Déploiement de dispositifs pour caractériser une menace

Article L. 2321-2-1 du code de la défense

Publié le 18 Août 2022 Mis à jour le 13 Novembre 2023

L'article L. 2321-2-1 du code de la défense autorise l’Agence nationale de la sécurité des systèmes d’information (ANSSI) à déployer un dispositif de détection sur le réseau d'un opérateur de communications électroniques ou sur le système d'information d'un fournisseur d'accès (FAI) ou d'un hébergeur (HEB), au plus près d’un équipement utilisé par un attaquant en cas de menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques, des opérateurs d'importance vitale (OIV) ou des opérateurs de services essentiels (OSE). Le respect du cadre réglementaire est soumis au contrôle par l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP), autorité administrative indépendante.

A qui s'adresse cette réglementation ?

Cette réglementation s'applique aux opérateurs de communications électroniques ou aux personnes mentionnées aux 1 ou 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

Quelles sont ses principales dispositions ?

Ces dispositifs, mis en œuvre sur le réseau d'un OCE ou sur le système d'information d'un FAI ou d'un HEB, permettent d’identifier directement de nouvelles victimes potentielles sur le territoire national en analysant les connexions de l’équipement supervisé. Ils contribuent également à l’identification d’autres équipements de l’infrastructure de l'attaquant et peuvent permettre l'identification de victimes à l’étranger.

Grâce à son positionnement de proximité, ce dispositif permet d’analyser le trafic malveillant de l’équipement ainsi supervisé afin de caractériser une menace informatique et d’en prévenir les conséquences pour de potentielles victimes.

Ce dispositif donne ainsi la possibilité à l’ANSSI, lorsqu’elle a connaissance d’une menace grave et imminente sur les systèmes d'information d’une autorité publique, d’un OIV ou d’un OSE, de mettre en place un dispositif de détection local sur un serveur d’un hébergeur ou un équipement d’un opérateur de communications électroniques contrôlé par un attaquant. Le dispositif de détection est mis en œuvre pour une durée limitée sur un périmètre limité, et dans la mesure strictement nécessaire à la caractérisation de la menace.

Pour aller plus loin :

- Références réglementaires

Article L. 2321-2-1 du code de la défense
Articles R. 2321-1-1 à R. 2321-1-5 du code de la défense
Arrêté du 18 février 2020 pris en application de l'article R. 2321-1-5 du code de la défense fixant la tarification applicable aux prestations effectuées au titre de l'article L. 2321-2-1 du code de la défense par les opérateurs de communications électroniques et les personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique

Etendre le champ de détection avec les OCE

Articles L.33-14 du CPCE et L. 2321-3 al.1 et 2 du code de la défense

Découvrir

Message d’alerte aux abonnés des OCE

Les systèmes d’information étant en perpétuelle évolution, avec notamment l’installation de nouveaux services, leur niveau d’exposition vis-à-vis d’attaques sur Internet varie continuellement.

Découvrir

Que recherchez-vous ?

Découvrir l'ANSSI

Découvrir la cybersécurité

Développer des solutions de confiance

Sécuriser son organisation

Se former à la cybersécurité

Connaître et explorer

S'informer sur la réglementation