L’ANSSI va pouvoir s’attaquer au fléau des noms de domaine liés à des cyberattaques. Ce phénomène touche par son ampleur : collectivités locales, établissements publics, entreprises ou encore simples particuliers. Plus une semaine ne se passe sans que des cyberattaques d’ampleur ne fassent les titres de l’actualité.
A cet égard, le projet de loi de programmation militaire (LPM) vise à renforcer les pouvoirs de l’ANSSI dans le blocage des noms de domaine. Concrètement, cette agence pourra bloquer les noms de domaine liés à des cyberattaques sans contrôle judiciaire a priori. Le texte prévoit que « sa mise en œuvre est conditionnée par le constat préalable d’une menace susceptible de porter atteinte à la sécurité nationale ». Ce contrôle renforcé procédera selon deux types de situation.
Noms de domaine liés à des cyberattaques : quels sont les nouveaux pouvoirs de blocage conférés à l’ANSSI ?
Première situation : en cas de bonne foi du titulaire. Lorsque ce dernier n’est pas à l’origine de l’utilisation dévoyée de son nom de domaine, l’ANSSI pourra prendre deux types de mesure :
- soit elle enjoindra le titulaire à prendre les mesures adaptées pour le neutraliser ;
- soit, à défaut de mesure adaptées, elle pourra demander aux fournisseurs d’accès à Internet (FAI) le blocage ou la suspension du nom de domaine.
Deuxième situation : en cas de mauvaise foi du titulaire. Si le titulaire a enregistré le nom de domaine à des fins malveillantes :
- soit l’ANSSI provoquera la redirection du nom de domaine vers un serveur neutre ou sécurité ;
- soit elle procédera à l’enregistrement, au renouvellement, à la suspension ou au transfert à son profit, du nom de domaine.
Quid des garde-fous de ces pouvoirs étendus ?
En outre, l’ARCEP, déjà chargée du contrôle des activités de l’ANSSI, se verra confier un pouvoir de contrôle a posteriori. Celui-ci aura vocation à vérifier « la justification de la menace et la proportionnalité de la mesure » (1). D’autre part, les décisions de blocage prises par l’ANSSI seront susceptibles de recours a posteriori devant les tribunaux administratifs.
Ce pouvoir accru conféré à l’ANSSI en matière de lutte contre les cyberattaques existe déjà dans d’autres domaines. C’est notamment le cas dans la lutte contre les sites pédocriminels ou faisant l’apologie du terrorisme.
Une nouvelle obligation de signalement incombant aux éditeurs de logiciels
Afin de renforcer l’arsenal législatif, le projet de loi institue une nouvelle obligation de signalement. Elle concerne les éditeurs de logiciels qui devront, en cas de cyberattaque, en informer l’ANSSI ainsi que leurs utilisateurs. Le projet de loi emploie à cet égard deux expressions en son article 34. Tout d’abord, il vise la « vulnérabilité significative sur un produit fourni sur le territoire français ». Il traite ensuite les cas d’« incident informatique compromettant la sécurité de leurs systèmes d’information ». Ces mêmes éditeurs auront également l’obligation de procéder à une analyse des causes et des conséquences de tels incidents.
L’extension du périmètre des données collectées par l’ANSSI
Enfin, l’article 35 du projet de loi instaure deux nouveaux dispositifs. Le premier consiste en la possibilité pour les FAI de déployer des outils de détection des menaces sur leur réseau. Le second permet à l’ANSSI de mettre en place ses propres outils de détection chez tout hébergeur en cas de cyberattaque visant « un acteur stratégique ». Ceux-ci englobent les « opérateurs d’importance vitale » (OIV), définis à l’article R. 1332-2 du Code de la défense.
Actuellement en cours de discussion à l’Assemblée nationale, ce projet de loi devrait être promulgué définitivement en juillet 2023.
Anne-Sophie Cantreau
Lucas Dewier
Lexing Droit Propriété Industrielle
(1) Etude d’impact sur le projet de loi relatif à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense.