Le projet de loi de programmation militaire veut étendre les pouvoirs de l’ANSSI

anssi
anssi

Le projet de loi de programmation militaire 2024-2030, présenté ce mercredi en Conseil des ministres, veut permettre à l’ANSSI d’obliger les FAI à bloquer des sites web sans passer par une décision de justice, relève L’informé.

Ce type de blocage administratif n’est à ce jour possible que pour les seuls sites pédopornographiques, relevant de l’apologie du terrorisme ou « mettant gravement en danger les consommateurs ». La LPM pourrait l’étendre au « filtrage de noms de domaine utilisés ou instrumentalisés par des cyberattaquants » en cas de menace susceptible d’affecter la sécurité nationale.

En pratique, l’ANSSI pourrait en premier lieu sommer le titulaire du nom de domaine du site impliqué dans une cyberattaque « de prendre, dans un délai qu’elle lui impartit, les mesures adaptées pour neutraliser la menace ».

Dans un second temps, elle pourrait « ordonner aux hébergeurs et aux FAI de mettre en œuvre une mesure de blocage, ou enjoindre aux registres et bureaux d’enregistrement de suspendre le nom de domaine ». Voire rediriger le trafic vers un serveur neutre ou sécurisé et maîtrisé par l’ANSSI, et même transférer le nom de domaine à l’agence en charge de la cyberdéfense.

L’Informé note cela dit que « ces opérations seront soumises au contrôle a posteriori de l’Autorité de régulation des communications électroniques et des postes (ARCEP) », et qu’elles pourront faire l’objet d’un recours devant les juridictions administratives.

L’article 33 de la LPM propose également de « prévoir la communication (…) de certaines données techniques de cache de serveurs de systèmes de noms de domaines (DNS)  » afin de permettre à l’ANSSI de « connaître les requêtes DNS qui ont été effectuées par les clients, légitimes et malveillants, de manière anonymisée, pour identifier l’infrastructure de l’attaquant et suivre son activité », et de « caractériser plus finement l’attaque et la stratégie de l’attaquant ».

L’article 34, pour sa part, voudrait « obliger les éditeurs de logiciel victimes d’un incident informatique sur leurs systèmes d’information ou ayant une vulnérabilité critique sur un produit ou un service à en informer l’ANSSI et leurs clients français ».

Source