Interventions sur "ANSSI"

Certes, mais si les demandes sont déposées à l'Anssi dans les cinq ans, elle peut transmettre les données à l'autorité judiciaire, qui les gèle.

...it la même logique que l'amendement n° 170 de Mme Thomin. Lors de l'examen en commission, nous avons proposé d'instaurer une procédure de recours ad hoc ; Mme la rapporteure pour avis nous a opposé l'existence du référé liberté, suffisant selon elle. Le présent amendement vise à garantir cette possibilité, afin d'empêcher que soit déclaré irrecevable un recours contre les injonctions de l'Anssi formulées en application de l'article 32.

L'Anssi est une agence gouvernementale, qui relève directement du Premier ministre. Par son intervention, l'exécutif prend des mesures qui restreignent les libertés publiques. Au regard de l'équilibre des pouvoirs, c'est déjà discutable. Il est indispensable de prévoir au minimum une procédure de recours devant le juge administratif. Le référé liberté n'est pas automatique, il doit être recevable : le te...

...d'attaques massives et coordonnées : les opérateurs devront consentir de lourds investissements pour appliquer le dispositif. Il ne s'agit pas des retraits de contenus, auxquels on peut déjà procéder et pour lesquels on pourrait parler de surcoûts à chaque nouvelle demande. Là, les opérateurs seront obligés d'investir massivement pour effectuer des redirections vers des serveurs sécurisés – de l'Anssi par exemple – en réponse à des attaques coordonnées et massives s'appuyant sur des flux de données importants. Les mesures qu'ils devront prendre impliquent d'investir dans des logiciels de filtrage ou dans des outils dirigeant les flux de données directement sur les serveurs. Ces mesures sont bien plus complexes que celles concernant les retraits de contenus terroristes ou pédopornographiques. ...

Nous en avons discuté à plusieurs reprises. J'ai interrogé à nouveau l'Anssi, qui assure que l'article 32 n'impliquera aucune dépense d'investissement pour les opérateurs concernés. Comme l'a dit M. le ministre délégué, il est question d'une dizaine d'opérations de filtrage par an. Ce nombre, qui semble raisonnable, permettra une exécution par des agents déjà embauchés, sans qu'il soit nécessaire d'appliquer un système de traitement automatisé. La notion de coûts permet ...

...vons auditionnés. Cela illustre la divergence entre le travail parlementaire et les propositions faites par vos services. Les opérateurs nous ont expliqué qu'ils devront faire des investissements très importants pour répondre aux obligations prévues dans le texte : même si les cas de figure sont limités, les flux de données seront massifs et devront être redirigés vers des serveurs sécurisés de l'Anssi ou faire l'objet d'un filtrage. Cela nécessite des investissements qui se feront forcément au détriment d'investissements dans les réseaux et destinés à la collectivité, c'est-à-dire à l'ensemble de nos concitoyens.

Par ailleurs, pour répondre à M. Bernalicis, remplacer le terme de coûts par celui de surcoûts limitera peut-être le nombre de demandes de redirections de DNS et de filtrages de la part de l'Anssi ; ce serait, éventuellement, une mesure de contrôle.

L'article 33 prévoit la communication à l'Anssi de certaines données de cache des serveurs de DNS. Pour que chacun comprenne bien ce qui est visé, rappelons que les résolveurs DNS sont les machines qui font le lien entre un nom de domaine et l'adresse IP – internet protocol – d'un utilisateur qui souhaite y accéder. Afin de répondre rapidement à l'utilisateur, ces serveurs conservent des données qui sont dites de cache. Or celles-ci ne ...

L'article 33 permet aux agents de l'Anssi d'être destinataires des données techniques non identifiantes enregistrées temporairement sur les serveurs des opérateurs de communication électronique et des fournisseurs de systèmes de résolution de nom de domaine, à des fins de détection et de caractérisation des attaques informatiques. Le groupe Horizons et apparentés est favorable à cet article, auquel plusieurs précisions ont été apportées...

Les seuls éléments mentionnés qui s'y rapportent sont les « règles relatives à la permanence, à l'intégrité, à la sécurité ou à la disponibilité du réseau ou relatives à la confidentialité des messages transmis et des informations liées aux communications ». Soit ces précisions sont trop restrictives et le contrôle du respect de ces règles ne relèvera pas des prérogatives de l'Anssi, soit elles sont hors sujet. Quoi qu'il en soit, pourquoi le législateur ne pourrait-il pas définir cette notion ?

Il vise à préciser que les données transmises à l'Anssi doivent être anonymisées par les fournisseurs de système de résolution de noms de domaine, sans mentionner l'adresse IP source, afin de préserver l'anonymat de l'utilisateur du nom de domaine et de cibler seulement les données qui permettront de reconstituer un type d'attaque. Il s'agit donc de sécuriser l'anonymat des données recueillies par l'Anssi. J'en profite pour remercier la rapporteure p...

Il vise à préciser que les données transmises aux agents de l'Anssi doivent être anonymisées par les fournisseurs de système de résolution de noms de domaine. En effet, ces données ne doivent en aucun cas permettre une identification, ce qui est explicitement écrit dans l'étude d'impact du présent projet de loi. Ces amendements complètent l'amendement n° DN952 de Mme la rapporteure, adopté en commission des lois, qui précise que « les données techniques permettan...

...e la durée de cinq ans nous paraît, encore une fois, arbitraire et les arguments avancés tout à l'heure ne parviennent pas à nous convaincre. Nous considérons qu'il ne s'agit pas de répondre aux contraintes de fonctionnement de l'administration, ce qui témoigne de peu de volonté politique, mais qu'il revient à l'administration de se conformer aux délais prescrits. Dès lors, donnons les moyens à l'Anssi d'agir avec efficacité.

C'est un amendement de repli par rapport à l'amendement n° 1275 que j'ai défendu sans prendre le temps de le présenter. Celui-ci visait à limiter l'obligation de transmission des données au seul cas où elle serait demandée par l'Anssi, étant donné que leur volume est très important et que les données de tous seront transmises, même si aucune attaque n'est commise. Nous avons débattu de cet amendement en commission, donc je connais votre avis sur cette question. L'amendement n° 1272 vise à préciser par décret la fréquence et les conditions de transmission des données, transmission qui fait peser une charge sur les acteurs conc...

Cet article renforce les exigences de transparence qui s'appliquent aux éditeurs de logiciels, en contraignant ces derniers à informer l'Anssi et leurs utilisateurs en cas de vulnérabilité significative ou d'incident informatique susceptibles d'affecter un de leurs produits. Le groupe Horizons et apparentés a déposé plusieurs amendements en commission et en séance afin d'apporter des précisions ou d'en demander. Ainsi, nous avons déposé un amendement, retravaillé à l'issue de l'examen du texte en commission, visant à définir l'éditeur ...

...ité nationale, qui est une prérogative de l'État. En commission, nous avons néanmoins souhaité mieux définir ce qu'est un incident informatique et préciser le caractère significatif des incidents et vulnérabilités visés, par trois amendements que nous allons examiner dans quelques instants. Par ailleurs, j'émettrai un avis favorable à votre amendement n° 1673, qui prévoit que le délai fixé par l'Anssi pour informer les utilisateurs professionnels « est déterminé en fonction de l'urgence, des risques pour la sécurité nationale et du temps nécessaire aux éditeurs pour prendre les mesures correctives ».

Si les éditeurs de logiciels libres, pardon : de logiciels – libres ou pas : peu importe – ont l'obligation de transmettre à l'Anssi les failles de sécurité qui affectent leurs produits ou les incidents qui peuvent compromettre la sécurité nationale, il serait bon qu'ils puissent être sanctionnés s'ils ne le font pas. Il est en effet probable qu'ils n'auront pas tous envie de coopérer de manière immédiate et qu'ils chercheront à gagner du temps, dans la mesure où le fait de révéler les failles de sécurité d'un de vos logiciels...

...nérabilités que présentent leurs propres produits, sachant, comme vient de l'expliquer notre collègue Bernalicis, que le public risque alors de se montrer peu enclin à les utiliser. Par conséquent, si l'on ne prévoit aucune sanction pour non-respect de l'obligation de signaler les failles de sécurité, le plus vraisemblable est que ces dernières ne seront pas rendues publiques ni communiquées à l'Anssi. Aussi proposons, par ces amendements, que les éditeurs qui ne rempliraient pas leur obligation en la matière soient passibles d'une sanction financière. Il ne s'agit pas, pour le coup, de punir les entreprises ou je ne sais quoi : il y va de la sécurité nationale. Par ailleurs – j'aborde là une question plus large –, on peut se demander si certains éditeurs de logiciels ne sont pas un danger po...

Cet amendement de bon sens vise à rendre obligatoire la communication à l'Anssi de tout incident informatique au sein d'une entreprise. En effet, on peut considérer qu'en l'absence de sanction, le monde de l'entreprise aura tendance à ne pas respecter l'obligation. Nous proposons donc que l'Anssi puisse sanctionner son non-respect en infligeant à l'entreprise concernée une pénalité d'un montant limité à 1 % du chiffre d'affaires, ce qui est tout à fait raisonnable – nos coll...

...n équilibre entre, d'une part, la sécurité nationale et, d'autre part, nos libertés fondamentales, notamment la liberté d'agir et d'entreprendre, qui nous incite à limiter les contraintes pesant sur nos entreprises. En l'espèce, je souhaite que nous nous en tenions au dispositif prévu dans le texte, à savoir qu'en cas de non-respect de l'injonction de communiquer les vulnérabilités constatées à l'Anssi, celle-ci pratiquera le fameux name and shame. Au demeurant, aucune entreprise n'a intérêt à les dissimuler : son intérêt commercial est que le produit qu'elle vend fonctionne. Cela étant dit, le dispositif est au début de son existence : rien ne nous empêche de le faire évoluer par la suite si l'on considère qu'il est insuffisant. En tout état de cause, j'estime, pour l'instant, que nous...