Intervention de Jean-François Eliaou

Madame Obono, je vais tenter de vous rassurer.

Premièrement, les dispositifs de détection sont configurés pour n'enregistrer que des données techniques relatives aux communications identifiées comme étant malveillantes. Toutes les autres données, en particulier les données de contenu, transitent à travers les dispositifs de détection, sont analysées en temps réel, puis sont détruites automatiquement.

Les données techniques malveillantes qui seront transmises immédiatement à l'ANSSI ne seront pas conservées par les opérateurs, même si ceux-ci conserveront des métadonnées en application de l'article L. 34-1 qui a une portée beaucoup plus large que notre dispositif.

Deuxièmement, la sécurité des dispositifs de détection, qui seront mis en place par les opérateurs de communications électroniques, est essentielle dans la mesure où ces équipements disposeront d'un positionnement privilégié au sein de leurs réseaux. Néanmoins, la grande variété des solutions techniques susceptibles d'être retenues par les opérateurs fait qu'il n'est pas envisageable pour l'ANSSI de labelliser l'ensemble de ces dispositifs. Nous avons posé la question au directeur général de l'ANSSI lorsque la commission de la Défense l'a auditionné. Cependant, l'Agence accompagnera les opérateurs afin que les systèmes mis en place soient sécurisés et efficaces, et également afin de vérifier leurs capacités à utiliser les marqueurs de l'ANSSI.

Il est nécessaire que les opérateurs soient en mesure d'utiliser les marqueurs transmis par l'ANSSI. Au-delà de cette exigence, rien ne s'oppose à ce que les opérateurs disposent de leurs propres marqueurs, issus de rapports publics ou de relations qu'ils pourraient développer avec des éditeurs de sécurité. Le partage de ces marqueurs entre opérateurs sera encouragé par l'ANSSI.

Lors de l'audition, des informations ont été apportées sur la sécurisation des informations distribuées, le directeur général prenant l'exemple d'un tuyau d'eau. Jusqu'à présent, les opérateurs ont essayé de protéger le coeur de leur système – le tuyau – sans se soucier de la qualité de l'eau distribuée aux utilisateurs. Avec ces systèmes de sécurité, ils pourront dire aux utilisateurs que nous sommes : les informations distribuées sont également sécurisées. C'est une avancée importante.

Troisièmement, le format que vous proposez pour assurer l'information du Parlement me paraît assez lourd. Les commissions compétentes pourront toujours auditionner – le cas échéant de manière conjointe – l'ANSSI pour obtenir des informations sur ces sujets.

Pour toutes ces raisons, je suis défavorable à cet amendement.