Le chapitre Ier du titre II du livre III de la partie 2 de la partie réglementaire du code de la défense est ainsi modifié :
I.-Les articles R. 2321-1-1 à R. 2321-1-5 sont remplacés par les dispositions suivantes :
« Sous-section 1
« Mise en œuvre des dispositifs exploitant des marqueurs techniques ou permettant le recueil de données
« Art. R. 2321-1-1.-I. − Les dispositifs prévus au 1° du L. 2321-2-1 exploitant les marqueurs techniques définis à l'article R. 2321-1-4 permettent la détection des communications et programmes informatiques malveillants ainsi que le recueil et l'analyse des seules données techniques nécessaires à la prévention et à la caractérisation de la menace.
« II. − Les dispositifs prévus au 2° du L. 2321-2-1 permettent :
« 1° Le recueil des données relatives aux communications électroniques émises et reçues par un équipement affecté par la menace ;
« 2° Ou le recueil de données sur un équipement affecté par la menace.
« Art. R. 2321-1-2.-I.-La décision de mettre en œuvre les dispositifs mentionnés au I de l'article R. 2321-1-1 est notifiée par l'autorité nationale de sécurité des systèmes d'information à l'opérateur de communications électroniques, à la personne mentionnée au 1 ou 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ou à l'opérateur de centre de données, et communiquée à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.
« II.-La décision de mettre en œuvre les dispositifs mentionnés au II de l'article R. 2321-1-1 ne peut être notifiée aux personnes mentionnées à l'alinéa précédent qu'après avis conforme de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse pour la mise en œuvre de ces dispositifs. Cette décision est également notifiée à cette autorité.
« III.-La décision de mettre en œuvre les dispositifs mentionnés au I ou au 1° du II de l'article R. 2321-1-1 est accompagnée d'un cahier des charges élaboré, le cas échéant, après concertation avec les personnes destinataires. Ce cahier des charges précise :
« 1° Le type de dispositif mis en œuvre et le réseau ou le système d'information concerné ;
« 2° Les conditions techniques d'organisation et de fonctionnement nécessaires à la mise en œuvre de ces dispositifs ;
« 3° Le délai dans lequel ils sont mis en œuvre et la durée de leur mise en œuvre.
« Le cahier des charges peut prévoir une phase de test préalable sur les réseaux ou systèmes d'information concernés.
« Art. R. 2321-1-3.-Les dispositifs mentionnés au I ou au 1° du II de l'article R. 2321-1-1 sont mis en œuvre pour une période maximale de trois mois. En cas de persistance de la menace la décision de mettre en œuvre ces dispositifs peut être renouvelée pour une même durée et dans les mêmes conditions que la décision initiale.
« Art. R. 2321-1-4.-Les marqueurs techniques exploités par les dispositifs mentionnés au I de l'article R. 2321-1-1 sont des éléments techniques caractéristiques d'un mode opératoire d'attaque informatique, permettant de détecter une activité malveillante ou d'identifier une menace susceptible d'affecter la sécurité des systèmes d'information.
« Art. R. 2321-1-5.-L'analyse des données recueillies lors de la mise en œuvre des dispositifs mentionnés au II de l'article R. 2321-1-1 est effectuée par les agents mentionnés au cinquième alinéa de l'article L. 2321-2-1, dans un délai de trois mois à compter de leur recueil.
« Les informations et les catégories de données directement utiles à la prévention et à la caractérisation des menaces concernent :
« 1° Les communications électroniques liées aux activités de l'attaquant ;
« 2° Les données système, liées à l'attaquant.
« Les données qui ne relèvent pas de ces catégories sont détruites dans un délai d'un jour ouvré à compter de leur analyse mentionnée au premier alinéa.
« Les données directement utiles à la prévention et à la caractérisation des menaces ne peuvent être conservées plus de deux ans à compter de leur collecte.
« Art. R. 2321-1-6.-Les surcoûts spécifiques et identifiables supportés par les personnes mentionnées au I de l'article R. 2321-1-2 et résultant des obligations de l'article L. 2321-2-1 font l'objet d'une compensation financière prise en charge par l'Etat.
« La compensation correspond à la couverture des surcoûts définis comme suit :
« 1° Les surcoûts liés à la réalisation de prestations dont la compensation est établie sur la base du montant hors taxes de tarifs fixés par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques ;
« L'Etat procède, sur présentation d'une facture, au paiement des compensations correspondant aux surcoûts justifiés ;
« 2° Les surcoûts liés à la conception et au déploiement des systèmes d'information ou, le cas échéant, à leur adaptation, permettant la mise en place d'un dispositif exploitant des marqueurs techniques ou le recueil des données ainsi que les surcoûts liés au fonctionnement et à la maintenance de ces systèmes.
« Pour obtenir une compensation, l'opérateur adresse à l'autorité nationale de sécurité des systèmes d'information un document assorti des justificatifs nécessaires permettant d'établir le nombre et la nature des interventions nécessaires non couvertes par l'arrêté mentionné au 1°. L'Etat procède, après analyse du document transmis, et sur présentation d'une facture, au paiement des compensations correspondant aux surcoûts justifiés.
« Sous-section 2
« Blocage, enregistrement, suspension, transfert et redirection de nom de domaine
« Art. R. 2321-1-7.-Pour l'application du I de l'article L. 2321-2-3, lorsque l'autorité nationale de sécurité des systèmes d'information demande au titulaire du nom de domaine de prendre les mesures adaptées pour neutraliser la menace, elle lui notifie, par tout moyen tenant compte de la menace et de l'urgence, les mesures techniques correctives à appliquer, le délai dans lequel ces mesures doivent être mises en œuvre ainsi que le moyen de communication à utiliser.
« Le titulaire de bonne foi du nom de domaine rend compte à l'autorité nationale de sécurité des systèmes d'information de la mise en œuvre de ces mesures.
« Art. R. 2321-1-8.-I.-Les demandes adressées par l'autorité nationale de sécurité des systèmes d'information aux personnes mentionnées aux 1° et 2° des I et II de l'article L. 2321-2-3 leur sont notifiées par tout moyen tenant compte de la menace et de l'urgence. Elles comprennent :
« 1° Le nom de domaine concerné ;
« 2° La nature et la durée de la mesure demandée ;
« 3° Le délai imparti pour sa mise en œuvre ;
« 4° Toute autre information technique utile à la mise en œuvre de la mesure.
« II.-A l'exception des demandes de renouvellement d'une mesure de redirection mentionnée au troisième alinéa du III de l'article L. 2321-2-3, l'autorité nationale de sécurité des systèmes d'information communique chaque demande mentionnée au I du présent article à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.
« III.-Les personnes mentionnées au I mettent en œuvre, par tout moyen tenant compte de la menace et de l'urgence, les mesures demandées et en tiennent informée l'autorité nationale de sécurité des systèmes d'information en lui communiquant les informations techniques relatives à leur mise en œuvre. Elles préservent la confidentialité de toutes les données qui leur sont confiées dans ce cadre.
« Art. R. 2321-1-9.-En application du dernier alinéa du I de l'article L. 2321-2-3, pour mettre fin aux mesures mentionnées au 1° et 2° du I du même article, le titulaire de bonne foi du nom de domaine fournit à l'autorité nationale de sécurité des systèmes d'information :
« 1° La liste des mesures qu'il a mises en œuvre pour neutraliser la menace ;
« 2° Tout élément de nature à établir que la menace est neutralisée.
« L'autorité nationale de sécurité des systèmes d'information demande, le cas échéant, des informations complémentaires permettant d'établir que la menace est neutralisée.
« Lorsque le titulaire de bonne foi du nom de domaine communique des informations complémentaires, l'autorité nationale de sécurité des systèmes d'information les communique à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.
« Art. R. 2321-1-10.-L'analyse des données recueillies en application du IV de l'article L. 2321-2-3 est effectuée dans un délai de trois mois à compter de leur recueil.
« Les données directement utiles à la caractérisation des menaces au titre du même IV sont celles liées aux activités de l'attaquant à destination du nom de domaine concerné. Elles ne peuvent être conservées plus de cinq ans à compter de leur recueil.
« Les autres données sont détruites dans un délai d'un jour ouvré à compter de leur analyse mentionnée au premier alinéa.
« Art. R. 2321-1-11.-Les surcoûts résultant des obligations mises à la charge des personnes mentionnées au 1° et 2° du I de l'article L. 2321-2-3 du code de la défense font l'objet d'une compensation financière prise en charge par l'Etat selon des modalités sont fixées par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques.
« La compensation correspond à la couverture des surcoûts définis comme suit :
« 1° Les surcoûts liés à la réalisation de prestations dont la compensation est établie sur la base du montant hors taxes de tarifs fixés par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques ;
« L'Etat procède, sur présentation d'une facture, au paiement des compensations correspondant aux surcoûts justifiés ;
« 2° Les surcoûts liés à la conception et au déploiement des systèmes d'information ou, le cas échéant, à leur adaptation, permettant le blocage ou la redirection d'un nom de domaine ainsi que les surcoûts liés au fonctionnement et à la maintenance de ces systèmes.
« Pour obtenir une compensation, l'opérateur adresse à l'autorité nationale de sécurité des systèmes d'information un document détaillant le nombre et la nature des interventions nécessaires non couvertes par l'arrêté ainsi que le coût de l'investissement éventuellement réalisé.
« L'Etat procède, après analyse du document transmis, et sur présentation d'une facture, au paiement des compensations correspondant aux surcoûts justifiés.
« Lorsque le système d'information utilisé pour traiter les demandes d'identification émanant de l'autorité nationale de sécurité des systèmes d'information est le même que celui utilisé pour répondre à des demandes émanant d'autres autorités publiques ou judiciaires et que les surcoûts mentionnés au 2° ont déjà fait l'objet, à ce titre, d'une compensation financière de la part de l'Etat, l'opérateur concerné ne peut prétendre à une nouvelle compensation de ces surcoûts.
« Sous-section 3
« Communication de données
« Art. R. 2321-1-12.-Les fournisseurs de système de résolution de noms de domaine transmettent aux agents mentionnés au premier alinéa de l'article L. 2321-3-1 les données techniques suivantes :
« 1° Les enregistrements issus des serveurs gérant le système d'adressage par domaine, incluant le nom de domaine, le type d'enregistrement, sa durée de vie et sa valeur ;
« 2° L'horodatage de ces enregistrements.
« Art. R. 2321-1-13.-I-En application de l'article L. 2321-3-1, les conditions de transmission des données techniques mentionnées à l'article R. 2321-1-12 sont précisées par une décision de l'autorité nationale de sécurité des systèmes d'information qu'elle notifie au fournisseur de système de résolution de noms de domaine.
« Cette décision tient compte des contraintes techniques du fournisseur de système de résolution de noms de domaine et mentionne :
« 1° La fréquence du relevé, au moins quotidienne, des données mentionnées à l'article R. 2321-1-12 ;
« 2° Le mode de transmission de ces données ;
« 3° Le format de ces données établi sur la base d'une documentation fournie à l'autorité nationale de sécurité des systèmes d'information par le fournisseur de système de résolution de noms de domaine ;
« 4° La fréquence de transmission de ces données, au moins hebdomadaire.
« II.-La décision mentionnée au I est communiquée à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.
« Sous-section 4
« Dispositifs de compensation et de traçabilité
« Art. R. 2321-1-14.-Les surcoûts liés à la conception et au déploiement des systèmes d'information ou, le cas échéant, à leur adaptation, permettant la communication des informations mentionnées à l'alinéa premier de l'article L. 2321-3 ainsi que les surcoûts liés au fonctionnement et à la maintenance de ces systèmes, supportés par les personnes mentionnées au 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, font l'objet d'une compensation financière prise en charge par l'Etat selon des modalités fixées par arrêté du Premier ministre.
« La compensation est établie sur la base du montant hors taxes de tarifs fixés par arrêté du Premier ministre.
« L'Etat procède, sur présentation d'une facture, détaillant les prestations fournies par les personnes mentionnées au premier alinéa, au paiement correspondant aux surcoûts justifiés.
« Art. R. 2321-1-15.-Les dispositifs de traçabilité des données collectées en application du premier alinéa de l'article L. 2321-3, des articles R. 2321-1-1, R. 2321-1-5, R. 2321-1-10, R. 2321-1-14 et de l'article R. 9-12-3 du code des postes et des communications électroniques garantissent l'identification des agents de l'autorité nationale de sécurité des systèmes d'information qui ont eu accès aux données collectées. Ces dispositifs enregistrent également les modifications effectuées sur les données, dont leur suppression.
« Sous-section 5
« Signalement de vulnérabilités et incidents par les éditeurs de logiciels
« Art. R. 2321-1-16.-I.-Lorsque l'éditeur de logiciel mentionné à l'article L. 2321-4-1 a connaissance d'une vulnérabilité affectant un de ses produits ou en cas d'incident informatique compromettant la sécurité de son système d'information et susceptible d'affecter un de ses produits, il en apprécie le caractère significatif, notamment au regard des critères suivants :
« 1° Le nombre d'utilisateurs concernés par la vulnérabilité ou l'incident affectant le produit ;
« 2° Le nombre de produits intégrant le produit affecté ;
« 3° L'impact technique, potentiel ou actuel, de la vulnérabilité ou de l'incident sur le fonctionnement attendu du produit. Selon les fonctionnalités du produit, cet impact est évalué au regard de critères de sécurité tels que la disponibilité, l'intégrité, la confidentialité ou la traçabilité ;
« 4° Le type de produit au regard de ses usages et de l'environnement dans lequel il est déployé ;
« 5° L'exploitation imminente ou avérée de la vulnérabilité ;
« 6° L'existence d'une preuve technique d'exploitabilité ou d'un code d'exploitation.
« II.-S'il constate que la vulnérabilité ou l'incident est significatif, l'éditeur de logiciel le notifie l'autorité nationale de sécurité des systèmes d'information La notification comporte les informations utiles à la compréhension de la vulnérabilité ou de l'incident mentionné au I. Lorsque la vulnérabilité ou l'incident a été notifié par l'autorité nationale de sécurité des systèmes d'information à l'éditeur de logiciel ce dernier dispose d'un délai fixé par cette autorité pour apprécier son caractère significatif. Ce délai ne peut être inférieur à 48 heures.
« III.-L'éditeur de logiciel complète à cet effet le formulaire de déclaration mis à disposition sur le site internet de l'autorité nationale de sécurité des systèmes d'information et adresse les informations complémentaires au fur et à mesure de son analyse. Il répond aux demandes d'informations supplémentaires de l'autorité nationale de sécurité des systèmes d'information. Il met en œuvre, le cas échéant, les mesures utiles requises afin de sécuriser la vulnérabilité ou l'incident mentionné au I.
« Art. R. 2321-1-17.-I.-Après analyse conjointe de la vulnérabilité ou de l'incident mentionné au I de l'article R. 2321-1-16 avec l'éditeur, l'autorité nationale de sécurité des systèmes d'information notifie à ce dernier le délai dans lequel il informe ses utilisateurs de la vulnérabilité ou de l'incident mentionné au I de l'article R. 2321-1-16. Ce délai ne peut être inférieur à dix jours ouvrables, sauf en cas de risque pour la défense et la sécurité nationale requérant une information des utilisateurs sans délai.
« II.-L'éditeur de logiciel informe les utilisateurs du produit affecté par un message d'information comprenant, le cas échéant, toute recommandation que ces derniers peuvent appliquer. Il rend compte à l'autorité nationale de sécurité des systèmes d'information de l'envoi de ce message.
« Art. R. 2321-1-18.-L'injonction adressée par l'autorité nationale de sécurité des systèmes d'information aux éditeurs de logiciel en application du cinquième alinéa de l'article L. 2321-4-1 est motivée et mentionne le délai imparti, qui ne peut être inférieur à dix jours, ainsi que les mesures requises pour s'y conformer. L'éditeur de logiciel peut présenter des observations dans ce délai. L'injonction est notifiée à l'éditeur de logiciel par lettre recommandée avec avis de réception. L'éditeur de logiciel est informé que l'autorité nationale de sécurité des systèmes d'information peut informer les utilisateurs ou rendre public la vulnérabilité ou l'incident ainsi que l'injonction si celle-ci n'a pas été mise en œuvre.
« Art. R. 2321-1-19.-En application du cinquième alinéa de l'article L. 2321-4-1, l'autorité nationale de sécurité des systèmes d'information peut :
« 1° Procéder à l'information des utilisateurs ou du public, relative à la vulnérabilité ou à l'incident, sur le site du centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques ;
« 2° Rendre publique l'injonction, sur son site Internet, lorsque celle-ci a été partiellement ou totalement inexécutée. »
II.-La section 2 est ainsi modifiée :
1° A l'article R. 2321-2, les mots : « L. 2321-2-1 et L. 2321-3 » sont remplacés par les mots : « L. 2321-2-1, L. 2321-3 et L. 2321-3-1 » ;
2° Les articles R. 2321-3 et R. 2321-4 sont abrogés.