ANNEXE
Les ajouts proposés figurent en gras.
Les suppressions proposées sont barrées.
|
Projet de décret et dispositifs concernés |
Modification proposée |
Commentaires |
|---|---|---|
|
R. 2321-1-7 - Mesures de blocage, enregistrement, renouvellement, suspension, transfert et redirection de nom de domaine |
« Pour l'application du I de l'article L. 2321-2-3, lorsque l'Agence nationale de la sécurité des systèmes d'information demande au titulaire du nom de domaine de prendre les mesures adaptées pour neutraliser la menace, elle lui notifie, sous un délai de XXX, par tout moyen tenant compte de la menace et de l'urgence, les mesures techniques correctives à appliquer ainsi que le délai dans lequel ces mesures doivent être mises en œuvre. » |
Lorsque l'ANSSI notifie des mesures correctives, la loi dispose que l'ANSSI doit tenir compte de la nature du titulaire et de ses contraintes opérationnelles. Il conviendrait que ces dispositifs soient mis en œuvre en concertation avec le titulaire notamment pour déterminer le délai imparti et préciser la forme de la notification. |
|
R. 2321-1-7 - Mesures de blocage, enregistrement, renouvellement, suspension, transfert et redirection de nom de domaine |
« Le titulaire de bonne foi rend compte à l'Agence précitée de la mise en œuvre des mesures par tout moyen sous un délai de X. » |
Préciser les valeurs des délais impartis aux personnes concernées afin d'assurer la sécurité juridique des acteurs et des dispositifs |
|
R. 2321-1-16 II - Signalement de vulnérabilités et incidents par les éditeurs de logiciels |
« S'il constate que la vulnérabilité ou l'incident est significatif, l'éditeur de logiciel le notifie à l'Agence nationale de la sécurité des systèmes d'information sans délai sous un délai de X et au plus tard dans un délai de vingt-quatre heures après en avoir eu connaissance. » |
|
|
R. 2321-1-17 I - Signalement de vulnérabilités et incidents par les éditeurs de logiciels |
« Ce délai ne peut être inférieur à dix jours ouvrables, sauf en cas de risque pour la défense et la sécurité nationale requérant une information des utilisateurs sans délai sous un délai de X. » |
|
|
R. 2321-1-18 - Signalement de vulnérabilités et incidents par les éditeurs de logiciels |
« En application du cinquième alinéa de l'article L. 2321-4-1, l'injonction est motivée et mentionne le délai imparti, au plus tard dans un délai de X, ainsi que les mesures requises pour s'y conformer. » |
|
|
R. 2321-1-2 II - Décision de mise en œuvre d'une capture de flux ou d'une copie de serveur |
« La décision de mettre en œuvre les dispositifs mentionnés au 2° du même article ne peut être notifiée, aux personnes mentionnées au I de l'article R. 2321-1-2 et à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, qu'après avoir obtenu l'avis conforme de celle-ci l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse. » |
Les destinataires des notifications ne sont pas précisées. |
|
R. 2321-1-3 al. 3 - Décision de prorogation de capture de flux |
« Elle est notifiée aux personnes mentionnées au I de l'article R. 2321-1-2 et communiquée à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse. » |
|
|
R. 2321-1-8 II - Mesures de blocage, enregistrement, renouvellement, suspension, transfert et redirection de nom de domaine |
« l'Agence précitée communique, sans délai, chaque demande mentionnée au I du présent article à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse » |
Le délai de communication à l'ARCEP des demandes n'est pas précisé. |
|
R. 2321-1-9 - Mesures de blocage, enregistrement, renouvellement, suspension, transfert et redirection de nom de domaine |
« L'Agence nationale de la sécurité des systèmes d'information demande, le cas échéant, des informations complémentaires permettant d'établir que la menace est neutralisée. Lorsque le titulaire communique des informations complémentaires, l'agence précitée les communique sans délai à l'ARCEP. » |
|
|
R. 2321-1-15 al. 1er - Identification des agents spécialement habilités |
« Les dispositifs de traçabilité des données collectées mentionnés au 2° de l'article L. 36-14 du code des postes et des communications électroniques garantissent notamment l'identification des agents mentionnés au cinquième alinéa de l'article L. 2321-2-1, au IV de l'article L. 2321-2-3, au deuxième alinéa de l'article L. 2321-3 et au premier alinéa de l'article L. 2321-3-1. » |
Les agents qui travaillent sur les données du dispositif de filtrage DNS et qui ont notamment accès aux données utiles à la prévention devraient aussi être dûment identifiés. |