Interventions sur "attaque"

...on originale du texte et celles qui ont été introduites en commission des lois. L'article 35 vise à compléter le dispositif actuel qui permet déjà à l'Anssi, depuis la dernière loi de programmation militaire, de recourir à des marqueurs techniques pour obtenir, pendant une durée limitée, des informations sur les flux entrants et sortants d'une machine contrôlée par un cyberattaquant lorsque cette attaque constitue une menace pour les intérêts du pays. La collecte de ces informations purement technique est utile mais suppose que l'Anssi connaisse en amont les modes opératoires utilisés par les attaquants. Cet article vise ainsi à rendre possible le renforcement des capacités de détection d'attaques à l'encontre des systèmes d'information des autorités publiques et des opérateurs stratégiques en pe...

...isques pour notre cybersécurité, que certains acteurs exploitent tant à des fins d'espionnage et de déstabilisation qu'à des fins financières, au détriment de nos entreprises, de nos collectivités ou de nos hôpitaux. L'Anssi fait face à des attaquants dont les modes opératoires évoluent en technicité. Cette sophistication s'explique par un changement fréquent d'outils utilisés pour effectuer les attaques et par le recours de plus en plus massif aux logiciels commerciaux transformés en véritables « bombes numériques ». Toutes les auditions ont convergé vers un même constat : la menace cyber est protéiforme, en mutation constante et en augmentation, dans notre pays et dans le monde. Les capacités des cyberattaquants évoluent constamment. La représentation collective, quasi romantique, du hacker ...

... détruire, assiéger ou récolter le butin d'un ennemi. Depuis l'Assyrie antique et la maîtrise du fer jusqu'à celle de l'atome et ses drames au XXe siècle, il a fallu s'adapter pour se protéger et comprendre les techniques façonnées pour s'en défendre. Notre temps est celui de l'information. Ce nouvel espace qui rend des services prodigieux à l'humanité est aussi un terrain de conflictualités et d'attaques. En augmentation constante, celles-ci peuvent avoir des conséquences dramatiques pour nos installations essentielles et pour la sécurité des systèmes d'information stratégiques auxquels nos acteurs économiques et vitaux sont connectés. Face à ces menaces et à l'agilité des attaquants, la précédente LPM a fait de la lutte contre les cybermenaces une priorité en renforçant la résilience de nos sy...

...r que cette LPM aborde le sujet de la cybersécurité, trop souvent perçu comme secondaire alors que la menace cyber ne cesse de se développer, avec des violations de données personnelles en hausse de 79 % entre 2020 et 2021, un nombre d'intrusions dans des systèmes d'information en progression de 37 % et des notifications à la plateforme gouvernementale de signalement en croissance de 65 %. Plus d'attaques sont déclarées chaque jour, pour toujours plus de victimes. Entreprises, particuliers, autorités publiques : nous sommes tous des cibles potentielles. En tant que député de l'Hérault, je n'ai pu ignorer la cyberattaque qui a paralysé la mairie de Frontignan durant des semaines. Elle n'est qu'un exemple des dommages dévastateurs causés par des hackers. Elle illustre la nécessité urgente de se dot...

...urces humaines, l'avis du Conseil d'État laisse perplexe puisqu'il évoque de potentiels ajustements en cours de route et en fonction de la politique salariale du ministère. Cela laisse entendre qu'il serait possible de faire des plans sociaux au sein du ministère des armées. Le flou demeure concernant les articles qui nous sont délégués et les moyens supplémentaires prévus pour lutter contre les attaques sur internet. L'article 32 prévoit le blocage du nom de domaine en passant par les fournisseurs d'accès à internet si la personne de bonne foi ne prend pas les mesures préconisées par l'Anssi. L'étude d'impact liste tout ce qui peut déjà être fait en l'état actuel du droit, mais elle conclut qu'il faut une loi pour permettre toutes ces actions, sans justifier pourquoi elles ne peuvent pas être ...

Le relèvement du niveau de la menace cyber oblige notre pays à renforcer ses capacités opérationnelles dans sa gestion de la cyberdéfense. Du fait de la connaissance des cyberattaquants et de leur expertise des mécanismes, mais aussi des dégâts que peuvent causer les attaques informatiques, on ne peut que comprendre et partager le souci du Gouvernement de renforcer les capacités nationales de détection, de caractérisation et de prévention des attaques informatiques. Il nous appartient de légiférer à dessein et d'assurer un juste équilibre entre la préservation de la sécurité nationale, les libertés publiques et la liberté d'entreprendre de nos opérateurs économiques...

...le. Le ministre a d'ailleurs pris soin de mentionner que, malgré sa vocation à être respecté, le projet de LPM doit être vu comme un plancher et non un plafond. S'agissant des articles qui nous sont délégués sur le fond, l'irruption d'internet dans nos vies depuis une trentaine d'années a offert des possibilités d'échanges quasi illimitées, mais ouvre aussi des possibilités de contournement et d'attaque. Les cyberattaques se développent de manière exponentielle. Outre le domaine militaire, les services publics, les hôpitaux et les collectivités territoriales sont attaqués. Lille a ainsi subi une cyberattaque il y a quelques semaines, dont nous devrions sortir dans plusieurs mois. Internet sert aussi à faire pression. C'est également un outil de paralysie et de guerre. Cette évolution de la situ...

...l les quatre articles du chapitre V. Ces articles ont pour objectif de renforcer les prérogatives et les moyens de l'Anssi, agence ô combien essentielle dans la protection de nos systèmes d'information depuis sa création. Notre groupe se réjouit que, grâce à ces dispositions, l'Anssi puisse accroître sa connaissance des modes opératoires des cyberattaquants pour mieux remédier aux effets de leurs attaques et alerter plus efficacement les victimes des incidents ou des menaces pensant sur leurs systèmes d'information. Toutefois, ce renforcement ne doit pas se faire sans garantie et sans un encadrement strict et clair. Aussi notre groupe a-t-il déposé plusieurs amendements visant à apporter des précisions, à encadrer plus finement certaines dispositions et à demander des clarifications dans la rédac...

...matérialisation et du transit de données devrait justifier que le pouvoir de collecter des informations revienne à la puissance publique, car ce pouvoir constitue un moyen de garantir la sécurité de tous. La logique des articles qui nous sont délégués est la bonne, puisqu'elle vise à prévoir plutôt que guérir et à instaurer plus de transparence à l'égard des clients lésés et des victimes de cyberattaques. Mais l'enjeu sécuritaire soulève trois interrogations. Quel est le degré de sécurité souhaitable ? Quels seraient les moyens les plus efficaces pour l'atteindre ? Jusqu'à quel point est-il acceptable que les moyens déployés pour l'atteindre touchent nos libertés individuelles ? Les réponses apportées par l'article 32 ne vont pas dans le bon sens. Permettre à l'Anssi d'obliger les fournisseurs d...

...à l'instar du droit à la vie privée et d'autres libertés. Nous sommes obligés de donner des garanties, à tout le moins si vous voulez éviter de passer sous les fourches caudines du Conseil constitutionnel. Il est bienvenu de circonscrire le dispositif aux intérêts fondamentaux de la nation, même si j'ignorais que les hôpitaux n'en faisaient pas partie, compte tenu du caractère sensible des cyberattaques pour ces établissements – ou pour les collectivités territoriales. Sur ce sujet nous gagnerions à dresser une liste détaillée, afin de ne pas aller vers l'arbitraire. Ça me fait sourire d'entendre qu'il ne faut pas faire référence aux services de renseignement. L'Anssi n'en est pas un, mais j'ose espérer qu'en cas de cyberattaque ces derniers sont prévenus et qu'un canal d'information, reliant ...

C'est vraiment la garantie pour se faire plaisir ! Le niveau de contrainte et d'obligation fixé par cet amendement est proche de la bonne volonté, alors que nous parlons de données sensibles, notamment celles des victimes de l'attaquant. Cet article, dont le but est aussi d'identifier l'auteur de l'attaque et son mode opératoire, ne concerne pas les seules victimes, ce qui explique la durée, fixée à dix ans, de conservation des données. N'allez pas nous faire croire que vous recueillerez les données des victimes uniquement pour leur bien : le but est de retrouver les attaquants. On peut se faire plaisir avec l'expression « qui tient compte de la nature », mais l'instance la plus à même de tenir co...

...étorque que cela est inutile, car les moteurs de recherche, ne faisant que du Google bombing, ne relèvent pas de la sécurité nationale dans la mesure où il ne s'agit que d'atteintes aux individus. Or, lorsque l'on interroge l'ensemble des entreprises travaillant dans le domaine de la cybersécurité, y compris des bugs bounties – prime aux bogues –, ils considèrent que les prochaines attaques seront plutôt du type drive-by download : un malware est téléchargé sur l'ordinateur dont l'utilisateur s'est rendu sur un site, et cet ordinateur peut ensuite être pris en main par un attaquant ou par un système de robots en vue d'une attaque par déni de service. Ces difficultés sont propagées par les moteurs de recherche, puisqu'il suffit de bien référencer les sites infectés po...

Je souhaite qu'on limite la portée des articles 32 à 35, comme je l'indiquais dans la discussion générale, mais cet élargissement répond à des enjeux opérationnels. On commence à observer des attaques en drive-by download. Quand vous utilisez un célèbre moteur de recherche ayant deux « o » et deux « g », vous ne passez pas par des noms de domaine français, qui ont des blocages, et vous contournez donc le système. Intégrer les moteurs de recherche dans cet article éviterait que des particuliers ou des entreprises puissent se connecter à ces sites, et que ces derniers téléchargent à leu...

... du citoyen, qui n'est pourtant pas mon préféré : « La propriété étant un droit inviolable et sacré, nul ne peut en être privé, nul ne peut en être privé, si ce n'est lorsque la nécessité publique, légalement constatée, l'exige évidemment, et sous la condition d'une juste et préalable indemnité. » Cette loi met d'une certaine manière en cause le droit de propriété des noms de domaine. Quand vous attaquez ce droit, vous contrevenez à la Déclaration des droits de l'homme et du citoyen. Il faut donc une « nécessité publique légalement constatée », ce qui est le cas puisqu'il est question de sécurité, mais l'amendement de M. Bernalicis renforce la protection ce droit fondamental.

...er dans les quarante-huit heures suivant la demande de l'Anssi, quand l'individu pourra-t-il faire valoir ses droits et le juge étudier le dossier et se prononcer ? Le référé-liberté existe certes déjà, mais votre mesure attentatoire aux libertés ne sera pas placée dans la même partie du code ; or il est bon que le citoyen connaisse les voies et les délais de recours. En fait, il vaut mieux que l'attaque ait lieu un dimanche ou un jour férié car, comme le texte prévoit un délai de quarante-huit heures ouvrées, le citoyen bénéficiera, dans ce cas de figure, de vingt-quatre heures supplémentaires : nous allons poliment demander aux cyberattaquants d'agir un dimanche ou un jour férié afin de garantir l'État de droit.

L'Anssi pourra conserver les données qu'elle aura recueillies pendant dix ans pour connaître, comprendre et analyser les attaques et les attaquants. Je ne comprends pas le choix de cette durée. Pourquoi pas deux ans ? Pourquoi pas l'éternité ? Au milieu de l'article qui prévoit des dispositifs opérationnels concrets, vous insérez une mesure de conservation des données pendant dix ans. Cette durée est disproportionnée, d'autant que l'Anssi peut déjà collecter des données, certes dans un cadre plus restreint, notamment dans...

...elles autorisations en matière de collecte de données sans motif légitime apparent. Or l'alinéa visé concerne les cas où des cyberattaquants ont sciemment exploité un nom de domaine pour porter atteinte à la sécurité nationale. Il s'agit d'obtenir des éléments sur le comportement de l'attaquant et sur son mode opératoire afin de neutraliser la menace, identifier les victimes et mieux prévenir les attaques. L'alinéa 14 prévoit justement des délais de conservation limités, toujours sous le contrôle de l'Arcep. D'ailleurs, dans son avis sur le projet de loi, le Conseil d'État observe que le dispositif envisagé est justifié par la sauvegarde des intérêts de la nation et par la prévention des atteintes à l'ordre public. En outre, un prochain amendement vise à réduire la durée de conservation des donné...

Le délai de cinq ans n'est pas arbitraire : l'Anssi a besoin de s'appuyer, dans ses recherches d'antériorité, sur des éléments liés à des attaques passées. L'Agence a concédé qu'un délai de dix ans était trop long, mais qu'une durée de deux ans ne lui permettrait pas d'agir efficacement. Le délai de cinq ans est le compromis résultant de notre discussion avec l'Agence.

L'article 33 imposera aux fournisseurs de système de résolution de noms de domaine de transmettre régulièrement à l'Anssi des données techniques non identifiantes enregistrées temporairement sur les serveurs DNS, afin d'identifier les serveurs mis en place par les attaquants et établir la chronologie de leurs attaques. L'objectif est de mieux comprendre l'infrastructure utilisée par les cyberdélinquants et de mieux détecter et anticiper leurs attaques. L'Anssi ne recueillera que les données techniques non identifiantes des serveurs, c'est-à-dire celles des machines, sans aucune personne physique derrière elles. En particulier, elle ne collectera pas les adresses IP sources, qui sont des données à caractère p...

L'article 3 dispose que les données collectées ne sont ni personnelles, ni identifiantes, mais les adresses IP permettent, en croisant des fichiers, de connaître l'identité des personnes – d'ailleurs, l'objectif est bien de démasquer les auteurs des cyberattaques. Vous apportez des garanties de façade, en espérant que l'Arcep fera son travail correctement pour exercer un réel contrôle. Je m'apprêtais à soutenir l'amendement CL51 parce qu'il visait à dresser la liste précise de ce qui pouvait être recueilli ; madame Chassaniol, vous espérez qu'une liste sera insérée dans l'article en séance publique, mais il n'en sera rien car les amendements de la rappor...