CHAPITRE III
DISPOSITIONS RELATIVES A LA CYBER-DEFENSE
Article 19
« Mise en ceuvre de dispositifs de détection des attaques informatiques par les opérateurs de
communications électroniques »
I.—Le code des postes et des communications électroniques est ainsi modifié :
1° La section 1 du chapitre II du titre Ter du livre II est complétée par un article L. 33-14 ainsi
rédige :
«Art, L. 33-14. — Pout les besoins de la sécurité et de la défense des systémes d’information,
les opérateurs de communications électroniques peuvent recourir, sur les réseaux de
communications électroniques qu’ils exploitent, a des dispositifs mettant en ceuvre des
marqueurs techniques a seules fins de détecter des événements susceptibles d’affecter la
sécurité des systémes d’information de leurs abonnés.
« Lorsque l’autorité nationale de sécurité des systémes d’information a connaissance d'une
menace susceptible de porter atteinte a la sécurité des systémes d’information, elle peut
demander aux opérateurs de communications électroniques, aux fins de prévenir la menace,
@'exploiter ces dispositifs, en recourant, le cas échéant, a des marqueurs techniques qu’elle
leur fournit.
« Lorsque sont détectés des événements susceptibles d’affecter la sécurité des systémes
information, les opérateurs de communications électroniques en informent sans délai
Vautorité nationale de sécurité des systémes d'information.
« Les données ainsi recueillies autres que celles directement utiles a la prévention des
menaces sont immédiatement détruites,
«A la demande de l’autorité nationale de sécurité des systémes d’information, les opérateurs
de communications électroniques informent leurs abonnés de la vulnérabilité ou de latteinte
de leurs systémes d’information,
« Les modalités d’application du présent article sont précis¢es par décret en Conseil d’Etat. » ;
2° L’article L. 36-7 est complété par un 12° ainsi rédigé :
« 12° Est chargée, en application de l'article L. 2321-5 du code de la défense, de veiller au
respect par I'autorité nationale de sécurité des systtmes d'information des conditions
application des dispositions de l'article L. 2321-2-1 et du second alinéa de l'article L. 2321-
3 duméme code. »
Il. ~Le code de la défense est ainsi modifié :
1° Aprés l'article L. 2321-2, il est inséré un article L. 2321-2-1 ainsi rédigé :
«Art, L. 2321-2-1, ~ Lorsqu’elle a connaissance d’une menace susceptible de porter atteinte &
la sécurité des systémes d'information des autorités publiques ou des opérateurs mentionnés
aux articles L. 1332-1 et L. 1332-2 du code de la défense, I’autorité nationale de sécurité des
systémes d°information peut mettre en czuvre, sur le réseau d’un opérateur de communicationsélectroniques ou sur le systéme d’information d’une personne mentionnée au 1 ou au 2 du I de
Particle 6 de la loi n® 2004-575 du 21 juin 2004 pour la confiance dans l'économie
numérique, un systéme de détection recourant & des marqueurs techniques a seules fins de
détecter des événements susceptibles d’affecter la sécurité des systémes d'information. Ce
systéme est mis en ceuvre pour la durée et dans la mesure strictement nécessaires 4 la
caractérisation de la menace.
« Les agents de l’autorité nationale de sécurité des systémes d’information sont autorisés, aux
seules fins de caractériser la menace affectant les systémes d'information des autorités
publiques ou des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2, a procéder au
recueil et & ’analyse des seules données techniques pertinentes, 4 l’exclusion de toute autre
exploitation.
« Les données recueillies autres que celles directement utiles a la prévention des menaces sont
immédiatement détruites.
« Les données techniques utiles a cette caractérisation, recueillies directement par l'autorité
nationale de sécurité des systémes d’information en application du premier alinéa ou obtenues
en application du deuxiéme alinéa de l'article L. 2321-3 ne peuvent étre conservées plus de
cing ans, » ;
2° L’article L. 2321-3 est complété par un alinéa ainsi rédigé :
« Lorsque T’autorité nationale de sécurité des systémes d’information est informée, en
application de 'article L. 33-14 du code des postes et des communications électroniques, de
T’existence d’un événement affectant la sécurité des systémes d’information d’une autorité
publique ou d’un opérateur mentionné aux articles L. 1332-1 et L. 1332-2, les agents
mentionnés au premier alinéa peuvent obtenir les données techniques strictement nécessaires
a l’analyse de cet événement. Ces données ne peuvent étre exploitées qu’aux seules fins de
caractériser la menace affectant la sécurité de ces systémes, & |’exclusion de toute autre
exploitation. » ;
3° Aprés article L. 2321-4, il est ajouté un article L. 2321-5 ainsi rédigé :
« Art, L. 2321-5, ~ L’Autorité de régulation des communications électroniques et des postes
est chargée de veiller au respect par I’autorité nationale de sécurité des systémes
d'information des conditions d’application des dispositions de l'article L. 2321-2-1 et du
second alinéa de article L. 2321-3. »