cyberattaque LPM 2019-2025 et cybersécurité des systèmes d’information

[2 juillet 2019] cyberattaque LPM 2019-2025 ? Le titre ne vous évoque rien ? « Cyberattaque », vous devez commencer à avoir une idée quand même… Mais LPM ? Loi de Programmation Militaire n°2018-607  du 13 juillet 2018 pour les années 2019 à 2025 ? Le chapitre spécial cybersécurité est situé dans les articles 34 et suivant de ce chef d’oeuvre de la littérature législative bleu-blanc-rouge…

LPM ? Vous vous dites (fort logiquement) que ça ne devrait concerner que les militaires… Et bien non !!! Sont impactés les opérateurs de communications électroniques (au sens de l’article 32 15° du Code des Postes et Communications Electroniques ou « CPCE ») ainsi que les « prestataires » listés aux  articles 6 I 1) et 2) de la LCEN (Loi sur la Confiance dans l’Economie Numérique du 21 juin 2004). Ces « prestataires », ce sont les éditeurs de site web et les hébergeurs.

Devant cette quantité excessive d’acronymes et de fondements légaux, nous vous proposons DE NE PAS CAPITULER !

Tout le détail du régime légal  de la lutte contre les cyberattaques est dans la présentation en BD que vous trouverez à la fin de ce post.

Cet exposé sera (franchement) moins pénible grâce aux Editions Delcourt que je remercie encore et encore pour leur autorisation d’illustrer mes propos avec les 4 tomes (magnifiques) des « Souvenirs de la Grande Armée » (et vive le 2° Régiment de chasseurs à cheval !).

cyberattaque LPM 2018 pour 2019 à 2025


cyberattaque LPM 2019-2025 : la genèse avec la loi de 2005 sur les OIV

Je serai bref sur ce point. Allez relire l’ACTE I de notre étude sur les Opérateurs d’Importance Vitale. Mais attention, la LPM 2019-2025 étend son périmètre pour impacter des professionnels autres que les OIV !!! Bienvenue  aux OSE et aux opérateurs de communications électroniques…

C’est pour ça que vous devriez vous intéresser au sujet (par exemple, si vous écrivez des clauses sur la sécurité des systèmes d’information…).

cyberattaque LPM 2019-2025 OIV


Vous pouvez aussi relire l’ACTE II de notre étude sur la notion de « Système d’information d’Importance Vitale ». Mais, sur ce point encore, la LPM 2018 va au-delà du périmètre coeur SI critique des seuls OIV.


cyberattaque : l’organisation institutionnelle de la France contre les cyberattaques

Il faut pour cela remonter à la Loi de Programmation Militaire n°2013-1168 du 18 décembre 2013. C’est le point de départ de l’organisation nationale de la « résistance » / défense / (bientôt)  offensive contre les « attaques numériques ».

cyberattaque : l'organisation institutionnelle de la France contre les cyberattaques


cyberattaque LPM 2019-2025 : les actions préventives et défensives depuis 2013

Il fallait bien permettre à l’ANSSI (i) d’identifier les attaquants, de caractériser les attaques et (ii) (surtout) de faire cesser les « effets » de ces attaques. Pour cela, il fallait permettre à l’ANSSI de « faire des choses » réprimées par le Code pénal.

cyberattaque LPM 2019-2025 : les actions préventives et défensives depuis 2013


Rappel des incriminations des articles 323-1 à 323-3 Code pénal (loi dite « Godfrain » de 1988) sur les « atteintes à un système de traitement automatisé de données » (ou « S.T.A.D.« ).

accès ou maintien frauduleux dans un système d'information


Avec Benoit Barré, nouvel associé de Constellation Avocats très au fait des techniques et du droit du numérique, nous avons profité de cette présentation pour faire un point sur ce que la jurisprudence retient dans la définition des STAD. Vous verrez, c’est très large.

Aujourd’hui, on dirait « Système d’Information » (loi SRSI du 26 février 2018) plutôt que STAD. Mais n’attendez pas pour bientôt une ré-écriture du Code pénal pour une mise en cohérence de ces différentes définitions… Au pays de Molière, nous aimons bien empiler les textes inutiles (soupir).

système d'information et système de traitement automatisé de données


cyberattaque LPM 2013 : l’obligation pour les OIV de déployer des « systèmes de détection » dans leur SIIV

Première étape de la fusée « mesures de prévention » en 2013, l’ANSSI impose aux OIV (à leurs frais exclusifs) de déployer une « boite noire », validée au préalable par l’ANSSI, de détection des intrusions.

Pour creuser ce point, allez relire l’Acte II de la cyber sécurité sur les Systèmes d’Information d’Importance Vitale.

Manifestement, cela ne suffisait pas. L’étape 2 ? C’est la LPM 2018 !


cyberattaque LPM 2019-2025 : « détecter un évènement / une menace susceptible d’affecter la sécurité des systèmes d’information » ???

Le titre est trop long, je le sais bien. Mais comment résumer autrement cette nouvelle notion ? « un événement« … « une menace« … « susceptible d’affecter« … difficile de faire plus large…

Ce sera bien sûr soumis à l’appréciation souveraine de l’ANSSI (comment faire autrement ?).

En cas de doute sur le crédit à apporter à nos propos, n’hésitez pas à aller lire le décret du 13 décembre 2018, c’est de la prose tout à fait délicieuse

cyberattaque LPM 2019-2025 : "détecter un évènement / une menace susceptible d'affecter la sécurité des systèmes d'information"


cyberattaque LPM 2019-2025 : « sécurité » ? quelle définition ?

Puisque sont concernés les OIV et les OSE, allons chercher une définition de la « sécurité » des systèmes d’information (pas dans la loi sur les OIV, les règles ne sont pas publiques)… dans la Directive NIS/Loi SRSI.

Chères lectrices, chers lecteurs, chers auditeurs, chères auditrices des podcasts NoLimitSecu, arrêtez de vous faire des noeuds au cerveau !!!

Aujourd’hui, grâce à la Directive N.I.S. et à la loi française de transposition SRSI du 26 février 2018, il existe une définition légale de la « sécurité » des systèmes d’information.

= DISPONIBILITE + AUTHENTICITE + INTEGRITE + CONFIDENTIALITE des data traitées.

cyberattaque LPM 2019-2025 :sécurité définition


En comparaison, la « violation de données à caractère personnel » est définie (article 4.12 RGPD) comme toute « destruction, perte, altération, divulgation ou accès non autorisé » à des données [personnelles] « transmises, conservées ou traitées« …

violation de données à caractère personnel" est définie (article 4.12 RGPD) "destruction, perte, altération, divulgation ou accès non autorisé"


L’obligation de sécurité de l’article 32 RGPD traite pour sa part des « moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes » des « systèmes et des services de traitement« .

2 remarques sur l’article 32 RGPD :

– « systèmes… de traitement » : le système d’information ? le logiciel qui traite les données ?

– « services de traitement » : la résilience du « service » rendu aux clients, professionnels ou non ?

Dans les 2 cas, ce ne sont pas les « données à caractère personnel » elles-mêmes qui doivent faire l’objet de « mesures de sécurités appropriées« , mais les systèmes d’information, en ce compris les logiciels (en mode SaaS par exemple…).

"moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes" des "systèmes et des services de traitement"


cyberattaque LPM 2019-2025 : « incident de sécurité » = « évènement/menace susceptible d’affecter la sécurité… » ?

Si nous revenons à notre LPM 2018, laquelle vise les OIV ET les OSE, il faut se rendre à l’évidence : si un « incident de sécurité » affecte un OSE, la même définition de l’incident s’appliquera à un OIV.

La différence majeure porte sur sur la potentialité de « l’incident de sécurité« .

La Directive NIS et la Loi SRSI de 2018 encadrent les « actions qui compromettent« . Il faut donc une menace présente (pas future), avérée, voire une tentative : une attaque en cours pour le dire autrement.

Dans la LPM 2018, cette menace peut être seulement potentielle : « susceptible d’affecter« … la sécurité. Les règles légales permettent de faire de la collecte de données techniques de manière préventive.

cyberattaque LPM 2019-2025 : "incident de sécurité" = "évènement/menace susceptible d'affecter la sécurité..."


cyberattaque LPM 2019-2025 : les « marqueurs techniques » ???

Sur ce point, pas besoin de faire du bla-bla. Regardons la définition dans le décret Code de la défense, dans la mesure où l’expression « marqueur technique » – techniquement – ne signifie rien du tout !!!.

(- c’est fait exprès pour ne pas faire trop peur ?)

J’avoue une forme d’admiration purement intellectuelle pour celle/celui qui a eu l’idée du concept légal de « marqueur technique« . Cette capacité à créer du jargon administratif parfaitement abscons me fascine.

En synthèse, ces « dispositifs » (matériel + logiciel) doivent permettre d’identifier des malware (« logiciel » pour les juristes ou « exploit » pour les pro de la cyber sécurité) ainsi que les « communications » (messages) utilisés par les malveillants pour installer ces logiciels malveillants dans le système d’information cible.

Ce peuvent être aussi des « moyens » d’identifier des canaux de communication par lesquels les attaquants s’échangent des informations relatives à leur malware ou leur modus operandi.

Vous saviez qu’il existe des forums de discussion sur ces sujets ?

cyberattaque LPM 2019-2025 : les "marqueurs techniques"


cyberattaque LPM 2019-2025 : Le « deep packet inspection » (ou D.P.I.) ?

Si vous n’êtes pas familier(ère) de cette « technologie » qu’est le D.P.I., ce n’est pas anormal !

En peu de mots, c’est une technique logicielle (d’inspection des paquets IP en profondeur) qui permet de vérifier le contenu des paquets IP dans un flux Internet, avant que le « message » ne soit arrivé à destination.

cyberattaque LPM 2019-2025 : Le "deep packet inspection" (ou D.P.I.) ?


Techniquement, ce n’est pas à la portée du premier venu.

Juridiquement ? Sans se voiler la face, les « marqueurs techniques » qui permettent d’analyser des « correspondances » constituent une violation du secret des correspondances électroniques. Même certains de nos élus s’en étonnent publiquement (voir la slide ci-dessous).

Mais il parait que c’est pour la bonne cause. Laquelle déjà ? Ah oui, la lutte contre les cyberattaques.

On nous avait déjà fait le coup avec les « boites noires » de la Loi Renseignement du 24 juillet 2015 destinées à analyser le trafic Internet pour détecter des patterns de comportements « suspects » (pour celles et ceux qui s’en souviennent…).


ccyberattaque LPM 2019-2025 : « menace / événement susceptible d’implanter la sécurité » des SI (1) des OIV

Le principe à retenir est tout entier dans la slide ci-dessous.

Nous savons bien que c’est difficile à lire, mais cette littérature légale est difficile à résumer en phrases courtes.

cyberattaque LPM 2019-2025 : "menace / événement susceptible d'implanter la sécurité" des SI (1) des OIV


cyberattaque LPM 2019-2025 : « menace / événement susceptible d’implanter la sécurité » des SI (2) des OSE

Les Opérateurs de Service Essentiel (ou « OSE ») ? Pour comprendre le nouveau dispositif légal, il faut aussi aller piocher dans  la Directive NIS  et en France sa transposition par la loi dite « S.R.S.I. » du 26 février 2018.

Les opérateurs « visés à l’article 5 de la loi SRSI » à laquelle il est fait référence, ce sont des « opérateurs » désignés par le Premier ministre par arrêté (comme les OIV).

cyberattaque LPM 2019-2025 : "menace / événement susceptible d'implanter la sécurité" des SI (2) des OSE


cyberattaque LPM 2019-2025 : chez qui doivent-être déployés les marqueurs techniques ? (1) les opérateurs type « LCEN »

C’est ici que le dispositif légal de la LPM 2018 commence à devenir compliqué.

Le Code de la défense impose désormais aux « opérateurs type LCEN » et aux « opérateurs de communications électroniques » (ou opérateurs CPCE pour faire court) d’implémenter « les marqueurs techniques », bien sûr lorsque ces opérateurs LCEN ou CPCE sont connectés au système d’information d’un OIV ou d’un OSE.

Nous vous rappelons ici que cette loi doit protéger les OIV et les OSE, pas d’abord les opérateurs LCEN ou CPCE.

Les opérateurs au sens de l’article 6 I 1° et 2° LCEN ? Ce sont les éditeurs de site web et les hébergeurs.

cyberattaque LPM 2019-2025 : chez qui doivent-être déployés les marqueurs techniques ? (1) les opérateurs type "LCEN"


cyberattaque LPM 2019-2025 : chez qui doivent-être déployés les marqueurs techniques ? (2.1) les opérateurs type « CPCE »

Les « opérateurs de communications électroniques » de l’article L.32 15° CPCE ?

Historiquement, les « opérateurs de communications électroniques » sont les fournisseurs de réseau ou de service de communications électroniques.

En clair, ce sont les opérateurs de télécommunication (fixe ou mobile) et les Fournisseurs d’Accès Internet (FAI).

cyberattaque LPM 2019-2025 : chez qui doivent-être déployés les marqueurs techniques ? (2.1) les opérateurs type "CPCE"


cyberattaque LPM 2019-2025 : chez qui doivent-être déployés les marqueurs techniques ? (2.2) les opérateurs type « SkypeOut » (CJUE 5 juin 2019)

Depuis le 5 juin 2019, la réalité de la notion d’opérateur de communications électroniques vient d’évoluer d’une manière… tout à fait attendue.

cyberattaque LPM 2019-2025 : chez qui doivent-être déployés les marqueurs techniques ? (2.2) les opérateurs type "SkypeOut" (CJUE 5 juin 2019)


Pour comprendre l’arrêt « SkypeOut » de la CJUE du 5 juin 2019, il faut rappeler que beaucoup d’opérateurs dits « O.T.T. » (Over the Top) considéraient ne pas tomber sous le coup de la législation EU sur les communications électroniques (le « paquet télécom » comprenant les Directive n°2002/19 « accès », 2002/20 « autorisation », 2002/21 « cadre » et 2002/22 « service universel »).

Les OTT ? Ce sont sont les fournisseurs d’applications de messagerie (texte / vidéo / voix) qui utilisent les « tuyaux » des opérateurs de communications électroniques historiques (FAI ou opérateurs télécom) pour rendre leur service avec leurs logiciels. Ce sont par exemple lesMessenger / FaceTime/ Signal / etc.

Leur raisonnement juridique était simple : les OTT ne gèrent pas de réseau, DONC ils n’ont pas à appliquer le « paquet télécom ». Et pour enfoncer le clou, le « rejet » de la législation « service de communications électroniques » figurait en toute lettre dans les contrats conclus avec leurs utilisateurs (allez lire l’arrêt, c’est écrit !).

Il nous semble utile de préciser que les régulateurs des pays membres de l’UE (comme l’ARCEP en France ou l’Institut belge des services postaux et des télécommunications « IBPT ») n’étaient pas du tout de cet avis.

C’est la raison de la jurisprudence SkypeOut : après des années de procédure, l’autorité de régulation belge a obtenu de la CJUE la reconnaissance de la qualité d’opérateur de communications électroniques pour SkypeOut car :

  • Skype fournissait un service de VOIP (voix par Internet) contre rémunération de ses utilisateurs;
  • SkypeOut nécessitait l’utilisation d’un numéro de téléphone fixe ou mobile attribué par le régulateur national concerné (belge en l’espèce).

En application de ces deux critère, ce n’est pas simplement la fonctionnalité « SkypeOut » qui permet la re-qualification de ce service précis en « service de communications électroniques », mais l’ensemble des services rendus par Skype Communication (aujourd’hui filiale de Microsoft).

Evidemment, pour Skype, cela change la donne…

Pour rappel, en France, la non-déclaration de l’activité de fournisseur de « service de communications électroniques » sur le « territoire national » est aujourd’hui passible d’un an de prison et de 75.000 €uros d’amende (article L.39 CPCE). Quand même…


cyberattaque LPM 2019-2025 : chez qui doivent-être déployés les marqueurs techniques ? (2.3) les opérateurs de « service de communications électroniques »

Que les OTT tremblent… car voici venir le « Code des Communications Electroniques européen » !

Oubliez le « Paquet télécom » de 2002 ! Le 18 décembre 2018, sa réforme a été adoptée sans bruit ni publicité par l’UE.

Bienvenue à la Directive (UE) 2018/1972 du 11 décembre 2018 « établissant le code des communications électroniques européen ».

cyberattaque LPM 2019-2025 : chez qui doivent-être déployés les marqueurs techniques ? (2.3) les opérateurs de "service de communications électroniques"


Le nouveau Code européen est applicable à compter du 21 décembre 2020. Il est – évidemment – d’ordre public, une fois chaque Etat de l’UE en aura transposé les règles dans son droit national.

En substance ? Sera « opérateurs de service de communications électroniques » tout prestataire permettant l’échange de communications « interpersonnelles » entre ses utilisateurs.

Nous n’insisterons pas sur le nouveau régime des opérateurs de service de communications électroniques, nous vous préparons déjà une présentation sur cette réforme qui devrait faire grincer des dents…

Bref, et en synthèse, dès le 21 décembre 2020, toutes les entreprises opérant un service de communications électroniques seront potentiellement impactées par la LPM de 2018 avec l’obligation, à la demande de l’ANSSI, de mettre en oeuvre ces fameux « marqueurs techniques »…

ALERTE ! Les opérateurs de « service de communications électroniques » tomberont sous le coup du projet de Règlement « e-Privacy » qui règlementera la collecte et le traitement des données de « contenu » et des « métadonnées »…   des opérateurs de « service de communications électroniques » au sens du Code européen qui entrera en vigueur le 21 décembre 2020.

Code des Communications Electroniques européen


cyberattaque LPM 2019-2025 : le but des « marqueurs techniques » chez les opérateurs de communications électroniques ?

L’objectif de la sonde d’analyse de trafic IP ? Détecter des éléments de cyberattaque, des adresses IP (connues pour être des sources malveillantes de toute la communauté des professionnels civils/militaires de la cyber dans le  monde), etc.

Pour les « traces de logs », cela signifie la constitution notamment de listes noires d’identifiants de connexion, et de « modus operandi » d’attaques. Une fois ces data stockées, il s’agira de procéder à leur traitement dit « algorithmique » (en fait purement logiciel) pour déterminer par exemple les « patterns » d’action des attaquants.

Si vous voulez encore plus de détail technique sur les « marqueurs techniques » ou sur les données récoltées par ces marqueurs, il faut passer au niveau ingénieur. Là, pour vous documenter, ce sont les podcasts NoLimitSecu que nous vous suggérons vivement d’aller écouter. Ou appelez l’ANSSI (qui devrait ne pas vous répondre…).

En langage administratif type « Code de la défense », voici ce qu’il faut en retenir  (le détail complet figure dans la présentation en BD accessible dans le slider en fin de ce post)  :

cyberattaque LPM 2019-2025 : le but des "marqueurs techniques" chez les opérateurs de communications électroniques ?


cyberattaque LPM 2019-2025 : des mesures spécifiques pour les « opérateurs de communications électroniques » ???

OUI ! des fois que ce soit simple… Les opérateurs de service de communications électroniques (type CPCE donc, c’est tellement simple à retenir) peuvent poser des marqueurs techniques dans les terminaux de leurs abonnés ?

Les opérateur « voix + data » de votre smartphone et les éditeurs d’Apps de messagerie pourraient y implanter un logiciel pour analyser votre trafic (le mien aussi, je vous rassure) ? NON ! seulement « sur les réseaux…  qu’ils exploitent » (oufffffff).

Ces opérateurs doivent demander l’accord informer l’ANSSI d’abord. Bon. Si c’est pour la sécurité du réseau de l’opérateur, ce n’est pas complètement illégitime. Mais que pour ça, hein ? Pour aucune autre finalité, n’est ce pas ?

Là est potentiellement  le danger, même dans notre démocratie. Qui résistera un jour à la tentation d’aller traiter ces énormes quantités de métadonnées pour un usage très  personnel, fort éloigné des droits et libertés protégés par la République Française ?

Notons ici qu’est retenue la notion de « finalité » du traitement des données collectées par les marqueurs techniques. Comme dans le RGPD…

C’est surtout l’ANSSI qui exploitera les data provenant des « marqueurs techniques ».

Attention, la slide ci-dessous « pique un peu les yeux » (je cite mon ami Frans…).

cyberattaque LPM 2019-2025 : des mesures spécifiques pour les "opérateurs de communications électroniques" ???


cyberattaque LPM 2019-2025 : et une nouvelle obligation de notification à l’ANSSI, une ! 

Un schéma simple devrait être en mesure de vous éclairer. Voici notre proposition (merci « la Nef des Fous« ) :

cyberattaque LPM 2019-2025 : et une nouvelle obligation de notification à l'ANSSI


cyberattaque LPM 2019-2025 : une information aux « abonnés » ???

Grande nouveauté de la LPM 2018 : si l’ANSSI le « demande » (avec le sourire ?), les opérateurs de communications électroniques DOIVENT « informer » leurs abonnés !!!

Comme dans le RGPD en somme, sauf qu’ici, pas de critère compliqué du style « en cas de risque élevé pour la protection et les droits et libertés des personnes physiques » (vous trouvez le fondement ?).

Non, ici, c’est plus simple : c’est l’ANSSI qui décide. On se doute qu’il faudra que ce soit un peu grave pour qu’on arrive à ce stade.

cyberattaque LPM 2019-2025 : une information aux "abonnés" ???


cyberattaque LPM 2019-2025 : la durée de conservation des éléments provenant des « marqueurs techniques » ?

Si nos Services spécialisés de renseignement, dans 1 des 7 cas rappelés ci-dessous, récupèrent  des données de cyberattaque à l’occasion de leurs (comment dire…)  activités ?

cyberattaque LPM 2019-2025 : la durée de conservation des éléments provenant des "marqueurs techniques" ?


Ces données peuvent être conservées au maximum 10 ans par l’ANSSI mais sans limite de durée à des fins de renseignement « défense et promotion des intérêts fondamentaux de la Nation » (définition détaillée dans la slide ci-dessous).

Pour celles et ceux qui voudraient approfondir leur compréhension de la loi « Renseignement », cliquez ici pour accéder à ma présentation sur le sujet.

défense et promotion des intérêts fondamentaux de la Nation


cyberattaque LPM 2019-2025 : et si on en profitait pour modifier (en douce) la loi « Renseignement International » ?

Comme dirait Barbapapa : « hup hup hup ? barbatruc« . En technique législative, on appelle cela un « cavalier » au sens ou ça passe vite à l’Assemblée et souvent inaperçu du public

En plus, après, il faut déchiffrer le texte (qui procède par renvoi vers d’autres) pour comprendre. Ici, la clé de lecture est simple mais pénible à mettre en oeuvre (comme un chiffrement de Vigenère).

Pour celles et ceux qui voudraient creuser  le sujet de la loi « Renseignement international », je vous invite à cliquer ici pour accéder à ma présentation (d’époque) sur le sujet.

cyberattaque LPM 2019-2025 : et si on en profitait pour modifier (en douce) la loi "Renseignement International" ?


cyberattaque LPM 2019-2025 : la présentation complète en BD dans le slider ci-dessous