Afin de lutter contre l’augmentation du risque cyber en France, les députés ont adopté plusieurs mesures visant à renforcer les pouvoirs de l’Agence nationale de sécurité des systèmes d’information (ANSSI). Toutes ces dispositions sont inscrites dans la loi de programmation militaire (LPM) 2024-2030 qui a été votée le 1er juin 2022 au sein de l’Assemblée Nationale.

Les législateurs tentent de réagir pour réduire le risque cyber en France

Dans ce projet de loi, la question des cyberattaques se pose. Depuis plusieurs années, le risque cyber est en plein boom. Guillaume Poupard, ancien président de l’ANSSI, avait tiré la sonnette d’alarme juste avant de quitter ses fonctions, pointant du doigt l’émergence de nouvelles méthodes de piratage, plus sophistiqué qu’auparavant. C’est par ailleurs, ce que l’agence a mis en avant dans son panorama 2022 de la cybermenace.

De ce fait, le chapitre V du projet porte sur la sécurité des systèmes d’information (SI), mettant directement à contribution l’ANSSI. Cette dernière verrait ses pouvoirs renforcés grâce aux articles 32, 33, 34 et 35 de cette future réglementation. Ainsi, à la place des titulaires de noms de domaine sur internet, elle pourrait prendre toutes les mesures nécessaires dans le but de « garantir la défense et la sécurité nationale ». l’ANSSI aura le pouvoir, sans se concerter avec les propriétaires, de bloquer, suspendre ou rediriger ces noms de domaines vers des serveurs neutres ou sécurisés.

De la même manière, le gendarme français de la cybersécurité pourrait avoir accès à des « données techniques non-identifiantes » et utiliser des « dispositifs de marqueurs techniques » permettant de recueillir des données réseau ou celles d’un SI. L’avis des entités possédant ces données ne serait pas pris en compte, à partir du moment où l’objectif annoncé serait de limiter le risque de cyberattaques.

Un renforcement des pouvoirs de l’ANSSI qui ne fait pas l’unanimité

Si les quatre articles permettant de renforcer le pouvoir de l’ANSSI ont bel et bien été adoptés, elles n’ont pas obtenu l’unanimité. Parmi les députés présents dans l’hémicycle pour débattre autour de ce projet de loi, ceux de la Nupes ont exprimé leurs inquiétudes, pointant du doigt certains manquements au droit de contestation. Parmi eux, Ugo Bernalicis (La France Insoumise). Il considère notamment que « les nouvelles prérogatives de l’ANSSI ressemblent vachement à ce qu’on fait pour le renseignement »

Le député considère notamment que la durée laissée aux propriétaires de noms de domaines pour contester les agissements de l’ANSSI, à savoir 48 heures, est trop courte. « 72h serait le minimum pour pouvoir éventuellement faire valoir ses droits devant le tribunal administratif qui est aussi le délai minium du référé liberté », a-t-il précisé.

La LPM devrait être promulguée en juillet 2023, après que l’ensemble des articles soient débattus puis votés par le Sénat. Si les sénateurs se montrent plus inquiets que les députés, au point de ne pas approuver cette réglementation, il se pourrait bien que le processus de validation de la loi s’allonge.