Intervention de Sabine Thillaye

La loi de programmation militaire dont nous débattons depuis le début de la semaine comprend un chapitre consacré à la sécurité des systèmes d'information, qui compte lui-même quatre articles. C'est ce sujet, qui concerne au plus près les libertés publiques, qui a fait l'objet d'une délégation à la commission des lois et j'ai l'honneur d'avoir été désignée rapporteure pour avis.

Les articles 32, 33 et 34 prévoient de créer de nouveaux dispositifs dans notre droit, tandis que l'article 35 prolonge les dispositions d'ores et déjà votées et éprouvées par l'Agence nationale de la sécurité des systèmes d'information (Anssi) et les acteurs du numérique.

Ce texte témoigne de la difficulté parfois à légiférer. Il faut assurer la sécurité nationale contre des organisations qui n'ont plus rien à voir avec le gentil hacker qui trafiquait seul dans son garage. Ce faisant, les mesures prises doivent respecter la liberté d'entreprendre et ne pas créer de distorsions de concurrence. Enfin, nous devons veiller au respect des libertés fondamentales. Ces trois dimensions doivent être traitées de façon équilibrée.

L'article 32 permet à l'Anssi, en cas de menace susceptible de porter atteinte à la sécurité nationale, de prescrire plusieurs mesures graduelles affectant les noms de domaine, en particulier leur blocage ou leur suspension.

Aux fins de détection et de caractérisation des attaques informatiques, l'article 33 permet aux agents de l'Anssi d'être destinataires des données techniques non identifiantes enregistrées sur les serveurs des fournisseurs de systèmes de résolution de noms de domaine.

L'article 34 renforce les exigences de transparence qui s'appliquent aux éditeurs de logiciels en contraignant ces derniers à informer l'Anssi et leurs utilisateurs en cas de vulnérabilité significative ou d'incident informatique compromettant la sécurité de leurs systèmes d'information.

Enfin, l'article 35 prévoit plusieurs dispositions pour renforcer les capacités de détection des cyberattaques et l'information des victimes. En particulier, il devrait permettre à l'Anssi, en cas de menace grave sur les systèmes d'information des autorités publiques et des opérateurs stratégiques, de mettre en œuvre des dispositifs de recueil de données. D'autre part, ce même article rend obligatoire, pour les opérateurs de communications électroniques stratégiques, l'installation de systèmes de détection des attaques informatiques.

Quatre-vingt-onze amendements ont été discutés en commission des lois, dont t quarante-six ont été adoptés. L'ensemble de ces amendements s'inscrit dans un objectif de clarification et d'encadrement des prérogatives dévolues à l'Anssi.