Interventions sur "ANSSI"

Le problème est que l'Anssi n'est pas indépendante du Gouvernement.

Votre question rejoint la discussion que nous avons eue au précédent amendement. Si nous adoptons le vôtre, l'Anssi ne pourra agir tant que la vulnérabilité n'a pas été réparée. Dans un souci d'équilibre, il faudrait aussi prévoir que l'Anssi puisse enjoindre à l'entreprise de réparer la vulnérabilité. Sinon, il suffirait que l'éditeur ne fasse rien pour que l'incident ne soit jamais publié.

Il serait bon que le décret qui sera pris en Conseil d'État pour préciser les dispositions de l'article 34 ne le soit qu'après avis de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep). L'intégrité de l'Anssi dépend de la capacité de contrôle de l'Arcep.

Je ne suis pas défavorable à l'amendement mais l'article 34, qui prévoit d'alerter l'Anssi et les utilisateurs de logiciels en cas de vulnérabilité et d'incident informatique significatifs, n'entre pas dans le périmètre de l'Arcep, qui est le régulateur des communications électroniques. Cet ajout ne me semble donc pas fondé en droit et il n'a pas été demandé par l'Arcep. Avis favorable néanmoins.

Il s'agit d'un amendement de repli. Nous proposons que le décret d'application précise « le type de vulnérabilité et d'incident informatique que les éditeurs de logiciel sont tenus de signaler à l'Anssi ».

Nous ne sommes pas favorables à l'élargissement des missions de l'Anssi proposé par cet article. L'agence serait désormais chargée de détecter des attaques en recueillant des données auprès des opérateurs de télécommunication. Cette disposition paraît insuffisamment justifiée et encadrée. Cet élargissement des missions de l'Anssi pourrait, en outre, poser un problème de concurrence, en matière de contrôle, entre les services de renseignement, qui relèvent de la Commi...

Madame la rapporteure pour avis, lorsque nous avons examiné l'article 32, vous avez répondu à mon collègue Jérémie Iordanoff que nous faisions une confusion entre l'Anssi et les services de renseignement. Mais cet article confie, de fait, à l'Anssi, des missions qui relèvent du renseignement. Au fond, je comprends votre logique : la menace est réelle et on a besoin de pouvoir l'anticiper en collectant des informations, pour ne pas être uniquement dans la réaction. Je ne suis pas sûr, cependant, que l'Anssi soit suffisamment dotée, en moyens, humains notamment, po...

Nous souhaitons, nous aussi, la suppression de cet article fourre-tout. Si nous reconnaissons évidemment la nécessité de sauvegarder l'ordre public, les moyens proposés ici sont soit trop larges, soit flous, soit inutiles, soit inapplicables. Voulons-nous vraiment que des données de contenu soient transmises à l'Anssi sans décision d'un magistrat ni consultation de la Cnil ? La suppression de l'assermentation des agents habilités est-elle vraiment nécessaire ? L'Arcep a-t-elle la capacité opérationnelle d'assurer les missions qui lui seront confiées ? À toutes ces questions, la réponse est non. Dans son avis sur le présent projet de loi, l'Arcep a elle-même reconnu que « son organisation et son mode de fonctio...

... qu'il a dérobées, ses journaux de connexion, ainsi que les éléments permettant de déchiffrer le trafic malveillant – toutes choses impossibles à détecter avec de simples marqueurs techniques. Toutefois, j'entends vos inquiétudes et je veux vous dire que des garanties sont déjà prévues. Il y aura, d'abord, un ciblage préalable de la machine compromise faisant l'objet de la copie. Concrètement, l'Anssi devra motiver sa demande, en fournissant un dossier circonstancié analysant au préalable la menace qui justifie le recours à la technique de recueil. Je pense aussi au contrôle de l'application de ces nouvelles mesures par l'Arcep, qui sera saisie en amont de tout enclenchement du dispositif et pourra, si elle considère que c'est justifié, refuser à l'Anssi l'engagement de la procédure. Par aille...

Les alinéas 21 et 22 prévoient que l'Anssi pourra fournir des marqueurs techniques aux opérateurs et que c'est à eux qu'il reviendra de les exploiter et de signaler à l'agence des failles éventuelles. Vous introduisez donc une forme de sous-traitance. Cela me semble être un élément supplémentaire de porosité entre les opérateurs, qui ont leurs intérêts propres, et l'Anssi, qui travaille pour l'intérêt général et la protection de nos conci...

Nous proposons de supprimer les alinéas 2 à 9, qui donnent la possibilité à l'Anssi de recueillir des données de contenu. En cas de menace susceptible de porter atteinte à notre sécurité nationale, l'Anssi, qui dépend du SGDSN, placé lui-même sous l'autorité de la Première ministre, pourrait recueillir une multitude de données sensibles qui transitent sur tous les réseaux. Le peu de garanties que vous proposez n'est pas de nature à nous rassurer, loin de là. L'Arcep, je l'ai dit...

Depuis la loi du 13 juillet 2018 relative à la programmation miliaire pour les années 2019 à 2025, en particulier en son article 34, les dispositions du code de la défense confèrent à l'Anssi le pouvoir de mettre en place, « lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques », des marqueurs techniques. Eu égard au renforcement des capacités de détection de l'Anssi, laquelle devra soumettre à l'Arcep tout projet de collecte de données malveillantes, le présent amendement vise à s'assurer que la colle...

Il faut absolument limiter la portée de l'article 35, en reprenant ce qui avait été fait dans l'article 34 de la précédente loi de programmation. Si nous ne le faisons pas, l'Anssi pourra poser des sondes sur des réseaux pour n'importe quel motif, sans limitation. Cette pratique est tellement attentatoire aux libertés qu'il faut absolument préciser sa finalité, à savoir garantir la défense et la sécurité nationales, et rien d'autre.

Il s'agit de maintenir l'exigence d'assermentation des agents de l'Anssi recueillant les données auprès des acteurs numériques. Puisque l'article étend le périmètre des données potentiellement recueillies, une garantie supplémentaire est nécessaire.

Si l'assermentation est exigée par le Conseil constitutionnel dans le seul cas où les agents concernés ont pour mission la recherche ou la poursuite d'infractions pénales, il serait préférable de la maintenir pour ceux de l'Anssi, eu égard au caractère particulièrement sensible des données concernées.

Nos débats attestent le caractère sensible des données auxquelles ont accès les agents de l'Anssi. Il est nécessaire de conserver l'assermentation pour maintenir la confiance dans l'agence.

Je me réjouis que l'article 35 confère enfin partiellement à l'Anssi la capacité de disposer de capteurs informatiques au sein d'infrastructures variées pour détecter et contrer les cyberattaques, ainsi que de communiquer des données à d'autres services de l'État, notamment aux services de renseignement. Toutefois, soucieuse de la sécurité des systèmes d'information des autorités publiques et des opérateurs, je souhaite, par cet amendement, maintenir l'assermentat...

L'assermentation des agents est une garantie exigée pour ceux d'entre eux qui sont chargés de rechercher ou de poursuivre des infractions pénales, ce qui n'est pas le cas des agents de l'Anssi visés par l'article. Selon l'étude d'impact, l'assermentation, qui constitue une procédure lourde, s'applique à la quasi-totalité des personnels de la sous-direction des opérations de l'Anssi, soit près de 200 agents sur un total de 280. Cela étant dit, j'entends les craintes que cet article peut inspirer, bien qu'il soit assorti de garanties. Aussi suis-je favorable, comme vous, au maintien de l...

Notre commission étant compétente au premier chef sur les sujets visés par les articles 32 à 35 – sécurité des systèmes d'information et rôle de l'Agence nationale de la sécurité des systèmes d'information (Anssi), libertés publiques et sécurité intérieure – j'ai souhaité qu'elle en soit délégataire au fond.

...s, nos paiements, nos loisirs et nos modes de travail dépendent de plus en plus des nouvelles technologies. Si elle simplifie notre quotidien, cette dépendance présente aussi des risques pour notre cybersécurité, que certains acteurs exploitent tant à des fins d'espionnage et de déstabilisation qu'à des fins financières, au détriment de nos entreprises, de nos collectivités ou de nos hôpitaux. L'Anssi fait face à des attaquants dont les modes opératoires évoluent en technicité. Cette sophistication s'explique par un changement fréquent d'outils utilisés pour effectuer les attaques et par le recours de plus en plus massif aux logiciels commerciaux transformés en véritables « bombes numériques ». Toutes les auditions ont convergé vers un même constat : la menace cyber est protéiforme, en mutati...