L’ANSSI contrôlera t-elle les acteurs du numérique en France?

Opérateurs d’importance vitale

Les opérateurs d’importance vitale (OIV) sont des organisations identifiées par l’État comme ayant des activités d’importances vitales, et soumises à des obligations spécifiques en termes de formation des directeurs de la sécurité, des analyses de risques et de plans particuliers de protections comme de plans de protection externe.

Sont concernés douze secteurs :

Secteurs étatiques

Activités civiles de l’État ; activités militaires de l’État ; activités judiciaires ; espace et recherche.

Secteurs de la protection des citoyens

Santé ; gestion de l’eau ; alimentation.

Secteurs de la vie économique et sociale de la nation

Énergie ; communication, électronique, audiovisuel et information ; transports ; finances ; industrie.

 

Loi de Programmation Militaire 2014-2019

La loi de programmation militaire 2014-2019 affirme qu’il est de la responsabilité de l’État d’assurer une sécurité suffisante des systèmes critiques des OIV, avec quatre mesures principales :

• Fixer des obligations comme l’interdiction de connecter certains systèmes à Internet ;
• Mettre en place de systèmes de détections par des prestataires labélisés par l’État ;
• Vérifier le niveau de sécurité des SI critiques à travers un système d’audit ;
• Et en cas de crise majeure, de pouvoir imposer les mesures nécessaires aux opérateurs.

Les OIV auront aussi obligation de déclarer les incidents aux autorités compétentes. Notons que depuis une directive européenne de 2013, les opérateurs de télécommunications et fournisseurs d’accès internet doivent déjà informer l’agence nationale compétente dans un délai de 24 heures de tout vol de données personnelles. En France il s’agit de la Commission nationale informatique et liberté (CNIL) ou de l’Agence nationale de sécurité des systèmes d’information (ANSSI).

En cas de manquement à leurs obligations, les OIV risqueront une amende de 150 000 euros pour les personnes physiques et de 750 000 euros pour les personnes morales.

Cette loi controversée donne des pouvoirs étendus de supervision d’accès et d’action à l’ANSSI, tout comme le contrôle des équipements d’interception.

 

Directive sur la sécurité des réseaux

Les ministres européens chargés du numérique se réunissent aujourd’hui pour discuter d’une position sur le champ d’application de la future directive sur la sécurité des réseaux (dite directive “NIS”) qui souhaite confier aux diverses agences gouvernementales de cybersécurité de plus amples pouvoirs.

Alors que le Parlement européen avait clairement délimité dans sa proposition de mars 2014 la directive aux infrastructures vitales comme les centrales nucléaires, la France et l’Allemagne poussent maintenant pour l’élargissement aux acteurs du numérique les obligations dévolues aux opérateurs d’importance vitale (OIV) : sites de commerce électronique, hébergeurs de données, sites de médias ou développeurs d’objets connectés.

Concrètement, cela donnerait à l’ANSSI un accès aux systèmes informatiques de services comme Facebook, Office 365 et OVH, aux objets connectés, à la presse en ligne.

Ces services sont-ils réellement d’importance vitale et doivent-ils être soumis à des obligations coûteuses et contraignantes ? Est-il normal que l’ANSSI accède quand et comme bon lui semble à leurs systèmes d’information ?

On peut en douter, comme en doute l’Association des services internet communautaires (ASIC). Ce serait certainement un frein à l’essor du secteur numérique, et pose de sérieux problèmes de confidentialité, voire de conflits d’intérêts.

De très nombreux exemples ont montré que les organismes qui disposent d’accès privilégiés et qui sont soumis à de strictes règles de confidentialité en abusent avec une régularité confondante : qu’il s’agisse des opérateurs de scanners corporels dans les aéroports, des analystes de la NSA ou du GCHQ qui s’échangent des photos et des vidéos intimes de citoyens lambda, dont la pertinence pour la sécurité nationale est nulle.

S’il est logique qu’un organisme de défense puisse exiger, quand l’enjeu l’exige, et avec une certaine supervision, un accès à un courriel ou à un document, doit-il pour autant avoir un accès permanent aux infrastructures et aux systèmes de tous les acteurs de la chaîne numérique ? Office 365 est-elle comparable à une centrale nucléaire ? Peut-on accepter des intrusions étatiques sans contrôle préalable d’un juge ?

Il nous semble que les propositions françaises mèneront à une situation équivalente aux États-Unis, avec une surveillance de masse injustifiée et excessive. Au moment où l’Europe vante les mérites de l’industrie numérique en termes d’emplois créés, elle devrait se remémorer que les industries américaines du numérique ont payé, et paient encore très cher la méfiance internationale et générale suite aux révélations des excès de la NSA, avec des chutes de commandes très nettes de leurs produits et services.