19 interventions trouvées.
Le groupe Horizons et apparentés est favorable à cet article qui permet à l'Anssi, en cas de menace susceptible de porter atteinte à la sécurité nationale, de prescrire plusieurs réponses graduelles affectant les noms de domaines, en particulier leur blocage, leur suspension et leur redirection vers un serveur sécurisé ou neutre contrôlé par l'Anssi. En commission, nous n'avions pas émis de réserve sur cet article, mais nous avions demandé des précisions sur son périmètre d'application. Nous a...
L'article 32 dans sa rédaction actuelle confie à l'Anssi des prérogatives en matière de filtrage de noms de domaine dans les cas de menaces susceptibles de porter atteinte à la sécurité nationale. Cette dernière notion est très évasive. Les prérogatives de l'Anssi se trouveraient donc d'autant plus étendues que leur impact sur la liberté d'accéder aux services de communication serait fort. Il faut donc préciser – c'est la moindre des précautions – les finalités pour lesquelles ces prérogatives peuvent être employées. Nous proposons...
...elle n'est pas un service de renseignement. Nous faisons encore trop souvent cet amalgame, y compris en commission. L'Anssi n'a donc pas vocation à suivre les personnes. Son rôle est d'identifier les victimes d'attaques et de faire face aux situations compliquées provoquées par ces attaques. Dans un souci d'harmonisation de la rédaction des articles, la formulation actuelle faisant référence aux menaces susceptibles de porter atteinte à la sécurité nationale est préférable à celle proposée par l'amendement. J'émets donc un avis défavorable.
..., les modifications apportées en commission des lois aux premiers alinéas de l'article 32 nous conviennent. En outre, pour répondre à votre objection, la décision du Conseil constitutionnel sur la loi « 5G », sécurise leur rédaction – nous n'avons donc plus de réserve sur ceux-ci. Quant à l'amendement, nous le soutenons également car il faut absolument donner à l'Anssi les moyens de prévenir les menaces qui apparaîtront dans les prochaines semaines à la suite des évolutions technologiques des navigateurs, notamment pendant les Jeux olympiques (JO). Alors qu'en commission des lois, nous, membres du groupe MODEM, souhaitions plutôt restreindre le champ de cet article, les modifications apportées et la décision du Conseil constitutionnel nous ont rassurés et nous sommes donc favorables ici à son e...
... recours car nous sommes dans un État de droit – encore un peu, du moins. Or, par-delà cette question d'équilibre, je vous interrogeais sur votre logique. S'il s'agit de contenus des plus problématiques ou d'attaques visant un hôpital, par exemple, je serais moi-même prêt à admettre que des délais de soixante-douze heures ou de quarante-huit heures ouvrées sont trop longs. Mais peut-être que les menaces visées ne sont pas si graves, qu'elles sont déjà bien anticipées, que l'action des services de l'Anssi est seulement entravée par le manque de moyens humains, que des effectifs supplémentaires tant dans cette agence que chez les opérateurs permettraient des délais beaucoup plus rapides que soixante-douze heures. Choisissons en tout cas un délai logique, qui permette à nos concitoyens de faire v...
...tu en commission. Toutefois, le dispositif proposé serait particulièrement lourd pour cette agence et devrait donc, à mon avis, être réservé aux cas les plus problématiques en matière de libertés publiques. C'est pourquoi l'article prévoit que de la redirection du nom de domaine vers un serveur sécurisé de l'Anssi ne peut excéder deux mois, renouvelable une seule fois en cas de persistance de la menace, et après avis de l'Arcep. Cette mesure doit cesser sans délai lorsque la menace est maîtrisée. Les autres mesures sont également soumises au contrôle de l'Arcep, qui dispose d'un accès permanent aux données collectées par l'Anssi. En outre, toutes les mesures ordonnées par l'Anssi sont susceptibles de recours devant le juge administratif, dans les conditions du droit commun. L'ensemble de ces g...
...el vous voulez marquer votre opposition aux nouvelles autorisations en matière de collecte de données, sans motif légitime apparent ; or l'alinéa 14 concerne les cas où des cyberattaquants ont sciemment exploité un nom de domaine aux fins de porter atteinte à la sécurité nationale. Il s'agit d'obtenir des éléments sur le comportement de l'attaquant, sur son mode opératoire, afin de neutraliser la menace, d'identifier les victimes et de mieux prévenir les attaques. L'alinéa prévoit des délais de conservation limités, sous le contrôle de l'Arcep. D'ailleurs, dans son avis sur le projet de loi, le Conseil d'État observe que le dispositif envisagé est justifié par la sauvegarde des intérêts fondamentaux de la nation et par la prévention des atteintes à l'ordre public. J'ai néanmoins souhaité une d...
...s cyberattaques et non seulement à leurs effets. Cet article prévoit l'obtention de la copie des données de cache des serveurs DNS : les noms de domaine, les adresses IP des machines utilisées et l'horodatage des demandes. Il sera ainsi possible de connaître avec précision les modes opératoires des cyberattaquants. Ces données sont stratégiques pour perfectionner nos dispositifs de détection des menaces et de contre-attaque. Le dispositif prévu à l'article 33 fait évidemment l'objet d'un contrôle de l'Arcep, qui figure à l'article 35. L'article 33 prévoit d'autres garanties essentielles, en excluant les données identifiantes de la copie autorisée par l'Anssi – nous en avons longuement parlé en commission. Je défendrai d'ailleurs un amendement visant à instaurer l'anonymisation des données qui ...
... sa décision du 5 février 2021 citée tout à l'heure, les « installations dont l'indisponibilité risquerait de diminuer d'une façon importante – et il en vient ici à la définition de la sécurité nationale – le potentiel de guerre de la nation, son potentiel économique, sa sécurité ou sa capacité de survie et qui, de ce fait, sont tenues de coopérer à la protection de ces installations contre toute menace ». Cette définition est donc suffisamment large pour englober les cas d'attaques cyber tout en étant très précise, davantage en tout cas que celle du code pénal que vous proposiez de retenir, monsieur Iordanoff. Il n'est pas question ici des installations culturelles, par exemple.
...ant que certains logiciels commercialisés en France peuvent provenir d'éditeurs soumis au droit néerlandais. Il est donc important d'envisager des solutions de traitement de l'information coopératives, impliquant les différentes autorités nationales concernées, à l'instar de ce que nous avons fait avec le règlement général sur la protection des données (RGPD). En outre, dans le cadre européen, la menace de sanction est beaucoup plus forte du fait de l'extraterritorialité. Sans être hostile sur le principe à la logique de ces amendements, je pense qu'il serait bon que nous soyons au clair sur les vulnérabilités, les backdoors – sans parler de Palentir, entouré d'une certaine opacité –, et que le bon vecteur en la matière est NIS 2. Si jamais la directive faisait l'impasse sur le sujet, al...
...évoyait initialement la suppression. Ainsi modifié, il est désormais acceptable, conforme à ce qu'il doit être, si bien que nous voterons contre les amendements identiques tendant à le supprimer. En revanche, monsieur le ministre délégué, il ressort de cet article que des traceurs et balises peuvent être placés « sur le système d'information […] d'un opérateur de centre de données affecté par la menace ». Or de plus en plus de centres de données sont en colocation, c'est-à-dire louent de l'espace à des tiers, ce qui pose une question d'extraterritorialité : les dispositifs permettant le recueil de données porteront-ils bien seulement sur le système d'information, par opposition aux meet-me rooms (MMR) du centre, voire à ses locataires, qui peuvent relever d'un droit extra-européen ? Il i...
Les nouveaux pouvoirs de l'Anssi ressemblent bizarrement à ce qui se pratique en matière de renseignement : la captation de données par des boîtes noires. Certes, le mécanisme prévu par le texte est plus circonscrit, mais je ne m'en pose pas moins des questions. Sa finalité serait plutôt préventive : on nous explique qu'il ne sera mis en œuvre que tant que durera la menace, et dans le même temps que, l'Anssi ne roulant pas sur l'or, les dispositifs techniques pourraient être installés et analysés par les opérateurs eux-mêmes. Ces opérateurs auront donc à leur main un dispositif technique de captation de leurs propres données, à des fins d'analyse, alors que, pour des raisons de préservation des données personnelles des utilisateurs, ils ne sont théoriquement pas c...
...tifs de collecte de données puis les transmettent, sur saisie de l'Anssi. Cela nous semble illogique, d'autant plus que d'autres modes de fonctionnement pourraient sans doute être envisagés. Je profite de l'occasion pour vous signaler dès à présent un problème de cohérence dans le texte : à l'alinéa 13, il est indiqué « Ces données ne peuvent être exploitées qu'aux seules fins de caractériser la menace affectant la sécurité de ces systèmes, à l'exclusion de toute autre exploitation. Elles ne peuvent être conservées plus de dix ans. »
Alinéa après alinéa, l'article 35 pose problème en de multiples endroits ! Le dispositif est censé être préventif, alors qu'il est circonscrit à l'existence d'une menace, ce qui est contradictoire. Des garanties sont données quant à la durée des mesures – on parle à l'article 32 de deux mois – et quant à la nécessité de les reconduire, mais elles ne correspondent pas à la logique préventive qui est affichée. Les marqueurs techniques devant capter les données ne sont pas précisément définis. On nous indique que les données personnelles seront détruites, car ce ne ...
...et celles qui ont été introduites en commission des lois. L'article 35 vise à compléter le dispositif actuel qui permet déjà à l'Anssi, depuis la dernière loi de programmation militaire, de recourir à des marqueurs techniques pour obtenir, pendant une durée limitée, des informations sur les flux entrants et sortants d'une machine contrôlée par un cyberattaquant lorsque cette attaque constitue une menace pour les intérêts du pays. La collecte de ces informations purement technique est utile mais suppose que l'Anssi connaisse en amont les modes opératoires utilisés par les attaquants. Cet article vise ainsi à rendre possible le renforcement des capacités de détection d'attaques à l'encontre des systèmes d'information des autorités publiques et des opérateurs stratégiques en permettant à l'Anssi, e...
Remettons les choses dans la perspective du projet de loi de programmation militaire. L'évolution des prérogatives accordées à l'Anssi suit l'évolution des menaces. En effet, trois nouveaux terrains de conflictualité ont été largement pris en compte par le projet de LPM : les fonds marins, l'espace et le cyber. Il est donc tout à fait normal, et même rassurant, de savoir que nous adaptons les nouvelles prérogatives de l'Anssi à ces nouveaux terrains de conflictualité. Il est choquant, par ailleurs, de sous-entendre que l'évolution des prérogatives accordé...
Les alinéas 5 à 8 donnent à l'Anssi la possibilité de capturer l'intégralité d'un trafic réseau – et non plus seulement les données techniques – ou de copier la totalité d'un serveur pour y rechercher des informations caractérisant une menace. Si nous proposons de supprimer ce dispositif, c'est pour deux raisons. D'abord, il n'est pas nécessaire de légiférer puisque l'Anssi dispose déjà de larges pouvoirs d'investigation, sous le contrôle de l'autorité judiciaire. C'est en tout cas ce que révèle le Gouvernement dans l'étude d'impact : pour illustrer l'utilité de l'accès de l'Anssi au contenu des machines infectées, il explique que le...
Nous faisons face à des situations critiques et des menaces protéiformes, comme les réunions de la commission de la défense et des forces armées nous le montrent pratiquement chaque semaine. Nous devons trouver un équilibre. On dit parfois que l'Union européenne est un herbivore dans un monde de carnivores. Peut-être ne faudrait-il pas être trop herbivore et tenir un juste milieu ?
Après les tergiversations en commission, se pose à nouveau la question de la conservation des données liées à la menace. Pourquoi avoir choisi dix ans pour le délai maximum de conservation ? Madame la rapporteure pour avis, depuis le début de la séance, vos arguments ne nous rassurent pas et nous poussent à nous interroger sur la façon dont vous envisagez l'équilibre entre défense de nos intérêts nationaux et respect de nos libertés fondamentales. En quoi cette durée de dix ans ferait-elle gagner en efficacité ? M...