La cybersécurité est de nouveau au cœur des préoccupations du législateur et du Gouvernement.
La loi n°2023-22 du 24 janvier 2023 d'orientation et de programmation du ministère de l'Intérieur avait déjà mis en place des mesures visant à lutter contre la cybercriminalité. L’une des mesures les plus débattues de cette loi concernait les conditions de l’indemnisation des dommages – dont la rançon - subis par un assuré en cas de cyberattaque. Depuis le 24 avril 2023, l’indemnisation de ces dommages par l’assureur est désormais subordonnée au dépôt d’une plainte auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte1.
Le sujet « cyber » est également au cœur du projet de loi n°1033 relatif à la programmation militaire pour les années 2024 à 2030, lequel entend renforcer de manière considérable les moyens de la Défense nationale. Outre l’augmentation significative du budget des Armées, le projet de LPM prévoit plusieurs mesures notables permettant à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) de remédier plus efficacement aux effets des cyberattaques et d’alerter plus efficacement les victimes des incidents ou des menaces pesant sur leurs systèmes d’information.
Editeurs de logiciel : Obligation de notification des incidents de sécurité
En cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information susceptible d’affecter un de leurs produits, les éditeurs de logiciel devront notifier cet incident à l’ANSSI et procéder à l’analyse de ses causes et conséquences2.
Cette obligation s’applique (i) aux produits fournis sur le territoire français, (ii) fournis à des sociétés ayant leur siège social en France ou (iii) à des sociétés contrôlées, au sens de l’article L. 233‑3 du Code de commerce, par des sociétés ayant leur siège social sur le territoire français.
A défaut, l’ANSSI peut notifier l’incident aux utilisateurs. Le projet de loi ne prévoit pas de sanction spécifique en l’absence de notification.
Le champ d’application de cette obligation est large et devrait en principe s’étendre à la plupart des éditeurs de logiciels, notamment aux éditeurs de logiciels en mode SaaS dont ceux établis en dehors du territoire français.
Elargissement des données pouvant être collectées par l’ANSSI auprès des opérateurs et des hébergeurs à des fins de prévention
Le projet de loi comporte plusieurs dispositions permettant à l’ANSSI de renforcer ses capacités de détection, de caractérisation et de prévention des attaques informatiques en impliquant les opérateurs de communications électroniques, les fournisseurs d’accès à Internet (« FAI ») et hébergeurs de données, les opérateurs de centres de données, les offices et bureaux d’enregistrement de noms de domaine.
Outre les mesures de blocage et de filtrage des noms de domaine que l’ANSSI peut prescrire auprès des FAI et des hébergeurs, le projet de LPM étend les pouvoirs de l’ANSSI dans la mise en œuvre des dispositifs de détection des menaces.
L’article 35 du projet de LPM complète l’article L. 2321‑2‑1 du Code de la défense en étendant les données recueillies au contenu des communications qui transitent par les réseaux et, plus largement, en permettant à l’ANSSI d’obtenir la copie du serveur utilisé par l’attaquant.
Les dispositifs de détection ne seraient donc plus limités aux données techniques. Un décret doit venir préciser la nature des données que l’ANSSI pourra collecter dans ce cadre. Les opérateurs de centres de données entreront à l’avenir dans le périmètre des opérateurs sur lesquels l’ANSSI pourrait apposer des marqueurs techniques ou obtenir la copie de leurs serveurs.
Le projet de LPM rationalise également cette procédure de détection en supprimant l’assermentation des agents de l’ANSSI.
L’extension de ces mesures de surveillance est ainsi de nature à faire peser des contraintes supplémentaires sur les acteurs du numérique.
Article paru dans Option Finance le 09/05/2023
(1) Art. L. 12- 10-1. du Code des assurances – Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du Code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime. Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle.
(2) Nouvel article L. 2321-4-1 du Code de la défense
En savoir plus sur notre cabinet d'avocats :
Notre cabinet d'avocats est l’un des principaux cabinets d’avocats d’affaires internationaux. Notre enracinement local, notre positionnement unique et notre expertise reconnue nous permettent de fournir des solutions innovantes et à haute valeur ajoutée dans tous les domaines du droit.
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.