Après en avoir délibéré le 27 février 2020,
1. Contexte de la saisine
En application des dispositions de l'article L. 36-5 du code des postes et des communications électroniques, la Secrétaire générale de la défense et de la sécurité nationale a sollicité l'avis de l'ARCEP sur deux projets d'arrêté fixant les modalités de la compensation des prestations assurées par les opérateurs de communications électroniques dans le cadre de la détection des cyberattaques.
Ces deux projets d'arrêtés complètent le dispositif réglementaire permettant la mise en oeuvre des mesures prévues par la loi n° 2018-607 du 13 juillet 2018 relative à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense (ci-après « LPM »), et en particulier, de l'article 34 du chapitre III « Dispositions relatives à la cyberdéfense ».
S'agissant du projet d'arrêté pour l'application du cinquième alinéa de l'article L. 33-14 du CPCE :
Le cinquième alinéa de l'article L. 33-14 du CPCE prévoit que les opérateurs qui recourrent à des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés informent ces derniers, à la demande de l'ANSSI, de la vulnérabilité de leurs systèmes d'information ou des atteintes qu'ils ont subies.
Le projet d'arrêté définit les modalités et les montants de la compensation des prestations assurées par les opérateurs de communications électroniques à ce titre.
Il prévoit ainsi une prestation de « transmission par les opérateurs de communications électroniques d'un message d'information de l'Agence nationale de la sécurité des systèmes d'information à destination des abonnés de l'opérateur », associée à plusieurs tarifs qui varient selon le délai de transmission demandé (2 ou 12 jours ouvrés) et le nombre de messages transmis par envoi (inférieur à 50 destinataires, entre 50 et 500 destinataires et au-delà de 500 destinataires).
S'agissant du projet d'arrêté pour l'application du deuxième alinéa de l'article L. 2321-3 du code de la défense :
Le deuxième alinéa de l'article L. 2321-3 du code de la défense prévoit que lorsque l'ANSSI est informée, en application de l'article L. 33-14 du CPCE, de l'existence d'un événement affectant la sécurité des systèmes d'information d'une autorité publique ou d'un opérateur d'importance vitale ou d'un opérateur de service essentiel, ses agents habilités et assermentés peuvent obtenir des opérateurs de communications électroniques les données techniques strictement nécessaires à l'analyse de cet événement.
Le projet d'arrêté précise les modalités et les montants de la compensation des prestations assurées par les opérateurs à ce titre.
Il identifie ainsi deux catégories de prestations et fixe les tarifs associés. La première consiste en la mise en production de marqueurs techniques fournis par l'ANSSI et, lorsqu'un marqueur est à l'origine d'une alerte, la transmission des données permettant d'identifier l'utilisateur ou le détenteur du système d'information de l'IP horodatée affectée par l'événement. La seconde est relative à la transmission des données techniques prévues à l'article R. 10-15 du CPCE sur demande d'information complémentaire adressée par l'ANSSI.
2. Observations de l'ARCEP
L'ARCEP prend acte du projet de fixation des catégories de prestations et des tarifs associés à ces prestations qui apportera plus de transparence et de lisibilité aux opérateurs.
L'ARCEP relève avec satisfaction que, préalablement à toute demande de prestation auprès d'un opérateur, l'ANSSI définira en concertation avec celui-ci les modalités d'exécution ou le périmètre sur lequel portera la prestation, afin de prendre en considération les capacités de celui-ci à pouvoir y répondre, notamment au regard de l'impact de la réalisation de ladite prestation sur son activité commerciale ou sur ses capacités techniques (notamment volumétrie, fréquence) ou organisationnelles.
S'agissant du niveau des tarifs des prestations, l'Autorité n'a pas eu connaissance des éléments lui permettant de se prononcer sur les niveaux tarifaires proposés, elle relève néanmoins les points ci-après.
S'agissant du projet d'arrêté pour l'application du cinquième alinéa de l'article L. 33-14 du CPCE :
Les opérateurs ne disposent a priori pas à ce jour de processus complètement automatisé pour identifier l'adresse électronique d'un abonné à partir d'une adresse IP, ni n'ont mis en place de plateforme d'envoi de messages dédiée pour traiter les demandes de transmission de message par l'ANSSI qui seront donc dans un premier temps traitées manuellement. Aussi, les opérateurs devront probablement investir pour pouvoir être en mesure de traiter la demande de transmission des messages en 2 jours.
L'ARCEP invite en conséquence le gouvernement à s'assurer, à la lueur du retour d'expérience que les tarifs des prestations couvrent également les investissements nécessaires à l'automatisation des processus et le cas échéant à adapter les niveaux des compensations en conséquence d'autant que cette prestation n'a été expérimentée qu'avec un seul opérateur à ce stade.
S'agissant du projet d'arrêté pour l'application du deuxième alinéa de l'article L. 2321-3 du code de la défense :
S'agissant de la prestation de mise en production des marqueurs et de transmission des données d'identification de l'utilisateur ou détenteur du système d'information, l'ARCEP suggère pour plus de prévisibilité, notamment en matière de dimensionnement des ressources permettant aux opérateurs, conformément à la loi, de vérifier l'innocuité des marqueurs, de préciser le nombre maximum de marqueurs correspondant à ce tarif par campagne.
S'agissant de prestation de fourniture des informations complémentaires, l'ARCEP suggère, par souci de lisibilité, que le tarif de 18 € s'applique par transmission de l'ensemble des données suite à une demande d‘informations complémentaires par alerte affectant un utilisateur ou detenteur de système d'information et non par marqueur dans la mesure où un marqueur peut couvrir plusieurs victimes potentielles ou alertes.
S'agissant du tarif de fourniture des données techniques prévues à l'article R. 10-15 du CPCE, l'Autorité relève que le tarif de 18€ est identique à celui de la prestation d'identification d'un abonné à partir d'une adresse IP (AA 01) prévue à l'arrêté du 28 septembre 2015 fixant la tarification applicable à la transmission par les opérateurs de communications électroniques des informations mentionnées à l'article L. 2321-3 du code de la défense bien que les données demandées dans le cas présent sont plus nombreuses. En outre, la collecte et la transmission de certaines de ces données demandera une intervention humaine tant que les développements permettant un traitement automatisé n'auront pas été réalisés.
L'ARCEP invite en conséquence le gouvernement à veiller à ce que le tarif de cette prestation couvre effectivement les coûts, et si nécessaire, d'adapter ce tarif en conséquence.
Le présent avis sera transmis à la Secrétaire générale de la défense et de la sécurité nationale.