Interventions sur "attaque"

...enons à affirmer le niveau d'exigence et de garantie auquel nous sommes particulièrement attachés. Les articles 32 à 36 visent à renforcer les pouvoirs de l'autorité de contrôle, ce qui est une bonne chose, mais ce renforcement suppose un cadre équilibré fixant les limites que devra observer l'administration dans le plus strict respect des droits et des libertés. Dans un contexte d'explosion des attaques cyber, nous sommes favorables à l'élargissement des pouvoirs de l'Anssi pour anticiper et contrer ces attaques, mais nous tenons aussi à poursuivre le travail engagé en commission des lois afin de fixer des garanties imposant à l'administration d'agir dans un cadre strict et délimité et de nous assurer que la loi que nous votons respecte la Constitution.

Nous avons évoqué ce sujet en commission. Je comprends tout à fait le sens de votre amendement. Notre objectif est d'être suffisamment large tout en étant précis afin de permettre à nos lois de faire face au plus grand nombre possible de situations compliquées et donc de vivre dans le temps. Or votre rédaction ne permet pas nécessairement de couvrir les cibles privilégiées des cyberattaques que sont les hôpitaux ou les collectivités territoriales. Légistiquement, votre amendement procède à un mélange de genres qui n'est pas bienvenu car il risque de provoquer un mauvais amalgame. L'Anssi est un service de cyberdéfense et de cybersécurité, elle n'est pas un service de renseignement. Nous faisons encore trop souvent cet amalgame, y compris en commission. L'Anssi n'a donc pas vocatio...

…qu'aucun dispositif n'existe, que nous regardons simplement les attaques se dérouler sans agir, que l'Anssi n'a aucune prérogative et les services de renseignement non plus. Votre précision selon laquelle l'Anssi n'est pas un service de renseignement nous a d'ailleurs fait sourire : c'est vrai, mais nous espérons que ces structures collaborent – du moins que des canaux de communication existent entre elles –, car les services de renseignement sont bien informés en m...

...cher ; d'accord, puisqu'il s'agit de la sécurité nationale, mais enfin vous êtes pénibles » –que les alertes de personnes comme nous sur la nécessité de prévoir des délais suffisants pour les recours car nous sommes dans un État de droit – encore un peu, du moins. Or, par-delà cette question d'équilibre, je vous interrogeais sur votre logique. S'il s'agit de contenus des plus problématiques ou d'attaques visant un hôpital, par exemple, je serais moi-même prêt à admettre que des délais de soixante-douze heures ou de quarante-huit heures ouvrées sont trop longs. Mais peut-être que les menaces visées ne sont pas si graves, qu'elles sont déjà bien anticipées, que l'action des services de l'Anssi est seulement entravée par le manque de moyens humains, que des effectifs supplémentaires tant dans cette...

...ce titulaire ainsi que de ses contraintes opérationnelles ». Votre amendement pose par ailleurs un problème légistique. Il tend à compléter l'alinéa 10, lequel concerne à la fois les titulaires ayant enregistré leur nom de domaine de bonne foi, avec lesquels un dialogue est prévu, comme je l'ai précisé, et les cyberattaquants ayant enregistré un nom de domaine de mauvaise foi pour orchestrer une attaque. Or, dans ce cas de figure, il ne paraît pas pertinent de demander à l'attaquant de présenter ses observations. Avis défavorable.

Vous auriez pu dire que l'Arcep n'a pas les moyens de rendre un avis conforme dans les délais et qu'en conséquence, nous allions nous en passer – mais ce n'est pas un très bon argument, vous me l'accorderez. Vos longues explications ont le mérite de nous apprendre des choses intéressantes : on parle de deux dizaines d'attaques majeures coordonnées. Enfin, nous commençons à comprendre de quoi il s'agit ! Mais, pour deux dizaines d'attaques par an, nous ne serions pas capables de mobiliser des équipes, à l'Anssi, en mesure de réagir en une heure… Nous en revenons toujours à mes interrogations sur le délai. Il s'agit tout de même d'attaques contre des opérateurs vitaux, d'atteinte à la sécurité nationale – ce sont vos te...

...sayons de faire en sorte que ce soit mieux que si c'était pire. Ainsi, nos camarades socialistes proposent un avis conforme, garantie supplémentaire. Mais, même cela, c'est trop pour vous ! Plus nous avançons dans l'examen de cet article, plus j'ai l'impression qu'il est urgent de ne pas donner de telles prérogatives à l'Anssi et d'en rester à l'état actuel du droit, qui permet de faire face aux attaques même si, déjà actuellement, nous ne les empêchons pas…

Je le répète, nous aimerions comprendre. En commission, nous avons évoqué des délais d'un an et demi, voire de deux ans, pour se prémunir de nouvelles attaques par les mêmes personnes ou organismes. Dont acte, car il s'agit là d'éléments objectifs, liés à ce qu'on sait de ces attaques du fait des retours d'expérience. A-t-on, aujourd'hui, affaire à des attaquants que nous connaîtrions depuis dix ans, sachant que les technologies d'attaque ont largement changé depuis dix ans ! Des données numériques, conservées pendant un tel délai, seront complètement...

...isations en matière de collecte de données, sans motif légitime apparent ; or l'alinéa 14 concerne les cas où des cyberattaquants ont sciemment exploité un nom de domaine aux fins de porter atteinte à la sécurité nationale. Il s'agit d'obtenir des éléments sur le comportement de l'attaquant, sur son mode opératoire, afin de neutraliser la menace, d'identifier les victimes et de mieux prévenir les attaques. L'alinéa prévoit des délais de conservation limités, sous le contrôle de l'Arcep. D'ailleurs, dans son avis sur le projet de loi, le Conseil d'État observe que le dispositif envisagé est justifié par la sauvegarde des intérêts fondamentaux de la nation et par la prévention des atteintes à l'ordre public. J'ai néanmoins souhaité une diminution de la durée de conservation de ces données, de dix...

...'atteinte à l'ordre public, car cette formule peut désigner tout et n'importe quoi. Certains pourraient ainsi considérer que nous porterions atteinte à l'ordre public macronien – ils n'auraient pas complètement tort. Selon eux, nous apporterions même le chaos. La question est de savoir quelles garanties on détermine. L'alinéa 14 prévoit la destruction immédiate des données personnelles. En cas d'attaque, si vous déroutez le flux de données vers un serveur sécurisé pour le circonscrire et l'analyser, afin d'empêcher l'attaque, vous saisissez tout : toutes les données relatives au nom de domaine concerné seront transférées au serveur sécurisé. S'il s'agit d'un site commercial ou d'un grand groupe, par exemple, les données personnelles des gens qui y travaillent, comme leurs identifiants et leurs m...

...s dites que dix ans de conservation des données, c'est trop. C'est pourtant le délai que prévoyait le projet de loi ; il a été réduit à cinq ans lors de l'examen en commission. Vous affirmez maintenant que la bonne durée serait cinq ans, que deux ans seraient insuffisants. Nous vous demandons pourquoi. Seul M. le ministre délégué a donné un élément de réponse, expliquant que les architectures des attaques pouvaient perdurer plus de cinq ans. Dans ce cas, il faut augmenter le délai ! Il faut le porter à cinq ans et demi, ou six, ou sept ans.

Pourquoi dix ans ? À l'origine du débat, l'intention était de fixer un délai habituel en matière de prescription dans ce domaine, en particulier pour les délits. Lors de l'examen du texte en commission, nous avons abouti à un compromis de cinq ans. Les auditions ont montré qu'il était inutile de conserver les données dix ans : si dans les cinq ans qui suivent une attaque, on n'a pas trouvé les personnes ou reçu de demande de coopération, il est trop tard pour identifier les auteurs. Un délai de deux ans serait trop court. La coopération internationale nous impose d'aller au-delà. D'autres pays demandent notre soutien, dans le cadre de leurs instructions sur WannaCry, qui a eu lieu en 2017.

Il est vrai que nous avons brièvement évoqué le juge administratif et le référé liberté lorsque nous avons proposé de porter à soixante-douze heures le délai prévu à l'alinéa 10. Vous nous avez répondu que c'était déjà satisfait en droit, qu'au pire les gens prendraient un avocat – bref, « débrouillez-vous » –, que, d'ailleurs, l'objectif n'était pas de faire valoir des droits, mais d'arrêter l'attaque et de pouvoir conserver les données afférentes pour analyser son architecture. En somme, vous avez brandi la sécurité nationale, un truc avec lequel on ne rigole pas : la saisine du juge administratif serait vraiment hors sujet. Nous entendons tout cela, mais nous ne comprenons toujours pas pourquoi le délai devrait être de cinq ans, ou de dix, ou de deux ; de quarante-huit heures plutôt que de ...

Vous citez des attaques qui se sont produites il y a plus de cinq ans, mais il n'est pas nécessaire de disposer des données exactes qui les concernent, que d'ailleurs nous n'avons plus. Lorsqu'une attaque survient, il est possible de reconstituer son architecture et de la conserver, sans stocker l'ensemble des données de l'attaquant. En cas de procédure judiciaire, les données seront conservées sous scellés le temps né...

Nous en avons discuté en commission des lois ; il vise à remplacer « surcoûts » par « coûts ». L'article 32 s'appliquera à quelque vingt attaques par an seulement, mais il s'agira d'attaques massives et coordonnées : les opérateurs devront consentir de lourds investissements pour appliquer le dispositif. Il ne s'agit pas des retraits de contenus, auxquels on peut déjà procéder et pour lesquels on pourrait parler de surcoûts à chaque nouvelle demande. Là, les opérateurs seront obligés d'investir massivement pour effectuer des redirections...

...maine et l'adresse IP – internet protocol – d'un utilisateur qui souhaite y accéder. Afin de répondre rapidement à l'utilisateur, ces serveurs conservent des données qui sont dites de cache. Or celles-ci ne peuvent être transmises à l'Anssi, alors qu'elles l'éclaireraient sur les infrastructures informatiques utilisées par les cyberattaquants. L'Anssi aurait ainsi accès aux causes des cyberattaques et non seulement à leurs effets. Cet article prévoit l'obtention de la copie des données de cache des serveurs DNS : les noms de domaine, les adresses IP des machines utilisées et l'horodatage des demandes. Il sera ainsi possible de connaître avec précision les modes opératoires des cyberattaquants. Ces données sont stratégiques pour perfectionner nos dispositifs de détection des menaces et de ...

L'article 33 permet aux agents de l'Anssi d'être destinataires des données techniques non identifiantes enregistrées temporairement sur les serveurs des opérateurs de communication électronique et des fournisseurs de systèmes de résolution de nom de domaine, à des fins de détection et de caractérisation des attaques informatiques. Le groupe Horizons et apparentés est favorable à cet article, auquel plusieurs précisions ont été apportées en commission : sur le cadre des pouvoirs conférés à l'Anssi, sur les délais de conservation des données ou encore sur les avis des autorités indépendantes. La suppression des opérateurs de communication électronique du champ de cet article nous semble également être une bo...

Il vise à préciser que les données transmises à l'Anssi doivent être anonymisées par les fournisseurs de système de résolution de noms de domaine, sans mentionner l'adresse IP source, afin de préserver l'anonymat de l'utilisateur du nom de domaine et de cibler seulement les données qui permettront de reconstituer un type d'attaque. Il s'agit donc de sécuriser l'anonymat des données recueillies par l'Anssi. J'en profite pour remercier la rapporteure pour avis, le Gouvernement et l'Anssi pour leur collaboration entre la commission et la séance. À l'issue de ces discussions, il est apparu que l'inscription d'une liste de données techniques ne garantirait pas réellement l'anonymat de ces données car elles peuvent évoluer et d...

Si ces données sont certes non identifiantes, elles peuvent se révéler importantes, du point de vue de la sécurité nationale, pour retracer une attaque. La durée de deux ans est raisonnable. On doit pouvoir reconstituer sur papier l'architecture de l'attaque qui serait lancée, il est nul besoin de disposer de données à chaque étape, d'autant qu'elles ne sont pas identifiantes. Dès lors, je ne vois aucune raison de les conserver aussi longtemps. Une fois de plus, ces dispositions sont nébuleuses et donnent l'impression qu'elles ont été rédigées ...

C'est un amendement de repli par rapport à l'amendement n° 1275 que j'ai défendu sans prendre le temps de le présenter. Celui-ci visait à limiter l'obligation de transmission des données au seul cas où elle serait demandée par l'Anssi, étant donné que leur volume est très important et que les données de tous seront transmises, même si aucune attaque n'est commise. Nous avons débattu de cet amendement en commission, donc je connais votre avis sur cette question. L'amendement n° 1272 vise à préciser par décret la fréquence et les conditions de transmission des données, transmission qui fait peser une charge sur les acteurs concernés. Il ressort des auditions menées que cette transmission doit être précisée par décret.