5. Cybersécurité 
5.3. Sécurité informatique et de l'information
5.3. Sécurité informatique et de l'information
Décret n° 2024-421 du 10 mai 2024 pris pour l’application des articles L. 2321-2-1 à L. 2321-4-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques
| Date de signature : | 10/05/2024 | Statut du texte : | En vigueur |
| Date de publication : | 11/05/2024 | Emetteur : | Premier ministre |
| Consolidée le : | Source : | JO du 11 mai 2024 | |
| Date d'entrée en vigueur : | 01/06/2024 |
Décret n° 2024-421 du 10 mai 2024 pris pour l’application des articles L. 2321-2-1 à L. 2321-4-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques
NOR : PRMD2407081D
Publics concernés : Agence nationale de la sécurité des systèmes d’information (ANSSI) ; Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) ; opérateurs de communications électroniques ; fournisseurs de services d’hébergement de contenus en ligne ; opérateurs de centre de données ; offices et bureaux d’enregistrement de noms de domaine ; éditeurs de logiciels.
Objet : mise en œuvre des nouvelles capacités de cyberdéfense et de cybersécurité confiées à l’Agence nationale de la sécurité des systèmes d’information.
Entrée en vigueur : le texte entre en vigueur le premier jour du mois suivant celui de sa publication. Les 1° à 5° du I de l’article 2 entrent en vigueur au plus tard le 31 décembre 2024.
Notice : le décret prévoit les conditions d’application des nouvelles compétences conférées à l’ANSSI en matière de sécurité des systèmes d’information : mesures de filtrage de noms de domaine en cas de menace contre la sécurité nationale ; communication de certaines données techniques de cache de serveurs de systèmes de noms de domaine ; obligation pour les éditeurs de logiciel victimes d’un incident informatique sur leurs systèmes d’information ou ayant une vulnérabilité critique sur un produit ou un service d’en informer l’ANSSI et leurs clients français ; renforcement des capacités de détection des cyberattaques et d’information des victimes ; modalités du contrôle de l’ARCEP sur la mise en œuvre de certaines de ces mesures.
Références : le décret est pris pour l’application des articles L. 2321-2-1, L. 2321-2-3, L. 2321-3, L. 2321-3-1 et L. 2321-4-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques, dans leur rédaction issue des articles 64 à 67 de la loi n°2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense. Il peut être consulté sur le site Légifrance (https://www.legifrance.gouv.fr).
Le Premier ministre,
Sur le rapport du ministre de l’économie, des finances et de la souveraineté industrielle et numérique,
Décrète :
Art. 1er. – Le chapitre Ier du titre II du livre III de la partie 2 de la partie réglementaire du code de la défense est ainsi modifié :
I. – Les articles R. 2321-1-1 à R. 2321-1-5 sont remplacés par les dispositions suivantes :
« Sous-section 1
« Mise en œuvre des dispositifs exploitant des marqueurs techniques ou permettant le recueil de données
« Art. R. 2321-1-1. – I. − Les dispositifs prévus au 1° du L. 2321-2-1 exploitant les marqueurs techniques définis à l’article R. 2321-1-4 permettent la détection des communications et programmes informatiques malveillants ainsi que le recueil et l’analyse des seules données techniques nécessaires à la prévention et à la caractérisation de la menace.
« II. − Les dispositifs prévus au 2° du L. 2321-2-1 permettent :
« 1° Le recueil des données relatives aux communications électroniques émises et reçues par un équipement affecté par la menace ;
« 2° Ou le recueil de données sur un équipement affecté par la menace.
« Art. R. 2321-1-2. – I. – La décision de mettre en œuvre les dispositifs mentionnés au I de l’article R. 2321-1-1 est notifiée par l’autorité nationale de sécurité des systèmes d’information à l’opérateur de communications électroniques, à la personne mentionnée au 1 ou 2 du I de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ou à l’opérateur de centre de données, et communiquée à l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.
« II. – La décision de mettre en œuvre les dispositifs mentionnés au II de l’article R. 2321-1-1 ne peut être notifiée aux personnes mentionnées à l’alinéa précédent qu’après avis conforme de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse pour la mise en œuvre de ces dispositifs. Cette décision est également notifiée à cette autorité.
« III. – La décision de mettre en œuvre les dispositifs mentionnés au I ou au 1° du II de l’article R. 2321-1-1 est accompagnée d’un cahier des charges élaboré, le cas échéant, après concertation avec les personnes destinataires. Ce cahier des charges précise :
« 1° Le type de dispositif mis en œuvre et le réseau ou le système d’information concerné ;
« 2° Les conditions techniques d’organisation et de fonctionnement nécessaires à la mise en œuvre de ces dispositifs ;
« 3° Le délai dans lequel ils sont mis en œuvre et la durée de leur mise en œuvre.
« Le cahier des charges peut prévoir une phase de test préalable sur les réseaux ou systèmes d’information concernés.
« Art. R. 2321-1-3. – Les dispositifs mentionnés au I ou au 1° du II de l’article R. 2321-1-1 sont mis en œuvre pour une période maximale de trois mois. En cas de persistance de la menace la décision de mettre en œuvre ces dispositifs peut être renouvelée pour une même durée et dans les mêmes conditions que la décision initiale.
« Art. R. 2321-1-4. – Les marqueurs techniques exploités par les dispositifs mentionnés au I de l’article R. 2321-1-1 sont des éléments techniques caractéristiques d’un mode opératoire d’attaque informatique, permettant de détecter une activité malveillante ou d’identifier une menace susceptible d’affecter la sécurité des systèmes d’information.
« Art. R. 2321-1-5. – L’analyse des données recueillies lors de la mise en œuvre des dispositifs mentionnés au II de l’article R. 2321-1-1 est effectuée par les agents mentionnés au cinquième alinéa de l’article L. 2321-2-1, dans un délai de trois mois à compter de leur recueil.
« Les informations et les catégories de données directement utiles à la prévention et à la caractérisation des menaces concernent :
« 1° Les communications électroniques liées aux activités de l’attaquant ;
« 2° Les données système, liées à l’attaquant.
« Les données qui ne relèvent pas de ces catégories sont détruites dans un délai d’un jour ouvré à compter de leur analyse mentionnée au premier alinéa.
« Les données directement utiles à la prévention et à la caractérisation des menaces ne peuvent être conservées plus de deux ans à compter de leur collecte.
« Art. R. 2321-1-6. – Les surcoûts spécifiques et identifiables supportés par les personnes mentionnées au I de l’article R. 2321-1-2 et résultant des obligations de l’article L. 2321-2-1 font l’objet d’une compensation financière prise en charge par l’Etat.
« La compensation correspond à la couverture des surcoûts définis comme suit :
« 1° Les surcoûts liés à la réalisation de prestations dont la compensation est établie sur la base du montant hors taxes de tarifs fixés par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques ;
« L’Etat procède, sur présentation d’une facture, au paiement des compensations correspondant aux surcoûts justifiés ;
« 2° Les surcoûts liés à la conception et au déploiement des systèmes d’information ou, le cas échéant, à leur adaptation, permettant la mise en place d’un dispositif exploitant des marqueurs techniques ou le recueil des données ainsi que les surcoûts liés au fonctionnement et à la maintenance de ces systèmes.
« Pour obtenir une compensation, l’opérateur adresse à l’autorité nationale de sécurité des systèmes d’information un document assorti des justificatifs nécessaires permettant d’établir le nombre et la nature des interventions nécessaires non couvertes par l’arrêté mentionné au 1°. L’Etat procède, après analyse du document transmis, et sur présentation d’une facture, au paiement des compensations correspondant aux surcoûts justifiés.
« Sous-section 2
« Blocage, enregistrement, suspension, transfert et redirection de nom de domaine
« Art. R. 2321-1-7. – Pour l’application du I de l’article L. 2321-2-3, lorsque l’autorité nationale de sécurité des systèmes d’information demande au titulaire du nom de domaine de prendre les mesures adaptées pour neutraliser la menace, elle lui notifie, par tout moyen tenant compte de la menace et de l’urgence, les mesures techniques correctives à appliquer, le délai dans lequel ces mesures doivent être mises en œuvre ainsi que le moyen de communication à utiliser.
« Le titulaire de bonne foi du nom de domaine rend compte à l’autorité nationale de sécurité des systèmes d’information de la mise en œuvre de ces mesures.
« Art. R. 2321-1-8. – I. – Les demandes adressées par l’autorité nationale de sécurité des systèmes d’information aux personnes mentionnées aux 1° et 2° des I et II de l’article L. 2321-2-3 leur sont notifiées par tout moyen tenant compte de la menace et de l’urgence. Elles comprennent :
« 1° Le nom de domaine concerné ;
« 2° La nature et la durée de la mesure demandée ;
« 3° Le délai imparti pour sa mise en œuvre ;
« 4° Toute autre information technique utile à la mise en œuvre de la mesure.
« II. – A l’exception des demandes de renouvellement d’une mesure de redirection mentionnée au troisième alinéa du III de l’article L. 2321-2-3, l’autorité nationale de sécurité des systèmes d’information communique chaque demande mentionnée au I du présent article à l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.
« III. – Les personnes mentionnées au I mettent en œuvre, par tout moyen tenant compte de la menace et de l’urgence, les mesures demandées et en tiennent informée l’autorité nationale de sécurité des systèmes d’information en lui communiquant les informations techniques relatives à leur mise en œuvre. Elles préservent la confidentialité de toutes les données qui leur sont confiées dans ce cadre.
« Art. R. 2321-1-9. – En application du dernier alinéa du I de l’article L. 2321-2-3, pour mettre fin aux mesures mentionnées au 1° et 2° du I du même article, le titulaire de bonne foi du nom de domaine fournit à l’autorité nationale de sécurité des systèmes d’information :
« 1° La liste des mesures qu’il a mises en œuvre pour neutraliser la menace ;
« 2° Tout élément de nature à établir que la menace est neutralisée.
« L’autorité nationale de sécurité des systèmes d’information demande, le cas échéant, des informations complémentaires permettant d’établir que la menace est neutralisée.
« Lorsque le titulaire de bonne foi du nom de domaine communique des informations complémentaires, l’autorité nationale de sécurité des systèmes d’information les communique à l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.
« Art. R. 2321-1-10. – L’analyse des données recueillies en application du IV de l’article L. 2321-2-3 est effectuée dans un délai de trois mois à compter de leur recueil.
« Les données directement utiles à la caractérisation des menaces au titre du même IV sont celles liées aux activités de l’attaquant à destination du nom de domaine concerné. Elles ne peuvent être conservées plus de cinq ans à compter de leur recueil.
« Les autres données sont détruites dans un délai d’un jour ouvré à compter de leur analyse mentionnée au premier alinéa.
« Art. R. 2321-1-11. – Les surcoûts résultant des obligations mises à la charge des personnes mentionnées au 1° et 2° du I de l’article L. 2321-2-3 du code de la défense font l’objet d’une compensation financière prise en charge par l’Etat selon des modalités sont fixées par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques.
« La compensation correspond à la couverture des surcoûts définis comme suit :
« 1° Les surcoûts liés à la réalisation de prestations dont la compensation est établie sur la base du montant hors taxes de tarifs fixés par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques ;
« L’Etat procède, sur présentation d’une facture, au paiement des compensations correspondant aux surcoûts justifiés ;
« 2° Les surcoûts liés à la conception et au déploiement des systèmes d’information ou, le cas échéant, à leur adaptation, permettant le blocage ou la redirection d’un nom de domaine ainsi que les surcoûts liés au fonctionnement et à la maintenance de ces systèmes.
« Pour obtenir une compensation, l’opérateur adresse à l’autorité nationale de sécurité des systèmes d’information un document détaillant le nombre et la nature des interventions nécessaires non couvertes par l’arrêté ainsi que le coût de l’investissement éventuellement réalisé.
« L’Etat procède, après analyse du document transmis, et sur présentation d’une facture, au paiement des compensations correspondant aux surcoûts justifiés.
« Lorsque le système d’information utilisé pour traiter les demandes d’identification émanant de l’autorité nationale de sécurité des systèmes d’information est le même que celui utilisé pour répondre à des demandes émanant d’autres autorités publiques ou judiciaires et que les surcoûts mentionnés au 2o ont déjà fait l’objet, à ce titre, d’une compensation financière de la part de l’Etat, l’opérateur concerné ne peut prétendre à une nouvelle compensation de ces surcoûts.
« Sous-section 3
« Communication de données
« Art. R. 2321-1-12. – Les fournisseurs de système de résolution de noms de domaine transmettent aux agents mentionnés au premier alinéa de l’article L. 2321-3-1 les données techniques suivantes :
« 1° Les enregistrements issus des serveurs gérant le système d’adressage par domaine, incluant le nom de domaine, le type d’enregistrement, sa durée de vie et sa valeur ;
« 2° L’horodatage de ces enregistrements.
« Art. R. 2321-1-13. – I – En application de l’article L. 2321-3-1, les conditions de transmission des données techniques mentionnées à l’article R. 2321-1-12 sont précisées par une décision de l’autorité nationale de sécurité des systèmes d’information qu’elle notifie au fournisseur de système de résolution de noms de domaine.
« Cette décision tient compte des contraintes techniques du fournisseur de système de résolution de noms de domaine et mentionne :
« 1° La fréquence du relevé, au moins quotidienne, des données mentionnées à l’article R. 2321-1-12 ;
« 2° Le mode de transmission de ces données ;
« 3° Le format de ces données établi sur la base d’une documentation fournie à l’autorité nationale de sécurité des systèmes d’information par le fournisseur de système de résolution de noms de domaine ;
« 4° La fréquence de transmission de ces données, au moins hebdomadaire.
« II. – La décision mentionnée au I est communiquée à l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.
« Sous-section 4
« Dispositifs de compensation et de traçabilité
« Art. R. 2321-1-14. – Les surcoûts liés à la conception et au déploiement des systèmes d’information ou, le cas échéant, à leur adaptation, permettant la communication des informations mentionnées à l’alinéa premier de l’article L. 2321-3 ainsi que les surcoûts liés au fonctionnement et à la maintenance de ces systèmes, supportés par les personnes mentionnées au 2 du I de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, font l’objet d’une compensation financière prise en charge par l’Etat selon des modalités fixées par arrêté du Premier ministre.
« La compensation est établie sur la base du montant hors taxes de tarifs fixés par arrêté du Premier ministre.
« L’Etat procède, sur présentation d’une facture, détaillant les prestations fournies par les personnes mentionnées au premier alinéa, au paiement correspondant aux surcoûts justifiés.
« Art. R. 2321-1-15. – Les dispositifs de traçabilité des données collectées en application du premier alinéa de l’article L. 2321-3, des articles R. 2321-1-1, R. 2321-1-5, R. 2321-1-10, R. 2321-1-14 et de l’article R. 9-12-3 du code des postes et des communications électroniques garantissent l’identification des agents de l’autorité nationale de sécurité des systèmes d’information qui ont eu accès aux données collectées. Ces dispositifs enregistrent également les modifications effectuées sur les données, dont leur suppression.
« Sous-section 5
« Signalement de vulnérabilités et incidents par les éditeurs de logiciels
« Art. R. 2321-1-16. – I. – Lorsque l’éditeur de logiciel mentionné à l’article L. 2321-4-1 a connaissance d’une vulnérabilité affectant un de ses produits ou en cas d’incident informatique compromettant la sécurité de son système d’information et susceptible d’affecter un de ses produits, il en apprécie le caractère significatif, notamment au regard des critères suivants :
« 1° Le nombre d’utilisateurs concernés par la vulnérabilité ou l’incident affectant le produit ;
« 2° Le nombre de produits intégrant le produit affecté ;
« 3° L’impact technique, potentiel ou actuel, de la vulnérabilité ou de l’incident sur le fonctionnement attendu du produit. Selon les fonctionnalités du produit, cet impact est évalué au regard de critères de sécurité tels que la disponibilité, l’intégrité, la confidentialité ou la traçabilité ;
« 4° Le type de produit au regard de ses usages et de l’environnement dans lequel il est déployé ;
« 5° L’exploitation imminente ou avérée de la vulnérabilité ;
« 6° L’existence d’une preuve technique d’exploitabilité ou d’un code d’exploitation.
« II. – S’il constate que la vulnérabilité ou l’incident est significatif, l’éditeur de logiciel le notifie l’autorité nationale de sécurité des systèmes d’information La notification comporte les informations utiles à la compréhension de la vulnérabilité ou de l’incident mentionné au I. Lorsque la vulnérabilité ou l’incident a été notifié par l’autorité nationale de sécurité des systèmes d’information à l’éditeur de logiciel ce dernier dispose d’un délai fixé par cette autorité pour apprécier son caractère significatif. Ce délai ne peut être inférieur à 48 heures.
« III. – L’éditeur de logiciel complète à cet effet le formulaire de déclaration mis à disposition sur le site internet de l’autorité nationale de sécurité des systèmes d’information et adresse les informations complémentaires au fur et à mesure de son analyse. Il répond aux demandes d’informations supplémentaires de l’autorité nationale de sécurité des systèmes d’information. Il met en œuvre, le cas échéant, les mesures utiles requises afin de sécuriser la vulnérabilité ou l’incident mentionné au I.
« Art. R. 2321-1-17. – I. – Après analyse conjointe de la vulnérabilité ou de l’incident mentionné au I de l’article R. 2321-1-16 avec l’éditeur, l’autorité nationale de sécurité des systèmes d’information notifie à ce dernier le délai dans lequel il informe ses utilisateurs de la vulnérabilité ou de l’incident mentionné au I de l’article R. 2321-1-16. Ce délai ne peut être inférieur à dix jours ouvrables, sauf en cas de risque pour la défense et la sécurité nationale requérant une information des utilisateurs sans délai.
« II. – L’éditeur de logiciel informe les utilisateurs du produit affecté par un message d’information comprenant, le cas échéant, toute recommandation que ces derniers peuvent appliquer. Il rend compte à l’autorité nationale de sécurité des systèmes d’information de l’envoi de ce message.
« Art. R. 2321-1-18. – L’injonction adressée par l’autorité nationale de sécurité des systèmes d’information aux éditeurs de logiciel en application du cinquième alinéa de l’article L. 2321-4-1 est motivée et mentionne le délai imparti, qui ne peut être inférieur à dix jours, ainsi que les mesures requises pour s’y conformer. L’éditeur de logiciel peut présenter des observations dans ce délai. L’injonction est notifiée à l’éditeur de logiciel par lettre recommandée avec avis de réception. L’éditeur de logiciel est informé que l’autorité nationale de sécurité des systèmes d’information peut informer les utilisateurs ou rendre public la vulnérabilité ou l’incident ainsi que l’injonction si celle-ci n’a pas été mise en œuvre.
« Art. R. 2321-1-19. – En application du cinquième alinéa de l’article L. 2321-4-1, l’autorité nationale de sécurité des systèmes d’information peut :
« 1° Procéder à l’information des utilisateurs ou du public, relative à la vulnérabilité ou à l’incident, sur le site du centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques ;
« 2° Rendre publique l’injonction, sur son site Internet, lorsque celle-ci a été partiellement ou totalement inexécutée. »
II. – La section 2 est ainsi modifiée :
1° A l’article R. 2321-2, les mots : « L. 2321-2-1 et L. 2321-3 » sont remplacés par les mots : « L. 2321-2-1, L. 2321-3 et L. 2321-3-1 » ;
2° Les articles R. 2321-3 et R. 2321-4 sont abrogés.
Art. 2. – Le code des postes et des communications électroniques est ainsi modifié :
I. – Le paragraphe III bis de la section 1 du chapitre II du titre Ier du livre II est ainsi modifié :
1° L’article R. 9-12-1 est remplacé par les dispositions suivantes :
« Art. R. 9-12-1. – I. – Au titre du premier alinéa de l’article L. 33-14, la juste rémunération de l’opérateur par l’Etat correspond à la couverture :
« 1° Des coûts exposés pour les études, l’ingénierie, la conception et le déploiement des dispositifs mentionnés à cet alinéa ;
« 2° Des coûts liés à la maintenance et, le cas échéant, à la location des moyens permettant le fonctionnement de ces dispositifs.
« Les choix techniques opérés par l’opérateur au titre du 1o et du 2o font l’objet d’une validation préalable par le ministre chargé des communications électroniques, après avis de l’autorité nationale de sécurité des systèmes d’information.
« Une convention entre le ministre chargé des communications électroniques et l’opérateur détermine les modalités de paiement de la juste rémunération.
« II. – Les surcoûts liés à la conception et au déploiement des systèmes d’information ou, le cas échéant, à leur adaptation, permettant la communication des données mentionnées au quatrième alinéa de l’article L. 33-14 et au deuxième alinéa de l’article L. 2321-3 ainsi que les surcoûts liés au fonctionnement et à la maintenance de ces systèmes sont remboursés par l’Etat selon des tarifs fixés par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques. » ;
2° L’article R. 9-12-2 est ainsi modifié :
5° A l’article R. 9-12-5, les mots : « de communications électroniques » sont remplacés par les mots : « mentionnés à l’alinéa premier de l’article L. 33-14, pour informer leurs abonnés » et les mots : « de l’article L. 33-14 » sont remplacés par les mots : « du même article » ;
6° L’article R. 9-12-6 est remplacé par les dispositions suivantes :
« Art. R. 9-12-6. – Pour l’application du I de l’article L. 36-14, la formation de règlement des différends, de poursuite et d’instruction de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse est informée, sans délai, par l’autorité nationale de sécurité des systèmes d’information :
« 1° Au titre de l’article L. 2321-2-1 du code de la défense :
« a) Des éléments de nature à justifier l’existence de la menace susceptible de porter atteinte à la sécurité des systèmes d’information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense ou des opérateurs mentionnés à l’article 5 de la loi du 26 février 2018 précitée, y compris le cas échéant, les éléments relatifs à l’infrastructure d’attaque informatique ;
« b) De la notification aux personnes mentionnées au I de l’article R. 2321-1-2 du code de la défense, de la décision de mise en œuvre des dispositifs techniques mentionnés au 1° de l’article L. 2321-2-1 du même code et du cahier des charges mentionnés au même article R. 2321-1-2 ;
« c) Des réseaux et systèmes d’information des personnes mentionnées au I de l’article R. 2321-1-2 du code de la défense sur lesquels sont mis en œuvre les dispositifs mentionnés à l’alinéa précédent ;
« d) Des caractéristiques techniques de ces dispositifs et des objectifs attendus ;
« e) Des catégories de données techniques susceptibles d’être recueillies ;
« f) Des résultats de l’analyse technique réalisée en application du cinquième alinéa de l’article L. 2321-2-1 du même code ;
« g) Le cas échéant, de la décision de prorogation mentionnée au deuxième alinéa de l’article R. 2321-1-3 de ce code ;
« 2° Au titre du quatrième alinéa du III de l’article L. 2321-2-3 du code de la défense :
« a) Des éléments de nature à justifier l’existence de la menace susceptible de porter atteinte à la défense et à la sécurité nationale résultant de l’exploitation d’un nom de domaine ;
« b) Des éléments de nature à justifier qu’un nom de domaine a été enregistré aux fins d’être exploité pour porter atteinte à la défense et à la sécurité nationale ;
« c) De la notification de la demande de mesures correctives au titulaire du nom de domaine enregistré de bonne foi et du délai imparti à celui-ci pour leur mise en œuvre ;
« d) Des éléments transmis par le titulaire du nom de domaine de bonne foi pour établir la neutralisation de la menace ;
« e) Des demandes de mise en œuvre ou de cessation des mesures auprès des personnes mentionnées au 1° et au 2° du I et II de l’article L. 2321-2-3 du même code ;
« f) De la liste des serveurs accueillant une redirection et des mesures de sécurisation mise en œuvre sur ce serveur ;
« g) Des mesures mises en œuvre pour assurer l’information des utilisateurs ou des détenteurs des systèmes affectés, menacés ou attaqués. » ;
7° Après l’article R. 9-12-6, il est inséré un article R. 9-12-6-1 ainsi rédigé :
« Art. R. 9-12-6-1. – I. – Quand elle est saisie en l’application du II de l’article L. 36-14, la formation de règlement des différends, de poursuite et d’instruction de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse rend un avis dans un délai d’un mois.
« II. – La saisine pour avis de l’Autorité mentionnée au premier alinéa comprend :
« 1° Pour l’application du 2° de l’article L. 2321-2-1 du code de la défense :
« a) Les éléments de nature à justifier l’existence ou la persistance de la menace susceptible de porter atteinte à la défense et à la sécurité nationale ;
« b) Le projet de décision de mise en œuvre des dispositifs techniques de recueil des données et, le cas échéant, le projet de cahier des charges mentionnés à l’article R. 2321-1-2 du même code ;
« c) La liste des réseaux et systèmes d’information des personnes mentionnées au I de l’article R. 2321-1-2 du même code ;
« d) Les objectifs attendus ;
« e) Le cas échéant, la décision de prorogation mentionnée au troisième alinéa de l’article R. 2321-1-3 du même code ;
« 2° Pour l’application du II de l’article L. 2321-2-3 du même code, des éléments de nature à justifier la persistance de la menace ayant conduit à la mesure de redirection. » ;
8° A l’article R. 9-12-8, la référence au décret n°2018-1136 du 13 décembre 2018 est remplacée par la référence au décret n°2024-421 du 10 mai 2024.
II. – A l’article R. 10-13-1, les mots : « les informations mentionnées à » sont remplacés par les mots : « les informations mentionnées au premier alinéa de ».
III. – Au premier alinéa de l’article R. 10-15, les mots : « de communications électroniques » sont remplacés par le mot : « concernés », et la référence au II de l’article R. 9-12-1 est remplacée par la référence au second alinéa de l’article R. 9-12-2.
IV. – L’article R. 10-22 est ainsi modifié :
Art. 4. – Le ministre de l’économie, des finances et de la souveraineté industrielle et numérique, le ministre de l’intérieur et des outre-mer et la ministre déléguée auprès du ministre de l’intérieur et des outre-mer, chargée des outre-mer, sont chargés, chacun en ce qui le concerne, de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.
Fait le 10 mai 2024.
Par le Premier ministre :
Gabriel Attal
Le ministre de l’économie, des finances et de la souveraineté industrielle et numérique,
Bruno Le Maire
La ministre déléguée auprès du ministre de l’intérieur et des outre-mer, chargée des outre-mer,
Marie Guévenoux
Le ministre de l’intérieur et des outre-mer,
Gérald Darmanin
Source Légifrance
NOR : PRMD2407081D
Publics concernés : Agence nationale de la sécurité des systèmes d’information (ANSSI) ; Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) ; opérateurs de communications électroniques ; fournisseurs de services d’hébergement de contenus en ligne ; opérateurs de centre de données ; offices et bureaux d’enregistrement de noms de domaine ; éditeurs de logiciels.
Objet : mise en œuvre des nouvelles capacités de cyberdéfense et de cybersécurité confiées à l’Agence nationale de la sécurité des systèmes d’information.
Entrée en vigueur : le texte entre en vigueur le premier jour du mois suivant celui de sa publication. Les 1° à 5° du I de l’article 2 entrent en vigueur au plus tard le 31 décembre 2024.
Notice : le décret prévoit les conditions d’application des nouvelles compétences conférées à l’ANSSI en matière de sécurité des systèmes d’information : mesures de filtrage de noms de domaine en cas de menace contre la sécurité nationale ; communication de certaines données techniques de cache de serveurs de systèmes de noms de domaine ; obligation pour les éditeurs de logiciel victimes d’un incident informatique sur leurs systèmes d’information ou ayant une vulnérabilité critique sur un produit ou un service d’en informer l’ANSSI et leurs clients français ; renforcement des capacités de détection des cyberattaques et d’information des victimes ; modalités du contrôle de l’ARCEP sur la mise en œuvre de certaines de ces mesures.
Références : le décret est pris pour l’application des articles L. 2321-2-1, L. 2321-2-3, L. 2321-3, L. 2321-3-1 et L. 2321-4-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques, dans leur rédaction issue des articles 64 à 67 de la loi n°2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense. Il peut être consulté sur le site Légifrance (https://www.legifrance.gouv.fr).
Le Premier ministre,
Sur le rapport du ministre de l’économie, des finances et de la souveraineté industrielle et numérique,
- Vu le code de la défense, notamment ses articles L. 2321-2-1 à L. 2321-5 ;
- Vu le code des postes et des communications électroniques, notamment ses articles L. 33-14 et L. 36-14 ;
- Vu le décret n°2009-834 du 7 juillet 2009 modifiée portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information », notamment son article 3 ;
- Vu la consultation publique réalisée du 29 janvier au 29 février 2024 en application du V de l’article L. 32-1 du code des postes et des communications électroniques ;
- Vu l’avis de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse en date du 28 février 2024 ;
- Vu la délibération n°2024-025 de la Commission nationale de l’informatique et des libertés en date du 7 mars 2024 ;
Décrète :
Art. 1er. – Le chapitre Ier du titre II du livre III de la partie 2 de la partie réglementaire du code de la défense est ainsi modifié :
I. – Les articles R. 2321-1-1 à R. 2321-1-5 sont remplacés par les dispositions suivantes :
« Sous-section 1
« Mise en œuvre des dispositifs exploitant des marqueurs techniques ou permettant le recueil de données
« Art. R. 2321-1-1. – I. − Les dispositifs prévus au 1° du L. 2321-2-1 exploitant les marqueurs techniques définis à l’article R. 2321-1-4 permettent la détection des communications et programmes informatiques malveillants ainsi que le recueil et l’analyse des seules données techniques nécessaires à la prévention et à la caractérisation de la menace.
« II. − Les dispositifs prévus au 2° du L. 2321-2-1 permettent :
« 1° Le recueil des données relatives aux communications électroniques émises et reçues par un équipement affecté par la menace ;
« 2° Ou le recueil de données sur un équipement affecté par la menace.
« Art. R. 2321-1-2. – I. – La décision de mettre en œuvre les dispositifs mentionnés au I de l’article R. 2321-1-1 est notifiée par l’autorité nationale de sécurité des systèmes d’information à l’opérateur de communications électroniques, à la personne mentionnée au 1 ou 2 du I de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ou à l’opérateur de centre de données, et communiquée à l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.
« II. – La décision de mettre en œuvre les dispositifs mentionnés au II de l’article R. 2321-1-1 ne peut être notifiée aux personnes mentionnées à l’alinéa précédent qu’après avis conforme de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse pour la mise en œuvre de ces dispositifs. Cette décision est également notifiée à cette autorité.
« III. – La décision de mettre en œuvre les dispositifs mentionnés au I ou au 1° du II de l’article R. 2321-1-1 est accompagnée d’un cahier des charges élaboré, le cas échéant, après concertation avec les personnes destinataires. Ce cahier des charges précise :
« 1° Le type de dispositif mis en œuvre et le réseau ou le système d’information concerné ;
« 2° Les conditions techniques d’organisation et de fonctionnement nécessaires à la mise en œuvre de ces dispositifs ;
« 3° Le délai dans lequel ils sont mis en œuvre et la durée de leur mise en œuvre.
« Le cahier des charges peut prévoir une phase de test préalable sur les réseaux ou systèmes d’information concernés.
« Art. R. 2321-1-3. – Les dispositifs mentionnés au I ou au 1° du II de l’article R. 2321-1-1 sont mis en œuvre pour une période maximale de trois mois. En cas de persistance de la menace la décision de mettre en œuvre ces dispositifs peut être renouvelée pour une même durée et dans les mêmes conditions que la décision initiale.
« Art. R. 2321-1-4. – Les marqueurs techniques exploités par les dispositifs mentionnés au I de l’article R. 2321-1-1 sont des éléments techniques caractéristiques d’un mode opératoire d’attaque informatique, permettant de détecter une activité malveillante ou d’identifier une menace susceptible d’affecter la sécurité des systèmes d’information.
« Art. R. 2321-1-5. – L’analyse des données recueillies lors de la mise en œuvre des dispositifs mentionnés au II de l’article R. 2321-1-1 est effectuée par les agents mentionnés au cinquième alinéa de l’article L. 2321-2-1, dans un délai de trois mois à compter de leur recueil.
« Les informations et les catégories de données directement utiles à la prévention et à la caractérisation des menaces concernent :
« 1° Les communications électroniques liées aux activités de l’attaquant ;
« 2° Les données système, liées à l’attaquant.
« Les données qui ne relèvent pas de ces catégories sont détruites dans un délai d’un jour ouvré à compter de leur analyse mentionnée au premier alinéa.
« Les données directement utiles à la prévention et à la caractérisation des menaces ne peuvent être conservées plus de deux ans à compter de leur collecte.
« Art. R. 2321-1-6. – Les surcoûts spécifiques et identifiables supportés par les personnes mentionnées au I de l’article R. 2321-1-2 et résultant des obligations de l’article L. 2321-2-1 font l’objet d’une compensation financière prise en charge par l’Etat.
« La compensation correspond à la couverture des surcoûts définis comme suit :
« 1° Les surcoûts liés à la réalisation de prestations dont la compensation est établie sur la base du montant hors taxes de tarifs fixés par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques ;
« L’Etat procède, sur présentation d’une facture, au paiement des compensations correspondant aux surcoûts justifiés ;
« 2° Les surcoûts liés à la conception et au déploiement des systèmes d’information ou, le cas échéant, à leur adaptation, permettant la mise en place d’un dispositif exploitant des marqueurs techniques ou le recueil des données ainsi que les surcoûts liés au fonctionnement et à la maintenance de ces systèmes.
« Pour obtenir une compensation, l’opérateur adresse à l’autorité nationale de sécurité des systèmes d’information un document assorti des justificatifs nécessaires permettant d’établir le nombre et la nature des interventions nécessaires non couvertes par l’arrêté mentionné au 1°. L’Etat procède, après analyse du document transmis, et sur présentation d’une facture, au paiement des compensations correspondant aux surcoûts justifiés.
« Sous-section 2
« Blocage, enregistrement, suspension, transfert et redirection de nom de domaine
« Art. R. 2321-1-7. – Pour l’application du I de l’article L. 2321-2-3, lorsque l’autorité nationale de sécurité des systèmes d’information demande au titulaire du nom de domaine de prendre les mesures adaptées pour neutraliser la menace, elle lui notifie, par tout moyen tenant compte de la menace et de l’urgence, les mesures techniques correctives à appliquer, le délai dans lequel ces mesures doivent être mises en œuvre ainsi que le moyen de communication à utiliser.
« Le titulaire de bonne foi du nom de domaine rend compte à l’autorité nationale de sécurité des systèmes d’information de la mise en œuvre de ces mesures.
« Art. R. 2321-1-8. – I. – Les demandes adressées par l’autorité nationale de sécurité des systèmes d’information aux personnes mentionnées aux 1° et 2° des I et II de l’article L. 2321-2-3 leur sont notifiées par tout moyen tenant compte de la menace et de l’urgence. Elles comprennent :
« 1° Le nom de domaine concerné ;
« 2° La nature et la durée de la mesure demandée ;
« 3° Le délai imparti pour sa mise en œuvre ;
« 4° Toute autre information technique utile à la mise en œuvre de la mesure.
« II. – A l’exception des demandes de renouvellement d’une mesure de redirection mentionnée au troisième alinéa du III de l’article L. 2321-2-3, l’autorité nationale de sécurité des systèmes d’information communique chaque demande mentionnée au I du présent article à l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.
« III. – Les personnes mentionnées au I mettent en œuvre, par tout moyen tenant compte de la menace et de l’urgence, les mesures demandées et en tiennent informée l’autorité nationale de sécurité des systèmes d’information en lui communiquant les informations techniques relatives à leur mise en œuvre. Elles préservent la confidentialité de toutes les données qui leur sont confiées dans ce cadre.
« Art. R. 2321-1-9. – En application du dernier alinéa du I de l’article L. 2321-2-3, pour mettre fin aux mesures mentionnées au 1° et 2° du I du même article, le titulaire de bonne foi du nom de domaine fournit à l’autorité nationale de sécurité des systèmes d’information :
« 1° La liste des mesures qu’il a mises en œuvre pour neutraliser la menace ;
« 2° Tout élément de nature à établir que la menace est neutralisée.
« L’autorité nationale de sécurité des systèmes d’information demande, le cas échéant, des informations complémentaires permettant d’établir que la menace est neutralisée.
« Lorsque le titulaire de bonne foi du nom de domaine communique des informations complémentaires, l’autorité nationale de sécurité des systèmes d’information les communique à l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.
« Art. R. 2321-1-10. – L’analyse des données recueillies en application du IV de l’article L. 2321-2-3 est effectuée dans un délai de trois mois à compter de leur recueil.
« Les données directement utiles à la caractérisation des menaces au titre du même IV sont celles liées aux activités de l’attaquant à destination du nom de domaine concerné. Elles ne peuvent être conservées plus de cinq ans à compter de leur recueil.
« Les autres données sont détruites dans un délai d’un jour ouvré à compter de leur analyse mentionnée au premier alinéa.
« Art. R. 2321-1-11. – Les surcoûts résultant des obligations mises à la charge des personnes mentionnées au 1° et 2° du I de l’article L. 2321-2-3 du code de la défense font l’objet d’une compensation financière prise en charge par l’Etat selon des modalités sont fixées par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques.
« La compensation correspond à la couverture des surcoûts définis comme suit :
« 1° Les surcoûts liés à la réalisation de prestations dont la compensation est établie sur la base du montant hors taxes de tarifs fixés par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques ;
« L’Etat procède, sur présentation d’une facture, au paiement des compensations correspondant aux surcoûts justifiés ;
« 2° Les surcoûts liés à la conception et au déploiement des systèmes d’information ou, le cas échéant, à leur adaptation, permettant le blocage ou la redirection d’un nom de domaine ainsi que les surcoûts liés au fonctionnement et à la maintenance de ces systèmes.
« Pour obtenir une compensation, l’opérateur adresse à l’autorité nationale de sécurité des systèmes d’information un document détaillant le nombre et la nature des interventions nécessaires non couvertes par l’arrêté ainsi que le coût de l’investissement éventuellement réalisé.
« L’Etat procède, après analyse du document transmis, et sur présentation d’une facture, au paiement des compensations correspondant aux surcoûts justifiés.
« Lorsque le système d’information utilisé pour traiter les demandes d’identification émanant de l’autorité nationale de sécurité des systèmes d’information est le même que celui utilisé pour répondre à des demandes émanant d’autres autorités publiques ou judiciaires et que les surcoûts mentionnés au 2o ont déjà fait l’objet, à ce titre, d’une compensation financière de la part de l’Etat, l’opérateur concerné ne peut prétendre à une nouvelle compensation de ces surcoûts.
« Sous-section 3
« Communication de données
« Art. R. 2321-1-12. – Les fournisseurs de système de résolution de noms de domaine transmettent aux agents mentionnés au premier alinéa de l’article L. 2321-3-1 les données techniques suivantes :
« 1° Les enregistrements issus des serveurs gérant le système d’adressage par domaine, incluant le nom de domaine, le type d’enregistrement, sa durée de vie et sa valeur ;
« 2° L’horodatage de ces enregistrements.
« Art. R. 2321-1-13. – I – En application de l’article L. 2321-3-1, les conditions de transmission des données techniques mentionnées à l’article R. 2321-1-12 sont précisées par une décision de l’autorité nationale de sécurité des systèmes d’information qu’elle notifie au fournisseur de système de résolution de noms de domaine.
« Cette décision tient compte des contraintes techniques du fournisseur de système de résolution de noms de domaine et mentionne :
« 1° La fréquence du relevé, au moins quotidienne, des données mentionnées à l’article R. 2321-1-12 ;
« 2° Le mode de transmission de ces données ;
« 3° Le format de ces données établi sur la base d’une documentation fournie à l’autorité nationale de sécurité des systèmes d’information par le fournisseur de système de résolution de noms de domaine ;
« 4° La fréquence de transmission de ces données, au moins hebdomadaire.
« II. – La décision mentionnée au I est communiquée à l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.
« Sous-section 4
« Dispositifs de compensation et de traçabilité
« Art. R. 2321-1-14. – Les surcoûts liés à la conception et au déploiement des systèmes d’information ou, le cas échéant, à leur adaptation, permettant la communication des informations mentionnées à l’alinéa premier de l’article L. 2321-3 ainsi que les surcoûts liés au fonctionnement et à la maintenance de ces systèmes, supportés par les personnes mentionnées au 2 du I de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, font l’objet d’une compensation financière prise en charge par l’Etat selon des modalités fixées par arrêté du Premier ministre.
« La compensation est établie sur la base du montant hors taxes de tarifs fixés par arrêté du Premier ministre.
« L’Etat procède, sur présentation d’une facture, détaillant les prestations fournies par les personnes mentionnées au premier alinéa, au paiement correspondant aux surcoûts justifiés.
« Art. R. 2321-1-15. – Les dispositifs de traçabilité des données collectées en application du premier alinéa de l’article L. 2321-3, des articles R. 2321-1-1, R. 2321-1-5, R. 2321-1-10, R. 2321-1-14 et de l’article R. 9-12-3 du code des postes et des communications électroniques garantissent l’identification des agents de l’autorité nationale de sécurité des systèmes d’information qui ont eu accès aux données collectées. Ces dispositifs enregistrent également les modifications effectuées sur les données, dont leur suppression.
« Sous-section 5
« Signalement de vulnérabilités et incidents par les éditeurs de logiciels
« Art. R. 2321-1-16. – I. – Lorsque l’éditeur de logiciel mentionné à l’article L. 2321-4-1 a connaissance d’une vulnérabilité affectant un de ses produits ou en cas d’incident informatique compromettant la sécurité de son système d’information et susceptible d’affecter un de ses produits, il en apprécie le caractère significatif, notamment au regard des critères suivants :
« 1° Le nombre d’utilisateurs concernés par la vulnérabilité ou l’incident affectant le produit ;
« 2° Le nombre de produits intégrant le produit affecté ;
« 3° L’impact technique, potentiel ou actuel, de la vulnérabilité ou de l’incident sur le fonctionnement attendu du produit. Selon les fonctionnalités du produit, cet impact est évalué au regard de critères de sécurité tels que la disponibilité, l’intégrité, la confidentialité ou la traçabilité ;
« 4° Le type de produit au regard de ses usages et de l’environnement dans lequel il est déployé ;
« 5° L’exploitation imminente ou avérée de la vulnérabilité ;
« 6° L’existence d’une preuve technique d’exploitabilité ou d’un code d’exploitation.
« II. – S’il constate que la vulnérabilité ou l’incident est significatif, l’éditeur de logiciel le notifie l’autorité nationale de sécurité des systèmes d’information La notification comporte les informations utiles à la compréhension de la vulnérabilité ou de l’incident mentionné au I. Lorsque la vulnérabilité ou l’incident a été notifié par l’autorité nationale de sécurité des systèmes d’information à l’éditeur de logiciel ce dernier dispose d’un délai fixé par cette autorité pour apprécier son caractère significatif. Ce délai ne peut être inférieur à 48 heures.
« III. – L’éditeur de logiciel complète à cet effet le formulaire de déclaration mis à disposition sur le site internet de l’autorité nationale de sécurité des systèmes d’information et adresse les informations complémentaires au fur et à mesure de son analyse. Il répond aux demandes d’informations supplémentaires de l’autorité nationale de sécurité des systèmes d’information. Il met en œuvre, le cas échéant, les mesures utiles requises afin de sécuriser la vulnérabilité ou l’incident mentionné au I.
« Art. R. 2321-1-17. – I. – Après analyse conjointe de la vulnérabilité ou de l’incident mentionné au I de l’article R. 2321-1-16 avec l’éditeur, l’autorité nationale de sécurité des systèmes d’information notifie à ce dernier le délai dans lequel il informe ses utilisateurs de la vulnérabilité ou de l’incident mentionné au I de l’article R. 2321-1-16. Ce délai ne peut être inférieur à dix jours ouvrables, sauf en cas de risque pour la défense et la sécurité nationale requérant une information des utilisateurs sans délai.
« II. – L’éditeur de logiciel informe les utilisateurs du produit affecté par un message d’information comprenant, le cas échéant, toute recommandation que ces derniers peuvent appliquer. Il rend compte à l’autorité nationale de sécurité des systèmes d’information de l’envoi de ce message.
« Art. R. 2321-1-18. – L’injonction adressée par l’autorité nationale de sécurité des systèmes d’information aux éditeurs de logiciel en application du cinquième alinéa de l’article L. 2321-4-1 est motivée et mentionne le délai imparti, qui ne peut être inférieur à dix jours, ainsi que les mesures requises pour s’y conformer. L’éditeur de logiciel peut présenter des observations dans ce délai. L’injonction est notifiée à l’éditeur de logiciel par lettre recommandée avec avis de réception. L’éditeur de logiciel est informé que l’autorité nationale de sécurité des systèmes d’information peut informer les utilisateurs ou rendre public la vulnérabilité ou l’incident ainsi que l’injonction si celle-ci n’a pas été mise en œuvre.
« Art. R. 2321-1-19. – En application du cinquième alinéa de l’article L. 2321-4-1, l’autorité nationale de sécurité des systèmes d’information peut :
« 1° Procéder à l’information des utilisateurs ou du public, relative à la vulnérabilité ou à l’incident, sur le site du centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques ;
« 2° Rendre publique l’injonction, sur son site Internet, lorsque celle-ci a été partiellement ou totalement inexécutée. »
II. – La section 2 est ainsi modifiée :
1° A l’article R. 2321-2, les mots : « L. 2321-2-1 et L. 2321-3 » sont remplacés par les mots : « L. 2321-2-1, L. 2321-3 et L. 2321-3-1 » ;
2° Les articles R. 2321-3 et R. 2321-4 sont abrogés.
Art. 2. – Le code des postes et des communications électroniques est ainsi modifié :
I. – Le paragraphe III bis de la section 1 du chapitre II du titre Ier du livre II est ainsi modifié :
1° L’article R. 9-12-1 est remplacé par les dispositions suivantes :
« Art. R. 9-12-1. – I. – Au titre du premier alinéa de l’article L. 33-14, la juste rémunération de l’opérateur par l’Etat correspond à la couverture :
« 1° Des coûts exposés pour les études, l’ingénierie, la conception et le déploiement des dispositifs mentionnés à cet alinéa ;
« 2° Des coûts liés à la maintenance et, le cas échéant, à la location des moyens permettant le fonctionnement de ces dispositifs.
« Les choix techniques opérés par l’opérateur au titre du 1o et du 2o font l’objet d’une validation préalable par le ministre chargé des communications électroniques, après avis de l’autorité nationale de sécurité des systèmes d’information.
« Une convention entre le ministre chargé des communications électroniques et l’opérateur détermine les modalités de paiement de la juste rémunération.
« II. – Les surcoûts liés à la conception et au déploiement des systèmes d’information ou, le cas échéant, à leur adaptation, permettant la communication des données mentionnées au quatrième alinéa de l’article L. 33-14 et au deuxième alinéa de l’article L. 2321-3 ainsi que les surcoûts liés au fonctionnement et à la maintenance de ces systèmes sont remboursés par l’Etat selon des tarifs fixés par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques. » ;
2° L’article R. 9-12-2 est ainsi modifié :
- a) Au premier alinéa, les mots : « à l’article R. 9-12-1 » sont remplacés par les mots : « au premier alinéa de l’article L. 33-14 » ;
- b) Le deuxième alinéa est remplacé par les dispositions suivantes : « Lorsque l’utilisation d’un marqueur, à la demande de l’autorité nationale de sécurité des systèmes d’information, est à l’origine d’une alerte pour la sécurité des systèmes d’information d’un abonné, l’opérateur mentionné au premier alinéa de l’article L. 33-14 est autorisé à conserver, pour une durée maximale de six mois, les données techniques mentionnées à l’article R. 10-15 associées à cette alerte. » ;
- a) Au premier alinéa, les mots : « de communications électroniques » sont remplacés par les mots : « mentionnés au premier alinéa de l’article L. 33-14 » et les mots : « de l’article L. 33-14 » sont remplacés par les mots : « du même article » ;
- b) Au troisième alinéa, les mots : « , conformément au deuxième alinéa de l’article L. 2321-3 du code de la défense, » sont remplacés par les mots : « la date et l’horaire de l’alerte associés au marqueur technique qui en est à l’origine ainsi que » ;
5° A l’article R. 9-12-5, les mots : « de communications électroniques » sont remplacés par les mots : « mentionnés à l’alinéa premier de l’article L. 33-14, pour informer leurs abonnés » et les mots : « de l’article L. 33-14 » sont remplacés par les mots : « du même article » ;
6° L’article R. 9-12-6 est remplacé par les dispositions suivantes :
« Art. R. 9-12-6. – Pour l’application du I de l’article L. 36-14, la formation de règlement des différends, de poursuite et d’instruction de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse est informée, sans délai, par l’autorité nationale de sécurité des systèmes d’information :
« 1° Au titre de l’article L. 2321-2-1 du code de la défense :
« a) Des éléments de nature à justifier l’existence de la menace susceptible de porter atteinte à la sécurité des systèmes d’information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense ou des opérateurs mentionnés à l’article 5 de la loi du 26 février 2018 précitée, y compris le cas échéant, les éléments relatifs à l’infrastructure d’attaque informatique ;
« b) De la notification aux personnes mentionnées au I de l’article R. 2321-1-2 du code de la défense, de la décision de mise en œuvre des dispositifs techniques mentionnés au 1° de l’article L. 2321-2-1 du même code et du cahier des charges mentionnés au même article R. 2321-1-2 ;
« c) Des réseaux et systèmes d’information des personnes mentionnées au I de l’article R. 2321-1-2 du code de la défense sur lesquels sont mis en œuvre les dispositifs mentionnés à l’alinéa précédent ;
« d) Des caractéristiques techniques de ces dispositifs et des objectifs attendus ;
« e) Des catégories de données techniques susceptibles d’être recueillies ;
« f) Des résultats de l’analyse technique réalisée en application du cinquième alinéa de l’article L. 2321-2-1 du même code ;
« g) Le cas échéant, de la décision de prorogation mentionnée au deuxième alinéa de l’article R. 2321-1-3 de ce code ;
« 2° Au titre du quatrième alinéa du III de l’article L. 2321-2-3 du code de la défense :
« a) Des éléments de nature à justifier l’existence de la menace susceptible de porter atteinte à la défense et à la sécurité nationale résultant de l’exploitation d’un nom de domaine ;
« b) Des éléments de nature à justifier qu’un nom de domaine a été enregistré aux fins d’être exploité pour porter atteinte à la défense et à la sécurité nationale ;
« c) De la notification de la demande de mesures correctives au titulaire du nom de domaine enregistré de bonne foi et du délai imparti à celui-ci pour leur mise en œuvre ;
« d) Des éléments transmis par le titulaire du nom de domaine de bonne foi pour établir la neutralisation de la menace ;
« e) Des demandes de mise en œuvre ou de cessation des mesures auprès des personnes mentionnées au 1° et au 2° du I et II de l’article L. 2321-2-3 du même code ;
« f) De la liste des serveurs accueillant une redirection et des mesures de sécurisation mise en œuvre sur ce serveur ;
« g) Des mesures mises en œuvre pour assurer l’information des utilisateurs ou des détenteurs des systèmes affectés, menacés ou attaqués. » ;
7° Après l’article R. 9-12-6, il est inséré un article R. 9-12-6-1 ainsi rédigé :
« Art. R. 9-12-6-1. – I. – Quand elle est saisie en l’application du II de l’article L. 36-14, la formation de règlement des différends, de poursuite et d’instruction de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse rend un avis dans un délai d’un mois.
« II. – La saisine pour avis de l’Autorité mentionnée au premier alinéa comprend :
« 1° Pour l’application du 2° de l’article L. 2321-2-1 du code de la défense :
« a) Les éléments de nature à justifier l’existence ou la persistance de la menace susceptible de porter atteinte à la défense et à la sécurité nationale ;
« b) Le projet de décision de mise en œuvre des dispositifs techniques de recueil des données et, le cas échéant, le projet de cahier des charges mentionnés à l’article R. 2321-1-2 du même code ;
« c) La liste des réseaux et systèmes d’information des personnes mentionnées au I de l’article R. 2321-1-2 du même code ;
« d) Les objectifs attendus ;
« e) Le cas échéant, la décision de prorogation mentionnée au troisième alinéa de l’article R. 2321-1-3 du même code ;
« 2° Pour l’application du II de l’article L. 2321-2-3 du même code, des éléments de nature à justifier la persistance de la menace ayant conduit à la mesure de redirection. » ;
8° A l’article R. 9-12-8, la référence au décret n°2018-1136 du 13 décembre 2018 est remplacée par la référence au décret n°2024-421 du 10 mai 2024.
II. – A l’article R. 10-13-1, les mots : « les informations mentionnées à » sont remplacés par les mots : « les informations mentionnées au premier alinéa de ».
III. – Au premier alinéa de l’article R. 10-15, les mots : « de communications électroniques » sont remplacés par le mot : « concernés », et la référence au II de l’article R. 9-12-1 est remplacée par la référence au second alinéa de l’article R. 9-12-2.
IV. – L’article R. 10-22 est ainsi modifié :
- a) Au deuxième alinéa, la référence au décret n°2015-349 du 27 mars 2015 est remplacée par la référence au décret n°2024-421 du 10 mai 2024 ;
- b) Au dernier alinéa, la référence au décret n°2018-1136 du 13 décembre 2018 est remplacée par la référence au décret n°2024-421 du 10 mai 2024.
Art. 4. – Le ministre de l’économie, des finances et de la souveraineté industrielle et numérique, le ministre de l’intérieur et des outre-mer et la ministre déléguée auprès du ministre de l’intérieur et des outre-mer, chargée des outre-mer, sont chargés, chacun en ce qui le concerne, de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.
Fait le 10 mai 2024.
Par le Premier ministre :
Gabriel Attal
Le ministre de l’économie, des finances et de la souveraineté industrielle et numérique,
Bruno Le Maire
La ministre déléguée auprès du ministre de l’intérieur et des outre-mer, chargée des outre-mer,
Marie Guévenoux
Le ministre de l’intérieur et des outre-mer,
Gérald Darmanin
Source Légifrance