28 interventions trouvées.
...s avons finalement retiré l'amendement après les explications de Mme la rapporteure. Nous nous réjouissons des modifications apportées en commission, telle que la prise en compte par l'Anssi de la nature du titulaire et de ses contraintes opérationnelles. L'abaissement du délai de conservation des données à cinq ans, au lieu de dix, et la fixation à deux jours ouvrés du délai d'exécution par les opérateurs des mesures prises par l'Anssi semblent être de bonnes choses. Il nous a également paru important que le décret d'application du présent article soit pris après avis de la Commission nationale de l'informatique et des libertés (Cnil). Pour toutes ces raisons, le groupe Horizons et apparentés votera l'article ainsi rédigé, puisque nous n'avons pas jugé utile de déposer de nouveaux amendements en...
Nous essayons à chaque fois de trouver une position équilibrée. Après avoir auditionné, entre autres, les représentants des opérateurs, de nos structures administratives, de l'Anssi, nous avons placé le curseur à quarante-huit heures ouvrées, ce délai paraissant le plus pertinent pour faire face à des situations compliquées, sans pour autant alourdir la charge des opérateurs. Avis défavorable.
...droit, ainsi que les changements, les améliorations, qu'apportera le texte – hélas, en l'occurrence, les paragraphes de l'étude d'impact consacrés à l'article 32 ne clarifient pas les points dont nous sommes en train de discuter. Si je suis le raisonnement de Mme la rapporteure pour avis, vous avez choisi en commission une position d'équilibre, pour prendre en considération tant les plaintes des opérateurs – « le délai est trop court, il faudra ajouter des moyens, embaucher ; d'accord, puisqu'il s'agit de la sécurité nationale, mais enfin vous êtes pénibles » –que les alertes de personnes comme nous sur la nécessité de prévoir des délais suffisants pour les recours car nous sommes dans un État de droit – encore un peu, du moins. Or, par-delà cette question d'équilibre, je vous interrogeais sur vo...
Soyez rassuré : si vous cherchez une logique, celle adoptée dans le texte est simple. Il convient de trouver un délai acceptable pour les deux parties : l'opérateur, en l'occurrence l'Anssi, et sa cible – une personne, une organisation, une entreprise. Nous l'avons évoqué en commission, l'idéal serait effectivement que l'Anssi puisse intervenir en une heure. Elle ne le peut pas,…
... En tant qu'autorité administrative indépendante (AAI), celle-ci garantit le respect de nos droits et de nos libertés fondamentales lors de l'application de telles mesures. Comme évoqué tout à l'heure, notre groupe ne s'oppose pas à l'extension des pouvoirs de l'Anssi, mais souhaite l'accompagner de garanties, dans le respect de l'État de droit. S'il nous faut pouvoir formuler une injonction aux opérateurs, afin de sécuriser le contrôle et l'exploitation des systèmes d'information, nous considérons que seul un avis conforme de l'Arcep est en mesure de préserver nos droits et libertés, en contraignant l'administration à les respecter.
...prendre des choses intéressantes : on parle de deux dizaines d'attaques majeures coordonnées. Enfin, nous commençons à comprendre de quoi il s'agit ! Mais, pour deux dizaines d'attaques par an, nous ne serions pas capables de mobiliser des équipes, à l'Anssi, en mesure de réagir en une heure… Nous en revenons toujours à mes interrogations sur le délai. Il s'agit tout de même d'attaques contre des opérateurs vitaux, d'atteinte à la sécurité nationale – ce sont vos termes, monsieur le ministre délégué. Vous estimez que, parce qu'il y en a peu, nous avons le temps. Mais la sévérité de l'attaque imposerait au contraire la mise en œuvre d'importants moyens dans un délai très court !
Il s'agit d'améliorer la lisibilité du texte, afin que le juge des référés puisse intervenir, suivant la procédure du référé liberté, sur les décisions prises au titre du présent article. La République doit rester un État de droit en toutes circonstances, même lorsqu'il s'agit de défense nationale. Nous souhaitons que cette possibilité soit visible dans le texte, pour les opérateurs mais aussi pour tout citoyen afin qu'il soit en mesure de comprendre la loi. Notre amendement vise donc à rendre la loi plus intelligible.
Nous en avons discuté en commission des lois ; il vise à remplacer « surcoûts » par « coûts ». L'article 32 s'appliquera à quelque vingt attaques par an seulement, mais il s'agira d'attaques massives et coordonnées : les opérateurs devront consentir de lourds investissements pour appliquer le dispositif. Il ne s'agit pas des retraits de contenus, auxquels on peut déjà procéder et pour lesquels on pourrait parler de surcoûts à chaque nouvelle demande. Là, les opérateurs seront obligés d'investir massivement pour effectuer des redirections vers des serveurs sécurisés – de l'Anssi par exemple – en réponse à des attaques coor...
Nous en avons discuté à plusieurs reprises. J'ai interrogé à nouveau l'Anssi, qui assure que l'article 32 n'impliquera aucune dépense d'investissement pour les opérateurs concernés. Comme l'a dit M. le ministre délégué, il est question d'une dizaine d'opérations de filtrage par an. Ce nombre, qui semble raisonnable, permettra une exécution par des agents déjà embauchés, sans qu'il soit nécessaire d'appliquer un système de traitement automatisé. La notion de coûts permet déjà de couvrir les dépenses de fonctionnement et les éventuelles dépenses inhérentes à la ma...
L'alinéa 15 de l'article 32 prévoit donc de dédommager des opérateurs qui auraient l'obligation de respecter la loi. Voilà un concept intéressant : dédommager des gens parce qu'ils devront respecter la loi. J'ignore s'il existe des cas de figure équivalents : les réquisitions peut-être, mais il ne s'agit pas ici de réquisitions. Nous aurions sans doute moins de difficultés si on renationalisait le secteur des télécommunications, mais c'est un autre sujet.
Le collègue Latombe pousse la logique jusqu'à son terme : la sécurité nationale demande peut-être la création de machins et de gros filtres pour arrêter les assaillants, mais les opérateurs n'ont pas que ça à faire ! En plus, développer des machins pour le compte de l'État, pour protéger la sécurité nationale, ça leur coûte des sous alors qu'ils cherchent à en gagner !
Mon cœur balance : soit on va au bout de la logique et on considère que c'est à l'argent public d'assumer des mesures d'intérêt public, plutôt qu'aux fournisseurs d'accès ; soit on considère que la sécurité est l'affaire de tous – c'est un slogan à vous, non ? Dans le cadre du fameux continuum de sécurité, les opérateurs pourraient s'assurer, y compris financièrement, que leurs – nos – systèmes ne sont pas utilisés à des fins malveillantes. Pour ces raisons, je suis défavorable à l'amendement de M. Latombe. Les opérateurs peuvent mettre un peu la main à la poche ; en réalité, ils peuvent même la mettre entièrement, parce que c'est aussi dans leur intérêt.
Votre argument, monsieur le ministre délégué, selon lequel il ne s'agit que d'une couche supplémentaire de dépenses, est en contradiction avec les propos tenus par les représentants des opérateurs que nous avons auditionnés. Cela illustre la divergence entre le travail parlementaire et les propositions faites par vos services. Les opérateurs nous ont expliqué qu'ils devront faire des investissements très importants pour répondre aux obligations prévues dans le texte : même si les cas de figure sont limités, les flux de données seront massifs et devront être redirigés vers des serveurs séc...
L'article 33 permet aux agents de l'Anssi d'être destinataires des données techniques non identifiantes enregistrées temporairement sur les serveurs des opérateurs de communication électronique et des fournisseurs de systèmes de résolution de nom de domaine, à des fins de détection et de caractérisation des attaques informatiques. Le groupe Horizons et apparentés est favorable à cet article, auquel plusieurs précisions ont été apportées en commission : sur le cadre des pouvoirs conférés à l'Anssi, sur les délais de conservation des données ou encore sur l...
...tre assermentés, disposition dont l'article prévoyait initialement la suppression. Ainsi modifié, il est désormais acceptable, conforme à ce qu'il doit être, si bien que nous voterons contre les amendements identiques tendant à le supprimer. En revanche, monsieur le ministre délégué, il ressort de cet article que des traceurs et balises peuvent être placés « sur le système d'information […] d'un opérateur de centre de données affecté par la menace ». Or de plus en plus de centres de données sont en colocation, c'est-à-dire louent de l'espace à des tiers, ce qui pose une question d'extraterritorialité : les dispositifs permettant le recueil de données porteront-ils bien seulement sur le système d'information, par opposition aux meet-me rooms (MMR) du centre, voire à ses locataires, qui peuve...
L'article 35 prévoit de renforcer les capacités de détection des cyberattaques et l'information des victimes par divers moyens : recueil de données sur le réseau d'un opérateur de communications électroniques ou le système d'information d'un fournisseur d'accès, d'un hébergeur, d'un centre de données ; obligation pour les OIV de disposer d'un système de détection des attaques informatiques ; obligation pour les hébergeurs de données de communiquer à l'Anssi certaines informations relatives aux utilisateurs ou systèmes d'information vulnérables, menacés ou attaqués. Éta...
... captation de données par des boîtes noires. Certes, le mécanisme prévu par le texte est plus circonscrit, mais je ne m'en pose pas moins des questions. Sa finalité serait plutôt préventive : on nous explique qu'il ne sera mis en œuvre que tant que durera la menace, et dans le même temps que, l'Anssi ne roulant pas sur l'or, les dispositifs techniques pourraient être installés et analysés par les opérateurs eux-mêmes. Ces opérateurs auront donc à leur main un dispositif technique de captation de leurs propres données, à des fins d'analyse, alors que, pour des raisons de préservation des données personnelles des utilisateurs, ils ne sont théoriquement pas censés réaliser ces captations. Il y a donc plusieurs éléments gênants dans cet article, même si ces dispositions sont prises au motif de la sécu...
Celui-ci n'est pas un amendement d'appel, c'est bien un amendement de suppression de l'article ! Nous considérons en effet que l'article 35 élargit dans une trop grande mesure les pouvoirs donnés à l'Anssi et désapprouvons surtout – c'est le point le plus problématique pour nous – le fait que ce soient les opérateurs qui placent des dispositifs de collecte de données puis les transmettent, sur saisie de l'Anssi. Cela nous semble illogique, d'autant plus que d'autres modes de fonctionnement pourraient sans doute être envisagés. Je profite de l'occasion pour vous signaler dès à présent un problème de cohérence dans le texte : à l'alinéa 13, il est indiqué « Ces données ne peuvent être exploitées qu'aux seules...
... à l'heure par cohérence – bien que nous ne soyons pas à l'abri d'une incohérence ! Par ailleurs, les fournisseurs d'accès à internet exploiteront eux-mêmes les captations de données qu'ils auront réalisées sur commande de l'Anssi et, cerise sur le gâteau, le texte mentionne encore les surcoûts : il ne faudrait tout de même pas que la sécurisation des systèmes d'information coûte de l'argent aux opérateurs ! Tout cela n'est pas acceptable ! Vous ne pouvez pas élargir les prérogatives de l'Anssi sans nous démontrer la nécessité de le faire. En théorie, lorsque l'on prend des mesures attentatoires à plusieurs libertés – y compris celle d'entreprendre –, on explique pourquoi et l'on ne se contente pas d'évoquer une éventuelle menace ! Nous réfutons non seulement l'objectif de l'article 35 mais aussi...
...taquant lorsque cette attaque constitue une menace pour les intérêts du pays. La collecte de ces informations purement technique est utile mais suppose que l'Anssi connaisse en amont les modes opératoires utilisés par les attaquants. Cet article vise ainsi à rendre possible le renforcement des capacités de détection d'attaques à l'encontre des systèmes d'information des autorités publiques et des opérateurs stratégiques en permettant à l'Anssi, en cas de menace grave, de mettre en œuvre des dispositifs de recueil de données. Je peux comprendre que ces dispositifs interrogent et que l'on ait besoin de garanties. L'Anssi estime qu'environ cinquante copies de serveurs pourraient être faites par an, ainsi qu'une vingtaine de captations de flux réseau : ces chiffres paraissent proportionnés au regard d...