Interventions sur "ANSSI"

Je propose une simplification légistique. Il ressort des auditions que j'ai menées que seuls les fournisseurs de système de résolution de noms de domaine sont concernés par le dispositif : cibler l'ensemble des opérateurs de communications électroniques ne paraît dès lors plus utile. Cette suppression n'emporte aucune conséquence opérationnelle pour l'Anssi.

...lle, l'article 33 prévoit la transmission obligatoire des données techniques non identifiantes, mais ne la formalise pas. Le dispositif ferait peser une lourde charge sur les opérateurs de communications électroniques et les fournisseurs de système de résolution de noms de domaine. Il me semble nécessaire de conditionner la transmission des données à l'envoi d'une demande expresse des agents de l'Anssi.

Par souci d'efficacité et de limitation des coûts et des charges supportés par les acteurs économiques et les agents de l'Anssi, il est prévu une transmission automatisée des données. Je ne souhaite pas revenir sur cet aspect, sauf à alourdir inutilement le dispositif. Avis défavorable.

Actuellement, les opérateurs et les fournisseurs de système de résolution de noms de domaine ne collectent pas tous les mêmes données dans le cadre de la gestion de leur service. L'amendement a pour objet de s'assurer tant de la capacité des acteurs concernés à stocker et à transmettre les données demandées que de celle de l'Anssi à les traiter. Je propose ainsi de limiter le périmètre d'application de l'article aux seules données déjà collectées par les opérateurs et les fournisseurs. L'objectif est d'éviter de leur adresser des demandes complémentaires en limitant les requêtes aux données qu'ils produisent déjà.

Dans la même logique, mon amendement vise à préciser la nature des données techniques qui entrent dans le champ de l'article. Nous souhaitons cibler les données définies dans l'étude d'impact car ce sont elles qui seront utiles à l'Anssi. Le dispositif fera l'objet d'un contrôle de l'Arcep, mais il importe que la loi précise les données concernées afin d'apporter les garanties nécessaires.

...e seront pas ? La Constitution nous impose de trouver un équilibre pour de tels dispositifs et nous enjoint de dresser une liste positive des données entrant dans le champ de la loi. Cette exigence a présidé à la création de la Cnil et à l'élaboration du règlement général sur la protection des données (RGPD) et de toutes les dispositions développées à l'échelle européenne. Et parce que ce sont l'Anssi et le SGDSN à la manœuvre, nous devrions fermer les yeux et ne rien faire ? Nous comprenons les impératifs de sécurité nationale – opportunément placés dans le chapeau de l'article 33 –, mais nous devons connaître exactement les données qui seront collectées : nos concitoyens nous le demandent pour avoir confiance dans le système de recueil d'informations visant à assurer leur sécurité. Il n'est ...

...rder en séance sur une rédaction plus précise. Les amendements que nous avons proposés présentaient quelques problèmes, et celui de la rapporteure pour avis visant à exclure du champ du dispositif les données identifiantes, comme l'IP, est important. Il restera à définir très précisément les données qui pourront être collectées : il me semble que nous sommes tous d'accord sur ce principe. Comme l'Anssi et le SGDSN pourront préciser le dispositif dans un décret, il nous faut écrire une loi très claire.

Cet amendement vise à encadrer la durée de conservation des données non identifiantes en prévoyant, en cohérence avec l'article 32, un délai maximal de cinq ans. L'article 33 dispose que l'Anssi collecte les données techniques, mais il ne fixe aucun délai de conservation. Cette absence de précision ne pose pas de grandes difficultés juridiques car les données ne sont pas personnelles ; en outre, la conservation est utile pour lancer, lorsqu'une attaque est signalée, des recherches d'antériorité. Il ressort de mes échanges avec les acteurs concernés qu'une durée de cinq ans paraît appropr...

...n admissible au RGPD parce qu'il s'agit de la sécurité et de la défense nationales, mais les données ne peuvent être ni personnelles ni identifiantes. Je vous fais confiance, madame la rapporteure pour avis, pour dresser une liste positive des données pouvant être collectées, condition sine qua non de l'acceptation d'un délai de conservation de cinq ans, mais je n'ai plus confiance dans l'Anssi et dans le SGDSN, dont les représentants sont revenus sur beaucoup de terrains d'entente que nous avions trouvés.

...dimension militaire ne peut plus être notre seule réponse face aux dangers et aux risques auxquels nous sommes exposés – et notamment aux stratégies hybrides. C'est la raison pour laquelle la cybersécurité fait l'objet des articles 32 à 35 de la loi de programmation militaire (LPM). Vous êtes accompagné du nouveau directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi). Votre regard sur les grandes tendances du projet de LPM nous est particulièrement important, car il contribue tant au concept de défense globale que de résilience en cas de crise majeure. En effet, vous travaillez l'un et l'autre à une stratégie nationale de résilience. Par ailleurs, le SGDSN joue un rôle important dans la phase 3 d'Orion. Alors que la LPM prévoit un doublement de la réserve m...

Les menaces cyber sont de plus en plus palpables. De plus, les formes et les cibles des attaques sont en constante évolution, ce qui complique la constitution d'une défense efficace. Ainsi, les collectivités locales, les établissements de santé, et même les petites entreprises sont les cibles privilégiées pour les cybercriminels. Selon l'Anssi, en 2022, 40 % des rançongiciels ciblaient des PME et TPE. Les attaquants étatiques copient les méthodes des cybercriminels à des fins de sabotage informatique, en déstabilisant ces sociétés. Ces évolutions complexifient la caractérisation et l'attribution des responsabilités malveillantes, car les profils des attaquants sont brouillés. En outre, les attaquants se veulent de plus en plus discrets...

... moyens mis en œuvre pour protéger nos infrastructures nationales de réseau, qu'elles soient terrestres ou sous-marines ? Qu'est-il prévu à ce titre dans la prochaine LPM ? Par ailleurs, nous adoptons désormais une posture défensive, pour laquelle nous cherchons les meilleurs moyens techniques et législatifs de développer ce que la RNS appelle « un bouclier cyber ». Cependant, il me semble que l'Anssi est aussi parfois dans la position de l'attaquant. Aussi, je souhaiterais vous interroger sur cette doctrine d'attaque : la France doit elle se montrer plus offensive ? En avons-nous les moyens techniques ? Quels sont les freins légaux ?

Dans le cadre de l'économie de guerre et du soutien à notre BITD, comment s'articulent les activités du SGDSN, de la direction générale de l'armement (DGA) et de l'Anssi s'agissant de la cybersécurité ? La LPM prévoit-elle un renforcement de la coordination dans ce secteur ?

Je souhaitais à vous témoigner ma gratitude pour le rôle que l'Anssi a joué dans la réponse à l'attaque massive qu'a subie le département de Seine et Marne, dont je suis conseiller départemental et président du groupe majoritaire.

Nous avons le plaisir d'auditionner cet après-midi M. Stéphane Bouillon, secrétaire général de la défense et de la sécurité nationale (SGDSN), M. Vincent Strubel, directeur de l'Agence nationale de sécurité des services d'information (ANSSI) et M. Gabriel Ferriol, chef du service de vigilance et de protection contre les ingérences numériques étrangères (Viginum). Avec cette audition, nous achevons nos travaux consacrés aux services de renseignement, qui nous ont amenés à interroger les responsables de la direction générale de la sécurité intérieure (DGSI), de la direction générale de la sécurité extérieure (DGSE), de Tracfin et de ...

..., semble-t-il, un nombre record de cyberattaques – on parle de 2 000 – contre l'Ukraine ou contre des intérêts ukrainiens. Observe-t-on depuis la même date un phénomène d'ampleur comparable, ou simplement une hausse du nombre de cyberattaques, visant les intérêts français ou ceux d'autres pays européens soutenant les forces ukrainiennes, et qui soit imputable à la Russie ? J'ai bien entendu que l'ANSSI ne nomme ni les victimes ni les attaquants, mais vous pouvez peut-être apporter une réponse globale.

L'ANSSI a mené, je crois, une enquête sur les Macron Leaks. Pouvez-vous nous faire part de ses résultats ? Sait-on qui a organisé la diffusion des documents ?