquième alinéa de l'article L. 2321-2-1 du même code ;
g) Le cas échéant, de la décision de prorogation mentionnée au deuxième alinéa de l'article R. 2321-1-3 de ce code ;
2° Au titre du quatrième alinéa du III de l'article L. 2321-2-3 du code de la défense :
a) Des éléments de nature à justifier l'existence de la menace susceptible de porter atteinte à la défense et à la sécurité nationale résultant de l'exploitation d'un nom de domaine ;
b) Des éléments de nature à justifier qu'un nom de domaine a été enregistré aux fins d'être exploité pour porter atteinte à la défense et à la sécurité nationale ;
c) De la notification de la demande de mesures correctives au titulaire du nom de domaine enregistré de bonne foi et du délai imparti à celui-ci pour leur mise en œuvre ;
d) Des éléments transmis par le titulaire du nom de domaine de bonne foi pour établir la neutralisation de la menace ;
e) Des demandes de mise en œuvre ou de cessation des mesures auprès des personnes mentionnées au 1° et au 2° du I et II de l'article L. 2321-2-3 du même code ;
f) De la liste des serveurs accueillant une redirection et des mesures de sécurisation mise en œuvre sur ce serveur ;
g) Des mesures mises en œuvre pour assurer l'information des utilisateurs ou des détenteurs des systèmes affectés, menacés ou attaqués.
Nota
I. - Quand elle est saisie en l'application du II de l'article L. 36-14, la formation de règlement des différends, de poursuite et d'instruction de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse rend un avis dans un délai d'un mois.
II. - La saisine pour avis de l'Autorité mentionnée au premier alinéa comprend :
1° Pour l'application du 2° de l'article L. 2321-2-1 du code de la défense :
a) Les éléments de nature à justifier l'existence ou la persistance de la menace susceptible de porter atteinte à la défense et à la sécurité nationale ;
b) Le projet de décision de mise en œuvre des dispositifs techniques de recueil des données et, le cas échéant, le projet de cahier des charges mentionnés à l'article R. 2321-1-2 du même code ;
c) La liste des réseaux et systèmes d'information des personnes mentionnées au I de l'article R. 2321-1-2 du même code ;
d) Les objectifs attendus ;
e) Le cas échéant, la décision de prorogation mentionnée au troisième alinéa de l'article R. 2321-1-3 du même code ;
2° Pour l'application du II de l'article L. 2321-2-3 du même code, des éléments de nature à justifier la persistance de la menace ayant conduit à la mesure de redirection.
Nota
1° Des éléments de nature à justifier l'existence d'un événement susceptible d'affecter la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du même code ou des opérateurs mentionnés à l'article 5 de la loi du 26 février 2018 précitée ;
2° Des demandes formulées auprès des opérateurs de communications électroniques et des catégories de données obtenues.
1° Des éléments de nature à justifier l'existence d'un événement susceptible d'affecter la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du même code ou des opérateurs mentionnés à l'article 5 de la loi du 26 février 2018 précitée ;
2° Des demandes formulées auprès des opérateurs de communications électroniques et des catégories de données obtenues.