Interventions sur "opérateur"

Il s'agit de rendre obligatoires, pour les opérateurs d'importance vitale et de services essentiels, l'identification de leurs données sensibles et la prise de mesures techniques ou opérationnelles pour protéger ces dernières. La protection des données sensibles, qui plus est de ces opérateurs, est un enjeu majeur qui s'inscrit dans la démarche de souveraineté numérique du Gouvernement. Cet amendement traduit une attente réelle de la part de l'ens...

...e ministre délégué chargé de la transition numérique dans quelques jours, Amazon Web Services bloquait l'accès aux données de Doctolib à la suite d'un conflit commercial avec cette société, comment ferions-nous pour prendre des rendez-vous, en médecine de ville comme à l'hôpital ? Les propositions qui sont faites pour garantir notre souveraineté nous prémuniraient contre le risque de blocage d'un opérateur de services essentiels tel que Doctolib. Deuxième exemple : Palantir, logiciel qui a été financé à l'origine par la CIA, est aujourd'hui utilisé par des opérateurs français, notamment Airbus. Si un conflit commercial survenait avec Boeing, la dépendance à un opérateur de ce type, qui dispose d'informations stratégiques sur Airbus, soulèverait la question de notre souveraineté économique. Troisièm...

...enne. Il est le bienvenu dans une loi de programmation militaire qui évoque très peu la souveraineté dans le domaine cyber, bien que le sujet soit crucial. Comme nous l'affirmons depuis des années au Rassemblement national, souveraineté et sécurité sont les deux faces d'une même pièce. Nous ne pouvons accepter que des administrations, institutions et autorités publiques françaises constituant des opérateurs d'importance vitale hébergent leurs données auprès d'entreprises américaines, chinoises ou relevant d'autres pays extra-européens. Ces sociétés peuvent être soumises à l'extraterritorialité du droit de leur pays, ce qui signifie qu'en bout de chaîne, des gouvernements étrangers pourraient mettre la main sur des données sensibles de l'État français. Cet amendement est très important ; il pourrait...

...eur des attaques que subissent les acteurs institutionnels et économiques de notre pays. L'an dernier, l'Anssi a ainsi traité 831 attaques informatiques. C'est moins qu'en 2021, mais cette diminution doit être relativisée dans le contexte de guerre en Ukraine, qui peut conduire à une réorientation des attaques. Ce même rapport précise d'ailleurs que si l'activité liée aux rançongiciels visant des opérateurs régulés publics ou privés a diminué, la menace cyber s'est reportée vers des entités moins bien protégées, dont les collectivités territoriales, les hôpitaux et les petites et moyennes entreprises de notre pays. Les conséquences de ces attaques sont financières. L'OCDE, l'Organisation de coopération et de développement économiques, estime que les risques liés à la sécurité numérique coûtent plu...

...stèmes, le nombre de cybercombattants et le rôle de l'Anssi pour conforter la puissance cyber française, analyser et neutraliser la menace. Le plan national de relance et de résilience instauré après la crise sanitaire a alloué 136 millions d'euros à l'Anssi pour la cybersécurisation de nos territoires, car la spécificité de la menace cyber est qu'elle peut impliquer toutes les machines, tous les opérateurs et toutes les sociétés publiques ou privées pour attaquer. C'est un défi hors norme. En 2021, une stratégie nationale pour accélérer la cybersécurité a été lancée et, à l'automne, la Lopmi a permis de voter des moyens inédits pour renforcer la lutte contre la cybercriminalité. La LPM que nous examinons pour la période 2024-2030 consacre 4 milliards d'euros au domaine cyber. Si les équipements n...

...arde de la sécurité nationale doit être notre fer de lance, notre boussole pour l'élaboration de notre politique cyber. Protéger les données contre les attaques est nécessaire, mais pas à n'importe quel prix. Aussi les articles 34 et 35, qui confèrent à l'Anssi un pouvoir démesuré de collecte de données, font-ils l'objet d'amendements d'appel visant leur suppression. L'article 33 prévoit que les opérateurs de télécommunications transmettent leurs données de cache à l'Anssi à des fins de détection des cyberattaques. S'il est voté, des copies de serveurs entiers pourront être transmises à une agence gouvernementale sans décision de justice. L'article 35 est tout aussi intrusif puisqu'il prévoit la possibilité pour l'Anssi de se faire transmettre des données de contenus d'utilisateurs. Il s'applique...

...ent causer les attaques informatiques, on ne peut que comprendre et partager le souci du Gouvernement de renforcer les capacités nationales de détection, de caractérisation et de prévention des attaques informatiques. Il nous appartient de légiférer à dessein et d'assurer un juste équilibre entre la préservation de la sécurité nationale, les libertés publiques et la liberté d'entreprendre de nos opérateurs économiques, et d'éviter toute distorsion de concurrence. Cet équilibre n'est pas aisé à trouver mais nous espérons y parvenir à chacun des stades de la navette parlementaire. Notre groupe y est particulièrement attaché. Je salue le travail de la rapporteure pour avis, qui a su saisir les enjeux inhérents au texte et nous proposera des amendements permettant de dissiper les doutes que nous pouv...

... parmi ceux qui nous sont délégués, à traiter de sécurité nationale. Le but est d'intégrer cette notion dans les articles 33, 34 et 35, qui n'y font pas référence, afin de mieux les encadrer. Je partage aussi le point de vue de la rapporteure pour avis : la notion de sécurité nationale, plus large que celle d'intérêts fondamentaux, inclut les hôpitaux, les collectivités territoriales et certains opérateurs. Cette liste peut être réévaluée au fur et à mesure de la digitalisation d'un certain nombre d'acteurs qui, dès lors, pourraient devenir vulnérables. Conserver l'expression de « sécurité nationale » me convient, à condition que nous puissions l'intégrer aux autres articles, ce qui conférerait une cohérence et une colonne vertébrale à l'ensemble des articles permettant une interprétation de cett...

... suspendre et transférer un nom de domaine, contrairement aux offices d'enregistrement – appelés également « registres » – qui peuvent, à la source et de manière centralisée, effectuer ces opérations efficacement et immédiatement. Cet article soulève en outre un problème de concurrence entre les bureaux d'enregistrement français et ceux établis hors de France. Face à la contrainte pesant sur les opérateurs établis dans notre pays, les demandeurs de noms de domaine pourraient être tentés de se tourner vers des acteurs étrangers, ce qui est contre-productif pour la filière française. Cet amendement clarifie le fait que seuls les offices d'enregistrement sont concernés par les dispositions de l'article.

Cet amendement a pour objet d'intégrer les moteurs de recherche dans la liste des opérateurs concernés par l'article 32. L'Anssi nous rétorque que cela est inutile, car les moteurs de recherche, ne faisant que du Google bombing, ne relèvent pas de la sécurité nationale dans la mesure où il ne s'agit que d'atteintes aux individus. Or, lorsque l'on interroge l'ensemble des entreprises travaillant dans le domaine de la cybersécurité, y compris des bugs bounties – prime aux ...

Cet amendement, allant de pair avec l'amendement CL43 qui propose une échéance de « deux jours francs et ouvrés », permet à l'Anssi et aux opérateurs de négocier le délai imparti. Il faut laisser un peu de souplesse pour leur permettre de trouver une solution car, si les délais peuvent parfois être réduits à vingt-quatre heures, c'est parfois impossible, aux dires mêmes des opérateurs. Nous instaurerions donc un délai maximal de deux jours ouvrés et francs, tout en laissant à l'Anssi et aux opérateurs une capacité de négociation, lesquels po...

Nous sommes dans le cadre d'une loi de programmation militaire. Idéalement, l'Anssi devrait pouvoir agir dans l'heure, mais l'amendement CL87 vise à ce que soient prises en compte les contraintes techniques, logistiques et humaines liées à l'opérateur – lequel n'aura pas le temps d'agir en une heure – tout en respectant les droits fondamentaux. Nous souscrivons donc à l'amendement proposé par la rapporteure pour avis.

Lors des auditions, les opérateurs nous ont dit que les demandes de l'Anssi, dont le volume ne figure pas dans l'étude d'impact, engendreront non pas des surcoûts mais des coûts. Il serait logique que l'Anssi indemnise ces derniers et pas seulement les premiers. Or les opérateurs font face à de la concurrence et doivent effectuer des investissements assez lourds au profit de nos concitoyens. L'indemnisation des demandes de l'Anss...

De nombreux acteurs économiques ont en effet soulevé cette question ; je comprends le sens de votre amendement, mais il me semble que les efforts d'investissement dans les réseaux doivent être supportés par les opérateurs, à charge pour l'État de compenser les surcoûts liés à l'exploitation de ces infrastructures dans le cadre des prérogatives régaliennes. Je suis donc opposée à votre amendement, dont l'adoption pourrait représenter un coût très élevé pour les finances publiques, sans que cela paraisse justifié.

Je ne peux pas laisser passer cette explication : l'étude d'impact ne nous donne aucune idée du volume des demandes de l'Anssi, donc il est impossible d'évaluer le coût et le surcoût que celles-ci représenteront pour les opérateurs. Votre seul argument est de dire que le dispositif contribuera à sécuriser les réseaux, ce qui bénéficiera aux opérateurs. L'État impose une charge à des opérateurs privés, qui doivent investir dans des nouvelles technologies pour améliorer leurs réseaux, mais vous refusez de la prendre en compte. C'est à l'Anssi de supporter le coût des demandes qu'elle adressera, ne serait-ce que pour la respo...

Nous ne faisons pas confiance au Gouvernement et nous maintenons notre amendement de suppression de l'article 33, qui prévoit la transmission à l'Anssi par les opérateurs de communication électronique des données de cache des systèmes de noms de domaine : l'Anssi, qui dépend du SGDSN placé sous l'autorité de la Première ministre, accédera à des données relatives aux utilisateurs de réseaux, qu'ils soient bienveillants ou non. Le champ de l'article, particulièrement large, excède la protection de la sécurité nationale. Vous nous dites que l'adresse IP source n'es...

Je propose une simplification légistique. Il ressort des auditions que j'ai menées que seuls les fournisseurs de système de résolution de noms de domaine sont concernés par le dispositif : cibler l'ensemble des opérateurs de communications électroniques ne paraît dès lors plus utile. Cette suppression n'emporte aucune conséquence opérationnelle pour l'Anssi.

Dans sa rédaction actuelle, l'article 33 prévoit la transmission obligatoire des données techniques non identifiantes, mais ne la formalise pas. Le dispositif ferait peser une lourde charge sur les opérateurs de communications électroniques et les fournisseurs de système de résolution de noms de domaine. Il me semble nécessaire de conditionner la transmission des données à l'envoi d'une demande expresse des agents de l'Anssi.

Actuellement, les opérateurs et les fournisseurs de système de résolution de noms de domaine ne collectent pas tous les mêmes données dans le cadre de la gestion de leur service. L'amendement a pour objet de s'assurer tant de la capacité des acteurs concernés à stocker et à transmettre les données demandées que de celle de l'Anssi à les traiter. Je propose ainsi de limiter le périmètre d'application de l'article aux seules ...

...as, comme le prétend le Conseil d'État, l'avis de la Cnil est dispensable. Néanmoins, il faut parfois se méfier des avis du Conseil d'État car n'importe quelle personne un peu initiée à l'informatique sait identifier, en croisant quelques éléments, la personne cachée derrière une adresse IP. Cette dernière n'indique pas en elle-même le nom et le prénom de l'individu, mais elle est fournie par des opérateurs automatisés avec un horodatage qui présente les connexions des différentes adresses IP et le numéro des machines utilisées ; or ce sont justement ces données-là qui seront collectées. Il est donc important que la Cnil soit consultée. Il faut prévoir des garanties qui vont au-delà des constats du Conseil d'État et de l'étude d'impact.