Code des postes et des communications électroniques

Chemin :




Paragraphe III : Dispositions relatives au contrôle de la sécurité et de l'intégrité des installations, réseaux ou services

I. – Le contrôle prévu par l'article L. 33-10 est effectué par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ou par un autre service de l'Etat compétent. Toutefois, dans le cas où aucun service de l'Etat ne peut l'effectuer et où aucun impératif relatif à la défense nationale ou à la sécurité nationale ne s'y oppose, le contrôle peut être effectué par un organisme qualifié indépendant habilité par le ministre chargé des communications électroniques.

Afin d'être habilité pour effectuer ces contrôles, un organisme doit satisfaire aux conditions suivantes :

1° Justifier d'une accréditation pour la réalisation de contrôles de la sécurité et de l'intégrité des installations, réseaux et services des opérateurs de communications électroniques délivrée par le Comité français d'accréditation ou par un organisme signataire de l'accord européen multilatéral pris dans le cadre de la coordination européenne des organismes d'accréditation ;

2° Disposer de personnels titulaires de l'habilitation mentionnée à l'article R. 2311-7-1 du code de la défense permettant l'accès à des informations classifiées au niveau " Confidentiel Défense ” notamment pour pouvoir réaliser les contrôles des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du même code ;

3° Disposer de personnels autorisés à exercer le contrôle prévu au premier alinéa du présent article au terme d'une enquête administrative réalisée conformément à l'article L. 114-1 du code de la sécurité intérieure ;

4° Justifier de son indépendance vis-à-vis des opérateurs de communications électroniques en démontrant qu'il n'agit pas sous le contrôle de l'un d'eux au sens de l'article L. 233-3 du code de commerce ou qu'il ne fournit pas de services ou d'équipements utilisés dans les installations, réseaux ou services de ceux-ci.

II. - Les demandes d'habilitation sont adressées à l'administrateur interministériel des communications électroniques de défense institué à l'article R. 1334-4 du code de la défense, qui les instruit.

Au terme de l'instruction le ministre chargé des communications électroniques inscrit l'organisme remplissant les conditions mentionnées au I sur une liste des organismes habilités pour effectuer les contrôles mentionnés à l'article L. 33-10 du code des postes et des communications électroniques. L'organisme habilité doit porter sans délai à la connaissance du ministre toute modification des éléments au vu desquels il a été inscrit sur cette liste.

Le ministre chargé des communications électroniques tient à jour cette liste et peut à cet effet s'assurer à tout moment que l'organisme satisfait aux conditions mentionnées au I. Si tel n'est pas le cas ou en cas de manquement de l'organisme à ses obligations, le ministre peut retirer ce dernier de la liste à titre définitif ou temporaire après l'avoir mis à même de présenter ses observations dans un délai de quinze jours.

Le contrôle prévu à l'article L. 33-10 a pour objet d'évaluer les mesures prises par l'opérateur en application des dispositions du a du I de l'article L. 33-1 et notamment celles prises pour assurer la sécurité de son réseau et de ses services à un niveau adapté au risque existant, pour assurer l'intégrité de son réseau et garantir la continuité des services fournis.

Un seul contrôle peut être engagé par année civile pour un même réseau ou un même service. Toutefois, le ministre chargé des communications électroniques peut engager d'autres contrôles lorsque les réseaux ou les services de cet opérateur font l'objet, au cours de cette même année, d'une atteinte à leur sécurité ou d'une perte d'intégrité ayant un impact significatif sur leur fonctionnement ou lorsque des défauts ou des vulnérabilités dans les mesures prises pour assurer la sécurité et l'intégrité des installations, réseaux ou services de l'opérateur ont été constatés à l'occasion d'un précédent contrôle intervenu au cours de la même année civile.

I. – Lorsque le ministre chargé des communications électroniques impose à un opérateur un contrôle de la sécurité et de l'intégrité de ses installations, réseaux ou services, il lui notifie les objectifs du contrôle et le délai dans lequel le contrôle doit être achevé, qui ne peut pas être supérieur à six mois. Il lui précise également si le contrôle doit être effectué par l'Agence nationale de la sécurité des systèmes d'information ou par un autre service de l'Etat ou par un organisme qualifié indépendant. Dans ce dernier cas, l'opérateur choisit l'organisme sur la liste mentionnée à l'article R. 9-7 et le coût du contrôle est fixé par contrat entre l'opérateur et l'organisme.

II. – L'opérateur prend les dispositions nécessaires à la réalisation du contrôle par le service de l'Etat désigné par le ministre ou par l'organisme qu'il a choisi et communique ces dernières dans un délai de deux mois suivant la notification mentionnée au I du présent article au ministre chargé des communications électroniques, qui s'assure que ces dispositions répondent aux objectifs du contrôle.

L'opérateur rend compte sans délai de toute difficulté au ministre chargé des communications électroniques.

III. – Lorsque le contrôle intervient à la suite d'une atteinte à la sécurité ou une perte d'intégrité ayant un impact significatif sur le fonctionnement des réseaux ou des services de l'opérateur ou lorsque des défauts ou des vulnérabilités dans les mesures prises pour assurer la sécurité et l'intégrité de ses installations, réseaux ou services ont été constatés à l'occasion d'un précédent contrôle intervenu au cours de la même année civile, le ministre chargé des communications électroniques peut imposer que le délai mentionné au II soit inférieur à deux mois compte tenu du risque de sécurité identifié.

Le ministre chargé des communications électroniques informe l'Autorité de régulation des communications électroniques et des postes des contrôles qu'il décide.

Le service ou l'organisme ayant réalisé le contrôle dans les conditions prévues par les articles R. 9-7 à R. 9-9 établit un rapport comportant ses constatations ainsi qu'une appréciation de l'efficacité des mesures prises par l'opérateur pour assurer la sécurité et l'intégrité des installations, réseaux et services contrôlés. Lorsque des défauts ou des vulnérabilités dans les mesures prises pour assurer la sécurité et l'intégrité des installations, réseaux ou services de l'opérateur ont été constatés à l'occasion du contrôle, il formule des recommandations afin qu'il y soit remédié.

Le rapport, comportant, le cas échéant, les observations de l'opérateur, est remis par ce dernier au ministre chargé des communications électroniques au plus tard au terme du délai fixé pour la réalisation du contrôle.

Le ministre chargé des communications électroniques peut auditionner le service ou l'organisme ayant réalisé le contrôle, en présence de l'opérateur qui est également entendu, dans le mois qui suit la remise du rapport.

Le ministre chargé des communications électroniques informe l'Autorité de régulation des communications électroniques et des postes des principales conclusions du contrôle.

Le coût des contrôles effectués par un service de l'Etat en application de l'article L. 33-10 est calculé en fonction du temps nécessaire à la réalisation du contrôle et du nombre d'agents qui y sont affectés.

Un arrêté du Premier ministre fixe le coût unitaire global d'un contrôle mobilisant un agent pendant une journée.