Décret n° 2018-1136 du 13 décembre 2018 pris pour l'application de l'article L. 2321-2-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques


JORF n°0289 du 14 décembre 2018
texte n° 2




Décret n° 2018-1136 du 13 décembre 2018 pris pour l'application de l'article L. 2321-2-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques

NOR: PRMD1828335D
ELI: https://www.legifrance.gouv.fr/eli/decret/2018/12/13/PRMD1828335D/jo/texte
Alias: https://www.legifrance.gouv.fr/eli/decret/2018/12/13/2018-1136/jo/texte


Publics concernés : professionnels (opérateurs de communications électroniques, personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004), autorités administratives et administrations (Agence nationale de la sécurité des systèmes d'information, Autorité de régulation des communications électroniques et des postes).
Objet : application de l'article L. 2321-2-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques, issus de l'article 34 de la loi n° 2018-607 du 13 juillet 2018 relative à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense qui confère à l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et aux opérateurs de communications électroniques de nouvelles compétences pour prévenir et caractériser les menaces pouvant affecter la sécurité des systèmes d'information.
Entrée en vigueur : le décret entre en vigueur le 1er janvier 2019 .
Notice : le décret définit les conditions de mise en œuvre, par les opérateurs de communications électroniques, de dispositifs de détection des événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés, les catégories de données pouvant être conservées ainsi que des modalités d'échange entre ces opérateurs et l'ANSSI. Il précise les conditions dans lesquelles l'agence peut mettre en œuvre sur le réseau d'un opérateur de communications électroniques ou le système d'information d'un hébergeur, des dispositifs de détection des événements susceptibles d'affecter la sécurité des systèmes d'information des autorités publiques et de certains opérateurs. Il précise, enfin, les modalités de contrôle, par l'Autorité de régulation des communications électroniques et des postes, de la mise en œuvre de ces dispositions.
Références : les textes modifiés par le présent décret peuvent être consultés, dans leur version issue de cette modification, sur le site Légifrance (https://www.legifrance.gouv.fr).


Le Premier ministre,
Vu le code de la défense, notamment le chapitre Ier du titre II du livre III de sa deuxième partie ;
Vu le code des postes et des communications électroniques, notamment ses articles L. 33-14, L. 36-7 et L. 36-14 ;
Vu le décret n° 2009-834 du 7 juillet 2009 modifié portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information » ;
Vu l'avis de l'Autorité de régulation des communications électroniques et des postes en date du 12 octobre 2018 ;
Le Conseil d'Etat (section de l'administration) entendu,
Décrète :


Le chapitre Ier du titre II du livre III de la deuxième partie réglementaire du code de la défense est ainsi modifié :
1° La section 1 est complétée par cinq articles ainsi rédigés :


« Art. R. 2321-1-1.-La décision de mettre en œuvre les dispositifs mentionnés au premier alinéa de l'article L. 2321-2-1 sur les réseaux et les systèmes d'information des personnes mentionnées au même alinéa leur est notifiée par l'Agence nationale de la sécurité des systèmes d'information.
« Cette notification est accompagnée d'un cahier des charges élaboré, le cas échéant, après concertation avec les personnes destinataires. Ce document précise les conditions techniques d'organisation et de fonctionnement nécessaires à la mise en œuvre de ces dispositifs ainsi que le délai dans lequel ils sont mis en œuvre et la durée de leur mise en œuvre. Il prévoit, le cas échéant, une phase de test préalable sur les réseaux ou systèmes d'information concernés.
« La décision mentionnée au premier alinéa est communiquée sans délai à l'Autorité de régulation des communications électroniques et des postes.


« Art. R. 2321-1-2.-Les dispositifs mentionnés au premier alinéa de l'article L. 2321-2-1 sont mis en œuvre pour une période maximale de trois mois, prorogeable en cas de persistance de la menace et dans cette limite. Toute prorogation fait l'objet d'une décision de l'Agence nationale de la sécurité des systèmes d'information notifiée aux personnes mentionnées au premier alinéa de l'article R. 2321-1-1 et communiquée à l'Autorité de régulation des communications électroniques et des postes.


« Art. R. 2321-1-3.-Les marqueurs techniques exploités par les dispositifs mentionnés au premier alinéa de l'article L. 2321-2-1 sont des éléments techniques caractéristiques d'un mode opératoire d'attaque informatique, permettant de détecter une activité malveillante ou d'identifier une menace susceptible d'affecter la sécurité des systèmes d'information. Ils visent à détecter les communications et programmes informatiques malveillants et à recueillir et analyser les seules données techniques nécessaires à la prévention et à la caractérisation de la menace.


« Art. R. 2321-1-4.-Les dispositifs de traçabilité des données collectées mentionnés au 2° de l'article L. 36-14 du code des postes et des communications électroniques garantissent notamment l'identification des agents mentionnés au deuxième alinéa de article L. 2321-2-1 et au premier alinéa de l'article L. 2321-3. Ces dispositifs enregistrent les opérations effectuées sur les données, dont leur suppression à l'issue du délai mentionné au troisième alinéa de l'article L. 2321-2-1.


« Art. R. 2321-1-5.-Les modalités de la compensation des prestations assurées par les personnes mentionnées au premier alinéa de l'article R. 2321-1-1 au titre de l'article L. 2321-2-1 et du deuxième alinéa de l'article L. 2321-3 sont fixées par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques. » ;


2° A l'article R. 2321-2, les mots : « L'habilitation prévue à l'article L. 2321-3 est accordée » sont remplacés par les mots : « Les habilitations prévues aux articles L. 2321-2-1 et L. 2321-3 sont accordées ».


Le chapitre II du titre Ier du livre II de la deuxième partie (Décrets en Conseil d'Etat) du code des postes et des communications électroniques est ainsi modifié :
1° A la section 1, après l'article R. 9-12, il est inséré un paragraphe III bis ainsi rédigé :


« Paragraphe III bis
« Dispositions relatives à la prévention des menaces affectant la sécurité des systèmes d'information


« Art. R. 9-12-1.-Les opérateurs qui recourent, aux fins de détecter les événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés, aux dispositifs mentionnés à l'article L. 33-14, communiquent à l'Agence nationale de la sécurité des systèmes d'information une documentation qui décrit, pour chaque dispositif :
« 1° La nature du dispositif, les mesures de sécurité appliquées et le type de marqueurs techniques susceptibles d'être exploités par ce dispositif ;
« 2° Les capacités d'analyse du dispositif, les infrastructures de communications électroniques concernées et, le cas échéant, les méthodes d'échantillonnage des flux de données analysés ainsi que la fréquence d'analyse ;
« 3° Les critères techniques définis pour détecter les événements susceptibles de porter atteinte à la sécurité des systèmes d'information ;
« 4° Les catégories de données susceptibles d'être collectées et la durée de conservation appliquée dans la limite de six mois mentionnée au troisième alinéa de l'article L. 33-14.


« Art. R. 9-12-2.-Les marqueurs techniques exploités par les dispositifs mentionnés à l'article R. 9-12-1 sont des éléments techniques caractéristiques d'un mode opératoire d'attaque informatique, permettant de détecter une activité malveillante ou d'identifier une menace susceptible d'affecter la sécurité des systèmes d'information. Ils visent à détecter les communications et programmes informatiques malveillants et à recueillir et analyser les seules données techniques nécessaires à la prévention et à la caractérisation de la menace.
« Lorsque l'utilisation d'un marqueur, à l'initiative de l'opérateur de communications électroniques ou à la demande de l'Agence nationale de la sécurité des systèmes d'information, est à l'origine d'une alerte pour la sécurité des systèmes d'information d'un abonné, l'opérateur est autorisé à conserver, pour une durée maximale de six mois, les données techniques mentionnées à l'article R. 10-15 associées à cette alerte.


« Art. R. 9-12-3.-Lorsqu'elle demande aux opérateurs de communications électroniques, conformément au deuxième alinéa de l'article L. 33-14, d'exploiter des marqueurs techniques qu'elle leur fournit, l'Agence nationale de la sécurité des systèmes d'information précise la durée pour laquelle ils doivent être mis en œuvre ainsi que, le cas échéant, les éléments relatifs à la menace susceptible de porter atteinte à la sécurité des systèmes d'information qu'ils doivent permettre de détecter.
« Les opérateurs, après avoir vérifié l'innocuité des marqueurs techniques fournis par l'Agence nationale de la sécurité des systèmes d'information pour leurs réseaux et services, les mettent en œuvre pour la durée indiquée. Ils tiennent à la disposition de l'agence une situation à jour de l'exploitation des marqueurs techniques fournis et justifient toute non-utilisation, même temporaire, de ces derniers.
« Lorsque l'utilisation d'un marqueur technique fourni par l'Agence nationale de la sécurité des systèmes d'information est à l'origine d'une alerte pour la sécurité des systèmes d'information d'un abonné, l'opérateur en informe celle-ci sans délai. Il lui transmet, conformément au deuxième alinéa de l'article L. 2321-3 du code de la défense, les données techniques permettant d'identifier l'utilisateur ou le détenteur du système d'information affecté par l'événement détecté.
« A la demande de l'agence, si l'événement concerne une autorité publique, un opérateur mentionné aux articles L. 1332-1 et L. 1332-2 du code de la défense ou à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, les opérateurs communiquent à l'agence, dans les mêmes conditions, les données mentionnées à l'article R. 10-15 associées à cette alerte.


« Art. R. 9-12-4.-Les opérateurs informent leurs abonnés des vulnérabilités de leurs systèmes d'information ou des atteintes subies par ces systèmes par la transmission d'un message d'information de l'Agence nationale de la sécurité des systèmes d'information selon des modalités précisées par cette dernière. Ils rendent compte à l'agence de l'envoi de ce message aux destinataires.


« Art. R. 9-12-5.-Les modalités de la compensation des prestations assurées par les opérateurs de communications électroniques au titre du cinquième alinéa de l'article L. 33-14 sont fixées par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques.


« Art. R. 9-12-6.-Pour l'application de l'article L. 36-14, la formation de règlement des différends, de poursuite et d'instruction de l'Autorité de régulation des communications électroniques et des postes est informée, sans délai, par l'Agence nationale de la sécurité des systèmes d'information au titre de l'article L. 2321-2-1 du code de la défense :
« 1° Des éléments de nature à justifier l'existence de la menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 de ce code ou des opérateurs mentionnés à l'article 5 de la loi du 26 février 2018 précitée, y compris le cas échéant, les éléments relatifs à l'infrastructure d'attaque informatique ;
« 2° De la notification aux personnes mentionnées au premier alinéa de l'article R. 2321-1-1 du code de la défense, de la décision de mise en œuvre des dispositifs techniques mentionnés au premier alinéa de l'article L. 2321-2-1 du même code et du cahier des charges mentionnés au même article R. 2321-1-1 ;
« 3° Des réseaux et systèmes d'information des opérateurs de communications électroniques et personnes mentionnées aux 1 ou 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique sur lesquels sont mis en œuvre les dispositifs mentionnés à l'article L. 2321-2-1 du code de la défense ;
« 4° Des caractéristiques techniques de ces dispositifs et des objectifs attendus ;
« 5° Des catégories de données techniques susceptibles d'être recueillies ;
« 6° Des résultats de l'analyse technique réalisée en application du deuxième alinéa de l'article L. 2321-2-1 du même code ;
« 7° Le cas échéant, de la décision de prorogation mentionnée à l'article R. 2321-1-2 de ce code.


« Art. R.-9-12-7.-Au titre du deuxième alinéa de l'article L. 2321-3 du code de la défense, la formation de règlement des différends, de poursuite et d'instruction de l'Autorité de régulation des communications électroniques et des postes est informée, sans délai, par l'Agence nationale de la sécurité des systèmes d'information :
« 1° Des éléments de nature à justifier l'existence d'un événement susceptible d'affecter la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du même code ou des opérateurs mentionnés à l'article 5 de la loi du 26 février 2018 précitée ;
« 2° Des demandes formulées auprès des opérateurs de communications électroniques et des catégories de données obtenues. » ;


2° Après l'article R. 10-14, il est inséré un article R. 10-15 ainsi rédigé :


« Art. R. 10-15.-En application de l'article L. 33-14, les opérateurs de communications électroniques sont autorisés à conserver, lorsqu'elles sont associées à une alerte mentionnée au II de l'article R. 9-12-1 et à l'exclusion du contenu des correspondances échangées :
« 1° Les données techniques permettant d'identifier l'origine de la communication et l'utilisateur ou le détenteur du système d'information affecté par l'événement détecté ;
« 2° Les données techniques relatives à l'acheminement de la communication par un réseau de communications électroniques, notamment le routage et le protocole utilisé ;
« 3° Les données techniques relatives aux équipements terminaux de communication concernés ;
« 4° Les caractéristiques techniques ainsi que la date, l'horaire, le volume et la durée de chaque communication ;
« 5° Les données techniques relatives à l'accès des équipements terminaux aux réseaux ou aux services de communication au public en ligne ;
« 6° Les caractéristiques techniques ainsi que la date et l'horaire de l'alerte dont l'utilisation des marqueurs techniques est à l'origine.
« La conservation de ces données est limitée au temps strictement nécessaire à la prévention et à la caractérisation des événements susceptibles d'affecter la sécurité des systèmes d'information des abonnés sans excéder six mois. »


I.-Le huitième alinéa de l'article 3 du décret du 7 juillet 2009 susvisé est remplacé par les dispositions suivantes :


«-elle met en œuvre des dispositifs de détection des événements susceptibles d'affecter la sécurité des systèmes d'information de l'Etat, des autorités publiques et d'opérateurs publics et privés et coordonne la réaction à ces événements ;
«-elle recueille les informations techniques relatives aux incidents affectant les systèmes d'information des personnes mentionnées à l'alinéa précédent. Elle peut apporter son concours pour répondre à ces incidents ; ».


II.-L'article 3 du décret du 7 juillet 2009 précité dans sa rédaction résultant du I du présent article peut être modifié par décret.


I.-Dans le tableau figurant aux articles R. 2441-2, R. 2451-2, R. 2461-2 et R. 2471-2 du code de la défense, la ligne :
«


R. 2321-1 à R. 2321-5

Résultant du décret n° 2015-349 du 27 mars 2015


»
est remplacée par trois lignes ainsi rédigées :
«


R. 2321-1

Résultant du décret n° 2015-349 du 27 mars 2015

R. 2321-1-1 à R. 2321-2

Résultant du décret n° 2018-1136 du 13 décembre 2018

R. 2321-3 à R. 2321-5

Résultant du décret n° 2015-349 du 27 mars 2015


».
II.-La section 1 du chapitre II du titre Ier du livre II de la deuxième partie (Décrets en Conseil d'Etat) du code des postes et des communications électroniques est complétée par un article R. 9-12-8 ainsi rédigé :


« Art. R. 9-12-8.-Les articles R. 9-12-1 à R. 9-12-7 sont applicables dans les îles Wallis et Futuna, en Polynésie française et en Nouvelle-Calédonie dans leur rédaction résultant du décret n° 2018-1136 du 13 décembre 2018 ».


III.-L'article R. 10-22 du même code est remplacé par les dispositions suivantes :


« Art. R. 10-22.-Les dispositions des articles R. 10-12, R. 10-13 et R. 10-14 de la présente section sont applicables dans les îles Wallis et Futuna, en Polynésie française et en Nouvelle-Calédonie dans leur rédaction résultant du décret n° 2012-436 du 30 mars 2012.
« Les dispositions de l'article R. 10-13-1 de la présente section sont applicables dans les îles Wallis et Futuna, en Polynésie française et en Nouvelle-Calédonie dans leur rédaction résultant du décret n° 2015-349 du 27 mars 2015.
« Les dispositions de l'article R. 10-15 de la présente section sont applicables dans les îles Wallis et Futuna, en Polynésie française et en Nouvelle-Calédonie dans leur rédaction résultant du décret n° 2018-1136 du 13 décembre 2018 ».


Le présent décret entre en vigueur le ler janvier 2019.


Le ministre de l'économie et des finances et la ministre des outre-mer sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 13 décembre 2018.


Edouard Philippe

Par le Premier ministre :


Le ministre de l'économie et des finances,

Bruno Le Maire


La ministre des outre-mer,

Annick Girardin