Interventions sur "ANSSI"

L'article 33 permet aux agents de l'Anssi d'être destinataires des données techniques non identifiantes enregistrées temporairement sur les serveurs des opérateurs de communication électronique et des fournisseurs de systèmes de résolution de nom de domaine, à des fins de détection et de caractérisation des attaques informatiques. Le groupe Horizons et apparentés est favorable à cet article, auquel plusieurs précisions ont été apportées...

Les seuls éléments mentionnés qui s'y rapportent sont les « règles relatives à la permanence, à l'intégrité, à la sécurité ou à la disponibilité du réseau ou relatives à la confidentialité des messages transmis et des informations liées aux communications ». Soit ces précisions sont trop restrictives et le contrôle du respect de ces règles ne relèvera pas des prérogatives de l'Anssi, soit elles sont hors sujet. Quoi qu'il en soit, pourquoi le législateur ne pourrait-il pas définir cette notion ?

Il vise à préciser que les données transmises à l'Anssi doivent être anonymisées par les fournisseurs de système de résolution de noms de domaine, sans mentionner l'adresse IP source, afin de préserver l'anonymat de l'utilisateur du nom de domaine et de cibler seulement les données qui permettront de reconstituer un type d'attaque. Il s'agit donc de sécuriser l'anonymat des données recueillies par l'Anssi. J'en profite pour remercier la rapporteure p...

Il vise à préciser que les données transmises aux agents de l'Anssi doivent être anonymisées par les fournisseurs de système de résolution de noms de domaine. En effet, ces données ne doivent en aucun cas permettre une identification, ce qui est explicitement écrit dans l'étude d'impact du présent projet de loi. Ces amendements complètent l'amendement n° DN952 de Mme la rapporteure, adopté en commission des lois, qui précise que « les données techniques permettan...

...e la durée de cinq ans nous paraît, encore une fois, arbitraire et les arguments avancés tout à l'heure ne parviennent pas à nous convaincre. Nous considérons qu'il ne s'agit pas de répondre aux contraintes de fonctionnement de l'administration, ce qui témoigne de peu de volonté politique, mais qu'il revient à l'administration de se conformer aux délais prescrits. Dès lors, donnons les moyens à l'Anssi d'agir avec efficacité.

C'est un amendement de repli par rapport à l'amendement n° 1275 que j'ai défendu sans prendre le temps de le présenter. Celui-ci visait à limiter l'obligation de transmission des données au seul cas où elle serait demandée par l'Anssi, étant donné que leur volume est très important et que les données de tous seront transmises, même si aucune attaque n'est commise. Nous avons débattu de cet amendement en commission, donc je connais votre avis sur cette question. L'amendement n° 1272 vise à préciser par décret la fréquence et les conditions de transmission des données, transmission qui fait peser une charge sur les acteurs conc...

Cet article renforce les exigences de transparence qui s'appliquent aux éditeurs de logiciels, en contraignant ces derniers à informer l'Anssi et leurs utilisateurs en cas de vulnérabilité significative ou d'incident informatique susceptibles d'affecter un de leurs produits. Le groupe Horizons et apparentés a déposé plusieurs amendements en commission et en séance afin d'apporter des précisions ou d'en demander. Ainsi, nous avons déposé un amendement, retravaillé à l'issue de l'examen du texte en commission, visant à définir l'éditeur ...

...ité nationale, qui est une prérogative de l'État. En commission, nous avons néanmoins souhaité mieux définir ce qu'est un incident informatique et préciser le caractère significatif des incidents et vulnérabilités visés, par trois amendements que nous allons examiner dans quelques instants. Par ailleurs, j'émettrai un avis favorable à votre amendement n° 1673, qui prévoit que le délai fixé par l'Anssi pour informer les utilisateurs professionnels « est déterminé en fonction de l'urgence, des risques pour la sécurité nationale et du temps nécessaire aux éditeurs pour prendre les mesures correctives ».

Si les éditeurs de logiciels libres, pardon : de logiciels – libres ou pas : peu importe – ont l'obligation de transmettre à l'Anssi les failles de sécurité qui affectent leurs produits ou les incidents qui peuvent compromettre la sécurité nationale, il serait bon qu'ils puissent être sanctionnés s'ils ne le font pas. Il est en effet probable qu'ils n'auront pas tous envie de coopérer de manière immédiate et qu'ils chercheront à gagner du temps, dans la mesure où le fait de révéler les failles de sécurité d'un de vos logiciels...

...nérabilités que présentent leurs propres produits, sachant, comme vient de l'expliquer notre collègue Bernalicis, que le public risque alors de se montrer peu enclin à les utiliser. Par conséquent, si l'on ne prévoit aucune sanction pour non-respect de l'obligation de signaler les failles de sécurité, le plus vraisemblable est que ces dernières ne seront pas rendues publiques ni communiquées à l'Anssi. Aussi proposons, par ces amendements, que les éditeurs qui ne rempliraient pas leur obligation en la matière soient passibles d'une sanction financière. Il ne s'agit pas, pour le coup, de punir les entreprises ou je ne sais quoi : il y va de la sécurité nationale. Par ailleurs – j'aborde là une question plus large –, on peut se demander si certains éditeurs de logiciels ne sont pas un danger po...

Cet amendement de bon sens vise à rendre obligatoire la communication à l'Anssi de tout incident informatique au sein d'une entreprise. En effet, on peut considérer qu'en l'absence de sanction, le monde de l'entreprise aura tendance à ne pas respecter l'obligation. Nous proposons donc que l'Anssi puisse sanctionner son non-respect en infligeant à l'entreprise concernée une pénalité d'un montant limité à 1 % du chiffre d'affaires, ce qui est tout à fait raisonnable – nos coll...

...n équilibre entre, d'une part, la sécurité nationale et, d'autre part, nos libertés fondamentales, notamment la liberté d'agir et d'entreprendre, qui nous incite à limiter les contraintes pesant sur nos entreprises. En l'espèce, je souhaite que nous nous en tenions au dispositif prévu dans le texte, à savoir qu'en cas de non-respect de l'injonction de communiquer les vulnérabilités constatées à l'Anssi, celle-ci pratiquera le fameux name and shame. Au demeurant, aucune entreprise n'a intérêt à les dissimuler : son intérêt commercial est que le produit qu'elle vend fonctionne. Cela étant dit, le dispositif est au début de son existence : rien ne nous empêche de le faire évoluer par la suite si l'on considère qu'il est insuffisant. En tout état de cause, j'estime, pour l'instant, que nous...

...en plaidant pour le logiciel libre. Ce que j'ai dit c'est que, dans une logique capitaliste, il faut des sanctions financières car les dirigeants de firme ne comprennent que ça : ils ont un portefeuille à la place du cœur, et seules les sanctions financières les pousseront à agir. Quant à votre argument, monsieur le ministre délégué, qui consiste à dire que les failles doivent être déclarées à l'Anssi pour éviter qu'elles soient rendues publiques, il est catastrophique ! Mieux vaut infliger des sanctions aux entreprises pour les obliger à révéler les failles, quitte, ensuite, à voir si elles sont rendues publiques ou non – c'est l'Anssi qui décidera. Pour conclure, sur le logiciel libre, l'idée est que, puisque l'on sort des logiques capitalistes, il n'y a plus besoin de prévoir de sanctions,...

... ou des voies de recours, mais seulement de ne pas nuire aux entreprises. En réalité, ce n'est pas le sujet. La question est que l'on crée une obligation, mais sans sanction, ce qui revient à annuler cette obligation. Pour l'entreprise, ce n'est pas une question de bonne volonté, c'est une question d'intérêts économiques : elle n'a pas intérêt à rendre publiques ses failles. Vous expliquez que l'Anssi pourra le faire, mais il faudrait au minimum que ce soit automatique et qu'il y ait des sanctions. Le groupe Écologiste soutiendra donc ces amendements.

...lité. Sans être hostile sur le principe à la logique de ces amendements, je pense qu'il serait bon que nous soyons au clair sur les vulnérabilités, les backdoors – sans parler de Palentir, entouré d'une certaine opacité –, et que le bon vecteur en la matière est NIS 2. Si jamais la directive faisait l'impasse sur le sujet, alors nous l'inscririons dans le droit national afin de donner à l'Anssi un pouvoir de sanction administratif – je rejoins ici ce qu'a dit Ugo Bernalicis : les sanctions administratives ne sont pas l'apanage des autorités administratives indépendantes, comme le montre l'exemple de la DGCCRF. Cela étant, mieux vaut quand c'est une autorité administrative indépendante.

Il ne faut oublier personne car il y va de la portée de la coercition pouvant peser sur les éditeurs de logiciels. Puisque vous avez refusé les sanctions financières pour défaut de communication d'une vulnérabilité, il faut à tous le moins que les éditeurs en informent les utilisateurs ou, à défaut, l'Anssi. Il ne faudrait donc pas que la rédaction actuelle rate la cible, et c'est la raison pour laquelle, en commission, je faisais partie de la minorité qui aurait préféré que l'on se réfère à tous les utilisateurs. Il n'y a pas toujours de consensus dans la fabrique de la loi, et il arrive que le débat recommence dans l'hémicycle, où le rapport de force n'est pas nécessairement le même qu'en commiss...

Même avis défavorable, ma chère collègue, que pour votre amendement n° 1121 qui visait à rendre automatiques les mesures prévues à l'article 32. Il convient en effet de laisser de la flexibilité à l'Anssi et aux éditeurs dans leur réponse aux actes malveillants.

Il vise à préciser que le délai d'information fixé par l'Anssi est pris selon certains critères, en l'occurrence les risques pour la sécurité nationale, l'urgence et le temps nécessaire pour prendre les mesures correctives. L'objectif est ici d'encadrer la décision de l'Anssi, afin de garantir que le délai d'information soit fixé non pas de manière discrétionnaire selon les éditeurs, mais bien de façon cohérente en fonction de certains critères, en vue d'un ...

En complétant les propos de notre collègue Chassaniol, je répondrai aussi à l'amendement n° 847 rectifié. Nous avons une vraie difficulté de temporalité. S'il faut en effet que l'Anssi ne traite pas les éditeurs de manière discriminatoire, ce qui suppose un encadrement, il faut aussi qu'un correctif soit apporté à chaque vulnérabilité car, dans le cas contraire, des attaquants seraient à même de s'en saisir : c'est ce que Mme Ménard soulevait en proposant l'ajout des mots « dès que ». Or, si nous avons besoin de correctifs, leur développement peut être plus ou moins long, ce qu...

Nous restons sur le même thème. Ces amendements visent à obliger l'Anssi à enjoindre aux éditeurs de logiciels d'informer leurs utilisateurs en cas de vulnérabilité ou d'incident compromettant la sécurité de leurs systèmes d'information. Collègues, nous avons, tous, certainement, été déjà victimes de fuites de mot de passe, parfois même sans que nous en ayons été informés par les entreprises concernées. Or, aux termes du projet de loi, monsieur le ministre délégué, v...