Interventions sur "ANSSI"

Nous sommes ici dans un cas de figure où une faille de vulnérabilité a été constatée et, je l'espère, communiquée à l'Anssi. Celle-ci doit donc, aux termes des amendements que nous venons d'adopter, fixer un délai à l'éditeur concerné pour qu'il fournisse un correctif et informe ses utilisateurs professionnels de cette faille. Voilà où nous en sommes. Or imaginons que, patatras, l'éditeur du logiciel ne fasse pas ce que lui a demandé l'Anssi : dans ce cas, l'Agence peut, je dis bien peut, c'est-à-dire éventuellement, ...

Et si l'éditeur refuse d'agir, l'Anssi doit donc le faire à sa place. C'est d'ailleurs pour cette raison que l'entreprise comprendra qu'il vaut mieux agir elle-même, plutôt que d'être tributaire d'une communication de l'Anssi. J'insiste, la possibilité d'agir à la place de l'éditeur n'est pas suffisante, surtout eu égard à ses capacités de négociation – ce qui nous fait revenir à la discussion précédente –, celles-ci dépendant de la ...

J'estime pour ma part qu'une publication obligatoire rigidifierait trop le texte. Comme précédemment, il faut laisser un peu de latitude à l'Anssi pour apprécier les vulnérabilités et prendre ses décisions en conséquence. En commission, nous avons adopté un amendement de notre collègue Belhamiti visant à ce que le délai d'information des utilisateurs soit déterminé par l'Anssi. Et nous venons d'adopter les amendements n° 1634 et 1673 qui viennent préciser que ce délai dépend de l'urgence, des risques pour la sécurité nationale – je rappelle...

Une fois de plus, votre raisonnement ne tient pas. Nous sommes dans le cas où un éditeur, après avoir été enjoint par l'Anssi d'avertir ses utilisateurs professionnels d'une vulnérabilité dans certains délais et de fournir le correctif adapté, ne le fait pas. Or si elle le lui a demandé, c'est que c'était pertinent, ou alors c'est que quelque chose ne tourne pas rond dans ma tête ou dans le raisonnement.

Si l'Anssi a estimé pertinent d'enjoindre à une entreprise d'informer ses utilisateurs d'une faille et que cette entreprise fait défaut, il faut que cette communication soit obligatoirement faite par l'Agence car, dans le cas contraire, votre dispositif ne serait qu'un pétard mouillé !

...nt alors que du dialogue normal entre une administration et ses usagers et il existe déjà un code des relations entre le public et l'administration. J'insiste : pourquoi alourdirions-nous la loi avec des dispositions indiquant que les gens peuvent discuter entre eux ? Ils le peuvent évidemment. Il convient donc de verrouiller les choses formellement. Une marge d'appréciation est déjà laissée à l'Anssi dans le début de l'alinéa 6 : au bout du compte, il faut tout de même prévoir un couperet. Vous avez refusé l'introduction de sanctions financières, monsieur le ministre délégué, au motif que les entreprises font déjà face à un risque réputationnel, mais si ce dernier peut être lui-même sujet à discussion et à négociation, je répète qu'il n'y a plus rien ! Chacun fait alors comme il veut, à la bo...

L'article 34 vise à permettre à l'Anssi de publier les vulnérabilités d'une entreprise. Il s'agit non seulement d'une méthode contestable, mais qui est, en outre, de nature à mettre en danger une entreprise en l'exposant potentiellement à d'autres attaques. En effet, ce serait une occasion en or pour les hackers : on leur offrirait sur un plateau d'argent une voie d'entrée dans les systèmes d'information. Ils s'en donneraient à cœur jo...

…dont l'objectif est d'informer les utilisateurs de la présence d'une faille dans le logiciel afin d'en limiter les victimes. Il est bien entendu que, parallèlement à cette publication, l'Anssi, en lien avec l'éditeur victime de l'attaque, travaille à combler la faille. Votre amendement conduisant à affaiblir le dispositif, j'émettrai un avis défavorable.

Je comprends votre argument, monsieur le ministre délégué. Il est bien évident que, seul, cet amendement ne permet pas d'inciter les éditeurs à signaler et combler les failles de leurs systèmes, et c'est pour cette raison que j'ai déposé après l'article 36 un amendement tendant à demander un rapport sur la pénalisation des entreprises qui ne répondraient pas aux demandes de l'Anssi. La réponse d'un État de droit à ce type de manquements doit être une sanction, pas le name and shame proposé par Mme la rapporteure pour avis.

Lorsque, en commission, nous avons commencé l'examen de l'article 35, nous étions très défavorables à sa rédaction. Nos amendements ont notamment permis de circonscrire son application « aux seules fins de garantir la défense et la sécurité nationale » – précision indispensable, de même que le maintien, pour les agents de l'Anssi recueillant des données auprès des acteurs numériques, de la nécessité d'être assermentés, disposition dont l'article prévoyait initialement la suppression. Ainsi modifié, il est désormais acceptable, conforme à ce qu'il doit être, si bien que nous voterons contre les amendements identiques tendant à le supprimer. En revanche, monsieur le ministre délégué, il ressort de cet article que des trace...

...tion des cyberattaques et l'information des victimes par divers moyens : recueil de données sur le réseau d'un opérateur de communications électroniques ou le système d'information d'un fournisseur d'accès, d'un hébergeur, d'un centre de données ; obligation pour les OIV de disposer d'un système de détection des attaques informatiques ; obligation pour les hébergeurs de données de communiquer à l'Anssi certaines informations relatives aux utilisateurs ou systèmes d'information vulnérables, menacés ou attaqués. Étant donné l'octroi à l'Anssi de ces nouvelles prérogatives, il est nécessaire de s'assurer de l'encadrement des dispositifs en cause : c'est pourquoi le groupe Horizons et apparentés se félicite que l'adoption en commission de deux de ses amendements ait garanti, d'une part, que la col...

Les nouveaux pouvoirs de l'Anssi ressemblent bizarrement à ce qui se pratique en matière de renseignement : la captation de données par des boîtes noires. Certes, le mécanisme prévu par le texte est plus circonscrit, mais je ne m'en pose pas moins des questions. Sa finalité serait plutôt préventive : on nous explique qu'il ne sera mis en œuvre que tant que durera la menace, et dans le même temps que, l'Anssi ne roulant pas sur l...

Cet amendement d'appel vise à maintenir les missions de l'Anssi dans leur cadre actuel. Le groupe Socialistes et apparentés a, en effet, pointé plusieurs risques majeurs depuis le début des débats. Ces risques concernent les délais de conservation des données, la capacité de contrôle donnée à l'Arcep, autorité indépendante en laquelle nous plaçons évidemment nos espoirs, et l'absence de précisions concernant le recours au juge administratif suivant la procédu...

Celui-ci n'est pas un amendement d'appel, c'est bien un amendement de suppression de l'article ! Nous considérons en effet que l'article 35 élargit dans une trop grande mesure les pouvoirs donnés à l'Anssi et désapprouvons surtout – c'est le point le plus problématique pour nous – le fait que ce soient les opérateurs qui placent des dispositifs de collecte de données puis les transmettent, sur saisie de l'Anssi. Cela nous semble illogique, d'autant plus que d'autres modes de fonctionnement pourraient sans doute être envisagés. Je profite de l'occasion pour vous signaler dès à présent un problème d...

...pas toujours aussi évident qu'on veut bien le croire. Les données seront conservées cinq ans et non pas dix si, comme je l'imagine, l'amendement de Mme Thomin est adopté tout à l'heure par cohérence – bien que nous ne soyons pas à l'abri d'une incohérence ! Par ailleurs, les fournisseurs d'accès à internet exploiteront eux-mêmes les captations de données qu'ils auront réalisées sur commande de l'Anssi et, cerise sur le gâteau, le texte mentionne encore les surcoûts : il ne faudrait tout de même pas que la sécurisation des systèmes d'information coûte de l'argent aux opérateurs ! Tout cela n'est pas acceptable ! Vous ne pouvez pas élargir les prérogatives de l'Anssi sans nous démontrer la nécessité de le faire. En théorie, lorsque l'on prend des mesures attentatoires à plusieurs libertés – y c...

Il ne me semble pas inutile de rappeler l'objectif de l'article 35, les garanties prévues dès la version originale du texte et celles qui ont été introduites en commission des lois. L'article 35 vise à compléter le dispositif actuel qui permet déjà à l'Anssi, depuis la dernière loi de programmation militaire, de recourir à des marqueurs techniques pour obtenir, pendant une durée limitée, des informations sur les flux entrants et sortants d'une machine contrôlée par un cyberattaquant lorsque cette attaque constitue une menace pour les intérêts du pays. La collecte de ces informations purement technique est utile mais suppose que l'Anssi connaisse en a...

Remettons les choses dans la perspective du projet de loi de programmation militaire. L'évolution des prérogatives accordées à l'Anssi suit l'évolution des menaces. En effet, trois nouveaux terrains de conflictualité ont été largement pris en compte par le projet de LPM : les fonds marins, l'espace et le cyber. Il est donc tout à fait normal, et même rassurant, de savoir que nous adaptons les nouvelles prérogatives de l'Anssi à ces nouveaux terrains de conflictualité. Il est choquant, par ailleurs, de sous-entendre que l'évolut...

Non, non ! J'ai dit que le fait de confier la gestion de marqueurs fournis par l'Anssi à des opérateurs privés qui ne sont précisément pas l'Anssi peut soulever un problème de souveraineté. Je souhaiterais que ces marqueurs, s'ils sont mis en œuvre, soient tous gérés par l'Anssi et ses services, c'est-à-dire par le service public. Voilà ce que je dis ! Encore une fois, on va à l'économie parce que l'on n'a pas suffisamment de moyens, même s'il n'y a jamais que cinquante objectifs, ...

...t une conception très stricte de cette notion. Nous avons eu plusieurs fois le débat mais vous nous avez renvoyés, monsieur le ministre délégué, à la décision du Conseil constitutionnel, sans donner la liste de ce que recouvre cette notion. Il me semble que les hôpitaux et les collectivités locales n'en font pas partie et que cette définition ne correspond toujours pas à ce qui est attendu par l'Anssi. Pour garantir les libertés de nos concitoyens, nous avons besoin d'une définition de ce qu'on entend par sécurité nationale.

Les alinéas 5 à 8 donnent à l'Anssi la possibilité de capturer l'intégralité d'un trafic réseau – et non plus seulement les données techniques – ou de copier la totalité d'un serveur pour y rechercher des informations caractérisant une menace. Si nous proposons de supprimer ce dispositif, c'est pour deux raisons. D'abord, il n'est pas nécessaire de légiférer puisque l'Anssi dispose déjà de larges pouvoirs d'investigation, sous le ...