Articles

Article 64 ENTIEREMENT_MODIF (LOI n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense (1))

Article 64 ENTIEREMENT_MODIF (LOI n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense (1))


Après l'article L. 2321-2-2 du code de la défense, il est inséré un article L. 2321-2-3 ainsi rédigé :


« Art. L. 2321-2-3.-I.-Lorsqu'il est constaté qu'une menace susceptible de porter atteinte à la défense et à la sécurité nationale résulte de l'exploitation d'un nom de domaine à l'insu de son titulaire qui l'a enregistré de bonne foi, l'autorité nationale de sécurité des systèmes d'information peut demander à ce titulaire de prendre les mesures adaptées pour neutraliser cette menace dans un délai qu'elle lui impartit et qui tient compte de la nature de ce titulaire ainsi que de ses contraintes opérationnelles.
« En l'absence de neutralisation de cette menace dans le délai imparti, l'autorité nationale de sécurité des systèmes d'information peut demander :
« 1° A un fournisseur de système de résolution de noms de domaine, au sens de l'article L. 2321-3-1, de bloquer le nom de domaine ;
« 2° A l'office d'enregistrement, mentionné à l'article L. 45 du code des postes et des communications électroniques, ou à un bureau d'enregistrement établi sur le territoire français, mentionné à l'article L. 45-4 du même code, de suspendre le nom de domaine.
« Lorsque le titulaire du nom de domaine apporte des éléments établissant que la menace est neutralisée, l'autorité nationale mentionnée au premier alinéa du présent I demande qu'il soit mis fin sans délai aux mesures prises en application des 1° ou 2°.
« II.-Lorsqu'il est constaté qu'une menace susceptible de porter atteinte à la défense et à la sécurité nationale résulte de l'exploitation d'un nom de domaine enregistré à cette fin, l'autorité nationale de sécurité des systèmes d'information peut demander :
« 1° A une personne mentionnée au 1° du I de procéder au blocage ou à la redirection du nom de domaine vers un serveur sécurisé de l'autorité nationale ou vers un serveur neutre ;
« 2° A l'office d'enregistrement ou à un bureau d'enregistrement, mentionnés au 2° du même I, d'enregistrer, de renouveler, de suspendre ou de transférer le nom de domaine. A la demande de l'autorité, les données d'enregistrement ne sont pas rendues publiques.
« III.-Les mesures prévues aux I et II sont prises par les personnes mentionnées aux 1° et 2° des mêmes I et II dans un délai, fixé par l'autorité nationale de sécurité des systèmes d'information, qui ne peut être inférieur à deux jours ouvrés.
« Elles sont mises en œuvre pour une durée et dans une mesure strictement nécessaires et proportionnées dans leurs effets à la préservation de l'intégrité du réseau, à la caractérisation et à la neutralisation de la menace et à l'information des utilisateurs ou des détenteurs des systèmes affectés, menacés ou attaqués.
« Les mesures de redirection d'un nom de domaine vers un serveur sécurisé de l'autorité nationale de sécurité des systèmes d'information prises aux fins de caractérisation de la menace ne peuvent excéder une durée de deux mois. Elles peuvent être renouvelées une fois en cas de persistance de la menace, sur avis conforme de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse. Elles prennent fin, sans délai, lorsque la menace est neutralisée.
« Les mesures prévues aux I et II, exception faite de celles prévues au troisième alinéa du présent III, sont soumises au contrôle de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse dans les conditions prévues au I de l'article L. 36-14 du code des postes et des communications électroniques.
« IV.-Les données directement utiles à la caractérisation des menaces, recueillies par l'autorité nationale de sécurité des systèmes d'information en application du II du présent article, ne peuvent être conservées plus de cinq ans. Les autres données recueillies sont détruites dans un délai bref, précisé par voie réglementaire, quand elles ne sont pas utiles à la caractérisation de la menace, à l'exception des données permettant d'identifier les utilisateurs ou les détenteurs des systèmes d'information menacés, lesquels peuvent être informés par l'autorité mentionnée à la première phrase du présent IV, le cas échéant après mise en œuvre du premier alinéa de l'article L. 2321-3.
« V.-Un décret en Conseil d'Etat, pris après avis de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse et de la Commission nationale de l'informatique et des libertés, précise les modalités d'application du présent article ainsi que les modalités de compensation des surcoûts identifiables et spécifiques des prestations assurées à ce titre, à la demande de l'Etat, par les personnes mentionnées aux 1° et 2° des I et II du présent article. »