La fin d’année 2022 a été riche en publications, et en particulier en termes de directives et de règlements (cf articles sur la directive NIS ou le règlement DORA). 2023 n’est cependant pas en reste !
En effet, face à une situation géopolitique tendue, la nouvelle Loi de Programmation Militaire (LPM), adoptée par le parlement le 1er août 2023, va s'appliquer pour la période 2024-2030. Elle met fin à l'ancienne LPM 2019-2025. Le document de 58 pages contient 8 chapitres, 71 articles, mais c’est surtout le chapitre 5, et ses 6 articles, qui a retenu notre attention.
Cette mise à jour vise à fixer de nouveaux objectifs en matière de défense nationale et y allouer un budget assez conséquent (413,3 milliards d’euros). Sur ce budget, 4 milliards d'euros seront dédiés à la partie cyber !
Chapitre 5 : Sécurité des systèmes d'informations
Article 64 : Quand une menace portant atteinte à la sécurité nationale est détectée sur un enregistrement DNS (autrement dit, cela peut être la compromission d'un site web et de son enregistrement DNS), l'ANSSI doit notifier le propriétaire de cet enregistrement afin que celui-ci neutralise la menace. Ainsi, en l'absence d'action dans un temps déterminé par l’ANSSI, l'ANSSI peut demander le blocage provisoire de cet enregistrement, la suspension du domaine ou encore la redirection du trafic vers ses serveurs internes pour analyse.
D’ailleurs, les attaques principales pouvant menacer les intérêts de l'Etat sur la partie DNS peuvent être : défacement de site, détournement de trafic, dénis de service vers l'Etat, et bien d'autres encore.
Et qui est concerné par cet article : tout le monde !
L'article 65 stipule que l'ANSSI peut demander aux fournisseurs de système de résolution de noms de domaine de lui fournir des données techniques sur un domaine.
L'article 66 oblige les éditeurs logiciels (gratuits ou payants) français, ou avec un siège sur le territoire national, à remonter les vulnérabilités significatives à l'ANSSI. Par conséquent, si aucune mesure corrective n'est mise en place d'un délais imparti, l'ANSSI pourra rendre publique la Common Vulnerabilities and Exposures (CVE) sans patch de la part de l'éditeur.
L’article 67 mentionne qu'afin de détecter, d'anticiper, caractériser des menaces ou protéger des fournisseurs de communications publiques, l'ANSSI, ou sur demande de l’Autorité de Régulation des Communications Electroniques, des Postes et de la distribution de la presse (ARCEP), peut mettre en place des sondes sur les réseaux ou sur le Système d'Information (SI) de Fournisseurs d'Accès à Internet (FAI) publique comme privée, mais aussi à toute entité proposant des services de communications dans le cyberespace (article 6 de la loi no 2004-575 du 21 juin 2004). D’une façon générale, ces services de communications peuvent être : des services de messagerie, des applications, des plateformes de contenu, des sites web, etc. En d’autres termes, ces services sont tous les moyens permettant à un utilisateur de communiquer et échanger sur l'Internet.
L'article 68 précise que l'ANSSI aura l'obligation de rendre des comptes au gouvernement et au parlement sur ses activités (afin notamment d'anticiper les menaces pour 2035-240).
Le rapport annexé
Le rapport annexé de la LPM augmente l'importance de la qualification SecNumCloud de l’ANSSI. En ce sens, toutes données sensibles relatives à la défense, aux secrets protégés par la loi ou nécessaires à l’accomplissement des missions essentielles du ministère des armées, devront être hébergées sur des serveurs respectant cette qualification ou une qualification européenne garantissant un niveau de sécurité au moins équivalent (le label SecNumCloud reste à ce jour la qualification la plus exigeante dans l'univers du cloud).
Par ailleurs, la Direction Générale de l’Armement (DGA) renforcera ses études scientifiques sur des paris technologiques pouvant être décisif pour la guerre électronique et cyber. Le rapport annexé promeut parmi ces moyens scientifiques : les technologies quantiques que ça soit par la fibre ou par les satellites (les technologies satellites font partie des moyens de communication important pour la France mais aussi pour l'UE), l'Internet of Things (IoT), la transition vers la cryptographie post-quantique !
Enfin la France participera au projet du "bouclier cyber" européen.
Finalement cette loi pourrait être comparée à une Politique de Sécurité du Système d'Information (PSSI) qui fixe les objectifs de sécurité et qui sont mis à jour régulièrement en fonction de l'évolution des technologies.
Accompagnement Nomios
Nomios, intégrateur réseau et sécurité, agissant pour la sécurisation et l'optimisation des infrastructures de solution informatique, peut vous aider améliorer votre cybersécurité dans le cadre de l’adoption de la nouvelle mouture de la LPM :
- En sécurisant vos infrastructures réseau ;
- En sécurisant vos serveurs web ;
- En sécurisant les DNS ;
- En actualisant ou mettant en place une politique cryptographique en adéquation avec cette loi ;
- En mettant en place ou établir une stratégie sur les systèmes de distribution quantique, Quantum Key Distribution (QKD) ;
- En vous accompagnant dans votre démarche d'obtention ou de préparation à la qualification SecNumCloud ;
- En contactant notre département spécialisé dans l’IoT.
Pour en savoir plus, n’hésitez pas à prendre contact avec nous via le formulaire de contact.
Vous souhaitez en savoir plus sur ce sujet ?
Nos experts et nos équipes commerciales sont à votre service. Laissez vos coordonnées et nous vous contacterons rapidement.