E. LE VOLET NORMATIF SUR LA CYBERDÉFENSE ET LE RENSEIGNEMENT
L'article 19 du projet de loi introduit deux procédures permettant à l'Agence nationale de la sécurité des systèmes d'information (ANSSI) de renforcer ses moyens de détections des cyberattaques. La première invite les opérateurs à installer des systèmes de détection sur leurs réseaux et leur permettra de bénéficier des marqueurs fournis par l'ANSSI dans certaines circonstances, en contrepartie ils devront déclarer ces installations et transmettre les alertes à l'ANSSI. En cas d'attaques, l'ANSSI pourra leur demander de prévenir leurs usagers. Les données collectées non utiles devront être immédiatement détruites. L'Autorité de régulation des communications électroniques et des postes (ARCEP) supervisera cette procédure.
La seconde permet à l'ANSSI, d'une part en cas de menace susceptible de porter atteinte aux système d'information des autorités publiques ou des opérateurs d'importance vitale d'installer et d'exploiter des systèmes de détection sur les réseaux des opérateurs ou chez certains fournisseurs de service de communication au public en ligne ; et, d'autre part, en cas d'évènement affectant ces utilisateurs détecté par la première procédure, de recueillir des données techniques nécessaires à l'analyse de cet évènement. L'ARCEP contrôlera ce dispositif.
L'introduction de cet article à l'occasion de la LPM n'est qu'une première étape puisque reste encore à préciser, comme ce fut le cas en 2013 pour la mise en oeuvre réglementaire des obligations de protection pour les opérateurs d'importance vitale (OIV), qui n'a été achevée qu'au terme d'une procédure concertée qui a duré près de 5 ans. Un travail de concertation approfondie avec les opérateurs reste à conduire. Pour autant, il serait inopportun de remettre en question ces dispositifs de protection compte tenu de l'amplification des menaces. Ils pourraient être utilement étendus aux opérateurs de services essentiels (OSE) au sens de la directive (UE) 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union. Des améliorations à ce dispositif sont proposées par votre commission.
L'article 21 étend aux cyber-combattants le bénéfice de « l'excuse pénale ». Il s'agit de compléter les dispositions prévues dans le code de la défense afin de pouvoir faire bénéficier des cyber-combattants du régime dit « d'excuse pénale » dans le cadre de leur participation à des opérations extérieures.
Deux articles concernent le renseignement dans la partie normative du projet de LPM .
L'article 22 met en place une procédure simple d'autorisation pour la DGA et les forces armées afin de qualifier les équipements mettant en oeuvre des techniques de renseignement autorisé par la loi. Une procédure d'information et de contrôle minimal de la Commission nationale de contrôle des techniques de renseignement (CNCTR) est prévue. L'article 22 bis , introduit par amendement à l'Assemblée nationale, porte des dispositions relatives à la commission parlementaire de vérification des fonds spéciaux, à la demande de cette dernière.