aunt Ext Fert REPUBLIQUE FRANCAISE HIER MINISTRE Secretariat genéral Paris, le 24 mars 2016 ergata con ACESIANSSUDG- et de ja sécurité nationale Nac Agonce nationale de la sécunté des systémies d information NOTE a destinataires in fine Objet Evolution des mesures Iégislatives relatives a la cryptographic Les. attaques informatiques sont en ts forte progression, tant en nombre qu’en niveau de sophistication, Les motivations des attaquants sont muntiples : gain financier, revendication politique ou religicuse, espionnage 4 toutes fins ef, dans les cas les plus graves, volonté de déteuire par des moyens informatiques des infrastructures critiques. Lorigine des attaquants est tout simples individus isoles, groupes constitués, criminalité organisée ou encore entités ératiques dotées de moyens considsrables. Face A cetie trés forte menace pour notte sécurité nationale, notte économie et nos eoncitoyens, la sécurité du numérique, condition de la confiance et gage de réussite de la transition numérique, est considérée comme une priorité en France, Parmi les outils de protection indispensables figurent au premier rang les moyens de cryptographic et notamment les technologies de chiffrement de Finformation, Fux seuls permeitent d'assurer une sécurité au juste niveau lors de ka transmission, du stockage ot de | ‘cds aux données numériques sensibles. Les applications sont (és nombreuses hanges converts par le secret de la défense nationale, données de santé ou de professions réglementées, données techniques, acontmerciales et stratégiques des entreprises, données personnelles des citoyens,.. Le développement et I'usage généralisé de ces moyens détensifs doivent par conséquent étre_systématiqu voir régles situations les plus critiques. ichtairement imposés dans les nent encourage: La loi frangaise donne explicitement la liberté d'usage des moyens de eryptotogie. Par ailleurs, te code pénal et le code de la séeurité intérieure prevoient et encadrent kt possibilité dexiger le concours des prestataires de eryptologie afin d’aider au contoumement des mécanismes de sécurité lorsque ceci est possible et nécessaire, En pratique, il s'agit en général a chiffiement si elles sont disponibles ou bien de neutraliser des mécanismes de contrite d'acees par un aceés physique aux équipements sécurisés. 1a logique mi Wee est celle dune « obligation de moyen » encourageant fe développement de solutions sécurisées robustes tout en permettant, autant que possible, leur contournement en eas de besoin, ibtenir les clés de eenToute evolution de la legislation vers une mesure générale « Uobligation de résultat » visant a garantir la possibilité daccéder & des informations protégées aurait pour effet désastreux d'imposer aux concepteurs de produits et de services de sécurité un affaiblissement des mécanismes cryplographiques employés. Or il est techniquement impossible d'assurer que ce dispositif ne benéliciera yu'aux personnes autorisées. Bien au contraire, Mensemble des experts. dont ceux de VANSSI, autorité nationale de défense et de sécurité des systémes d'information, s'accordent sur le fait que l'affaiblissement des mécanismes cryptographiques ou bien introduction volomtaire de mécanismes de contoumement sont systématiquement susceptibles ¢étre exploités par des attaguants AUX protils variés, Enfin, il convient de noter que les technologies robustes de cryptographic, longtemps réservées & une communaute tres restreinte, sont aujourd'hui largement diffusées et relativement aisées & mettre en suvre, Le développement de logiciels non contrbtables, faciles & distribuer et offrant un niveau de sécurité trés élevé est par conséquent a la portée de nimporte quelle organisation criminetle Imposer un affaiblissement généralisé des moyens eryptographiques serait attentatoice & la sécurité numérique et aux libertés de limmense mujorité des ulilisateurs respectucux des rapidement inefficace vis-a-vis de la minorité ciblée Pour atteindre des objectits opérativanels Wacees 4 des données chifTtées, la coopération judiciaire avec les fournisseurs de produits ot de services sécurisés reste fa procédure 4 privilégier. approche devait & Vexpéricnce se révéler insulfisante, la seule démarche effivace, bien que complex ‘1 cofiteuse, consisterait & développer les techniques d’intercep\ ot déja prévues et entcadées par la loi