Après en avoir délibéré le 11 octobre 2018,
1. Contexte de la saisine
L'article L. 36-5 du code des postes et des communications électroniques (ci-après « CPCE ») prévoit que l'Autorité de régulation des communications électroniques et des postes est consultée sur les projets de loi, de décret ou de règlement relatifs au secteur des communications électroniques, et participe à leur mise en œuvre.
Par un courrier en date du 21 septembre 2018, la Secrétaire général de la défense et de la sécurité nationale a sollicité l'avis de l'ARCEP sur un projet de décret relatif à la détection des menaces pesant sur les systèmes d'information.
Ce projet de décret fait partie des textes d'application de la loi n° 2018-607 du 13 juillet 2018 relative à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense (ci-après « LPM »), et en particulier, de l'article 34 du chapitre III « Dispositions relatives à la cyberdéfense » qui a introduit les quatre mesures suivantes :
- possibilité pour les opérateurs de communications électroniques de recourir sur leurs réseaux à des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés ;
- possibilité pour les agents habilités et assermentés de l'autorité nationale de sécurité des système d'information (ci-après « l'ANSSI ») d'obtenir des opérateurs de communications électroniques les données techniques strictement nécessaires à la prévention, la caractérisation et l'analyse de l'événement ;
- possibilité pour l'ANSSI de mettre en œuvre sur le réseau des opérateurs ou sur le système d'information des hébergeurs des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information d'autorités publiques, d'opérateurs d'importance vitale ou de fournisseurs de services essentiels ;
- contrôle confié à la formation de règlement des différends, de poursuite et d'instruction de l'ARCEP du respect par l'ANSSI des conditions d'application de l'article L. 2321-2-1 et du deuxième alinéa de l'article L. 2321-3 du même code relatifs aux deux mesures susmentionnées.
1.1. S'agissant de l'article 1er du projet de décret
L'article 1er du présent projet de décret vise notamment à compléter la section 1 du chapitre Ier du titre II du livre III de la deuxième partie réglementaire du code de la défense afin de préciser les modalités de mise en œuvre des systèmes de détection de l'ANSSI sur le réseau d'un opérateur de communications électroniques ou sur le système d'information d'un hébergeur. Il prévoit à cet effet que :
- la décision de mise en œuvre de dispositifs de détection, notifiée par l'ANSSI aux obligés et communiquée sans délai à l'ARCEP, est accompagnée d'un document d'exigences spécifiques précisant notamment « les conditions techniques d'organisation et de fonctionnement nécessaires », et prévoit, le cas échéant, une phase de test préalable sur les réseaux des opérateurs ou systèmes d'information des hébergeurs ;
- cette décision de mise en œuvre de dispositifs de détection, dont la durée de mise en œuvre initiale ne saurait excéder 3 mois, pourra néanmoins être prorogée par décision de l'ANSSI notifiée aux obligés et communiqué à l'Autorité ;
- les marqueurs techniques exploités dans ce cadre visent à détecter les menaces et à recueillir les seules données techniques nécessaires à sa prévention et à sa caractérisation ;
- les dispositifs de traçabilité des données collectées doivent garantir l'identification des agents de l'ANSSI ayant accès à celles-ci et permettre l'enregistrement des opérations effectuées sur celles-ci, et en particulier la suppression des données collectées à l'issue du délai de 10 ans mentionné au troisième alinéa de l'article L. 2321-2-1 ;
- les modalités de juste rémunération des prestations assurées par les opérateurs de communications électroniques et les hébergeurs au titre de l'article L. 2321-2-1 et du deuxième alinéa de l'article L. 2321-3 du code de la défense sont fixés par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques.
1.2. S'agissant de l'article 2 du projet de décret
L'article 2 du projet de décret modifie le chapitre II du titre Ier du livre II de la deuxième partie (Décrets en Conseil d'Etat) du CPCE, par l'ajout à la section 1 d'un paragraphe IV « Dispositions relatives à la prévention des menaces affectant la sécurité des systèmes d'information » comprenant les articles R. 9-13, R. 9-14 et en complétant la section 3 avec un article R. 10-15.
1.2.1. S'agissant du projet d'article R. 9-13 du CPCE
Le projet d'article R. 9-13 du CPCE précise les conditions de mise en œuvre, par les opérateurs sur leur réseau, de systèmes de détection d'événements affectant la sécurité des systèmes d'information de leurs abonnés ainsi que les obligations des opérateurs ayant effectivement mis en œuvre un tel système de détection et prévoit :
- le contenu de la documentation que les opérateurs ayant décidé de recourir à des systèmes de détection (ci-après « ces opérateurs ») doivent fournir à l'ANSSI, pour chaque dispositif ;
- une durée de conservation maximale de six mois, par les opérateurs, pour les données techniques mentionnées au nouvel article R. 10-15 du CPCE, associées à une alerte détectée par l'utilisation un marqueur technique, qu'il soit exploité à l'initiative de ces opérateurs ou à la demande de l'ANSSI ;
- les modalités de mise en œuvre par ces opérateurs des marqueurs techniques transmis par l'ANSSI ;
- l'obligation pour ces opérateurs de tenir à disposition de l'ANSSI une situation à jour de l'exploitation des marqueurs techniques et de justifier toute non-utilisation, même temporaire de ceux-ci ;
- l'obligation pour ces opérateurs, en cas d'alerte pour la sécurité des systèmes d'information d'un abonné déclenchée par un marqueur technique fourni par l'ANSSI, de l'en informer sans délais et de lui transmettre les données techniques permettant d'identifier l'utilisateur ou le détenteur du système d'information concerné ;
- l'obligation pour ces opérateurs, si l'utilisateur ou le détenteur du système d'information concerné par une alerte est une autorité publique, un opérateur d'importance vitale ou un fournisseur de services essentiels, de communiquer à l'ANSSI les données prévues à l'article R. 10-15 du CPCE ;
- l'obligation pour ces opérateurs de transmettre un message d'information de l'ANSSI, selon des modalités précisées par cette dernière, informant leurs abonnés des vulnérabilités et atteintes subies par leurs systèmes d'information ;
- à la fixation, par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques des modalités de juste rémunération des prestations assurées par les opérateurs de communications électroniques au titre de l'article L. 33-14 du CPCE.
1.2.2. S'agissant du projet d'article R. 9-14 du CPCE
Le projet d'article R. 9-14 du CPCE précise les modalités de contrôle de l'ANSSI par la formation de règlement des différends, de poursuite et d'instruction de l'ARCEP (ci-après, formation « RDPI »). Il liste ainsi le minimum d'informations que l'ANSSI est tenue de communiquer sans délai à la formation « RDPI » au titre des articles L. 2321-2-1 et L. 2321-3 du code de la défense. Il s'agit notamment des éléments justifiant l'existence d'une menace, des réseaux et systèmes d'information concernés, des caractéristiques techniques des dispositifs, des catégories de données obtenues ainsi que des résultats de l'analyse technique. Il précise que ces informations sont sans préjudice de toute autre sollicitation que pourrait formuler l'ARCEP pour l'accomplissement de sa mission en application du 2 de l'article L. 36-14.
1.2.3. S'agissant du projet d'article R. 10-15 du CPCE
L'article R. 10-15 définit les catégories de données techniques, à l'exclusion du contenu des correspondances échangées, que les opérateurs ayant mis en œuvre le dispositif de détection prévu à l'article L. 33-14 sont autorisés à conserver dès lors qu'elles sont associées à une alerte révélée par un marqueur technique.
Il précise également que ces données sont conservées pour le temps strictement nécessaire à la prévention et à la caractérisation des événements susceptibles d'affecter la sécurité des systèmes d'information des abonnés dans la limite des 6 mois prévue par la loi.
2. Sur le projet d'article 1er
2.1. Observations de l'Autorité
L'ARCEP tient à rappeler, comme souligné dans son avis n° 2018-0101 du 30 janvier 2018 dans le cadre projet de loi relatif à la programmation militaire pour les années 2019-2025, que la mise en œuvre par l'ANSSI de systèmes de détection sur le réseau d'un opérateur ou le système d'information d'un hébergeur, tel que prévu par l'article L. 2321-2-1 est susceptible d'avoir un impact majeur sur le fonctionnement de ces réseaux ou systèmes d'information si cette mise en œuvre n'est pas suffisamment préparée en amont.
S'agissant des modalités de mise en œuvre de ces dispositifs par l'ANSSI, et compte tenu de la date d'entrée en vigueur prévue en janvier 2019, il semble important que l'ANSSI ait pu, préalablement à toute de demande, avoir des échanges avec les principaux opérateurs et hébergeurs susceptibles d'être concernés afin de préparer l'implémentation des dispositifs de détection notamment vis-à-vis de l'architecture des réseaux ou des systèmes d'information, en échangeant sur la nature des dispositifs, la façon de les mettre en œuvre efficacement et dans les délais prévus. Il convient également que l'ANSSI puisse échanger avec ces opérateurs et hébergeurs sur les points de contacts pertinents et la question du partage de responsabilité en cas de dysfonctionnement induit par les dispositifs de détection de l'ANSSI sur l'exploitation des équipements des opérateurs et des hébergeurs.
Si l'ARCEP accueille favorablement la possibilité d'une phase de tests préalable à la mise en œuvre effective de ces dispositifs avec les acteurs concernés d'ores et déjà prévue par le texte, elle n'est pas certaine que cette phase de test soit à elle seule suffisante pour que le dispositif fonctionne efficacement, notamment en termes de rapidité de déploiement au regard de l'objectif poursuivi.
A cet effet, l'ARCEP suggère l'ajout au 2e alinéa de l'article R. 2321-1-1 après les mots : « document d'exigences spécifiques », les mots : « , construit, le cas échéant, sur la base d'échanges préalables avec les obligés concernés par ladite notification, ».
2.2. Sur le projet d'article 2
S'agissant des modalités du contrôle de l'ANSSI par la formation de règlement des différends de poursuite et d'instruction, telles que prévues à l'article R. 10-15 du CPCE, l'ARCEP relève que le projet de décret précise, sans les limiter, les documents et informations que l'ANSSI est tenue de communiquer sans délai à la formation « RDPI ».
S'agissant des données techniques que les opérateurs pourront conserver, tel que prévu à l'article R. 10-15 du CPCE, si l'ARCEP constate que la majorité de ces catégories de données sont d'ores et déjà conservées (1) ou peuvent être conservées (2) par les opérateurs de communications électroniques, de nouvelles données sont également prévues. Il s'agit du détenteur du système d'information affecté par l'événement détecté, du volume des communications ainsi que de la catégorie relative aux caractéristiques techniques de l'alerte dont l'utilisation des marqueurs techniques est à l'origine, telles que notamment la référence du dispositif sur lequel l'alerte a été levée et les éléments techniques ayant généré l'alerte. Ces éléments visent à permettre de comprendre le contexte dans lequel l'alerte s'est déclenchée afin de pouvoir faire le lien entre plusieurs des données collectées.
L'Autorité tient à souligner, même si la conservation de ces données n'est pas une obligation pour les opérateurs, que dans certains cas, les opérateurs peuvent ne pas être en capacité d'avoir accès à certaines données et a fortiori de les conserver. Cela peut notamment être le cas si l'opérateur n'a qu'un rôle d'opérateur transitaire, auquel cas il ne sera pas en mesure d'identifier l'utilisateur ou le détenteur du système d'information affecté par l'événement détecté.
L'Autorité relève par ailleurs qu'une partie de ces données ne peuvent être actuellement recueillies que dans le cadre le cadre de procédures strictement encadrées. Il s'agit des données techniques relatives à l'acheminement de la communication par un réseau de communications électroniques et des données techniques relatives à l'accès des équipements terminaux aux réseaux ou aux services de communication au public en ligne.
Les données techniques relatives à l'acheminement de la communication correspondent notamment à celles relatives aux protocoles utilisés lors d'une communication sur internet. Ces données protocolaires peuvent permettre de détecter un comportement anormal ou révéler une tentative d'exploitation de vulnérabilités connues.
Les données techniques relatives à l'accès des équipements terminaux aux réseaux ou aux services de communication au public en ligne, sont par exemple les données de navigation [comme l'url d'une connexion internet ou une requête DNS] qui peuvent permettre de détecter une tentative de communication d'une victime avec l'infrastructure de l'attaquant. L'analyse de ces données permettrait de caractériser la menace dans le cas où une partie de l'attaque repose par exemple sur une technique d'hameçonnage exploitant de fausses pages afin d'induire l'utilisateur en erreur et, par exemple, d'obtenir ses identifiants.
Comme rappelé dans l'avis n° 2018-0101 du 30 janvier 2018 susnommé, la conservation des données pose la question des garanties propres à assurer une conciliation équilibrée entre, d'une part, le droit au respect de la vie privée et, d'autre part, la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions (3). Au vu des éléments transmis par l'ANSSI, il apparaît que les catégories de données prévues à l'article R. 10-15 peuvent effectivement constituer, en fonction de la nature de la menace considérée, des « données techniques strictement nécessaires à l'analyse d'un évènement » conformément à l'article L. 2321-3 du code de la défense.
3. Conclusion
S'agissant de la mise en œuvre des dispositifs de détection de l'ANSSI sur les réseaux des opérateurs de communications électroniques et les systèmes d'information des hébergeurs, l'ARCEP attire l'attention du Gouvernement sur la nécessité de prévoir une phase d'échange préalable avec les opérateurs et les hébergeurs afin de préparer les demandes de mise en œuvre ultérieures de ces dispositifs de détection.
A cet effet, l'ARCEP suggère l'ajout au 2e alinéa de l'article R. 2321-1-1 après les mots : « document d'exigences spécifiques », les mots : « , construit, le cas échéant, sur la base d'échanges préalables avec les obligés concernés par ladite notification, ».
S'agissant de la conservation des données, comme l'ARCEP l'a déjà indiqué dans son avis n° 2018-0101 (4), se pose la question des garanties propres à assurer une conciliation équilibrée entre, d'une part, le droit au respect de la vie privée et, d'autre part, la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions.
Ainsi, concernant les données prévues à l'article R. 10-15 que les opérateurs peuvent conserver en vue de répondre aux demandes de l'ANSSI, l'ARCEP estime que, si elles apparaissent pouvoir effectivement constituer des « données techniques strictement nécessaires à l'analyse d'un évènement » conformément à l'article L. 2321-3 du code de la défense, il conviendra de vérifier, au cas par cas dans le cadre de la mission de contrôle qui lui a été confiée, la pertinence des demandes effectuées par l'ANSSI.