La ministre de l'économie numérique Fleur Pellerin et le ministre de l'industrie Arnaud Montebourg ont signé la semaine dernière un décret qui oblige les FAI et autres opérateurs télécoms à se soumettre à des contrôles de l'Etat, qui veut inspecter les réseaux dans un objectif de sécurité nationale.

Il y a bientôt deux ans, le gouvernement de François Fillon avait renforcé les prérogatives de l'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI) pour lui ajouter une fonction de défense nationale contre les cyber-attaques que pourraient subir les infrastructures françaises. A une époque où les opérations de guerre débutent par une offensive contre les communications électroniques de l'adversaire (voir à ce sujet le plan de bataille numérique qu'aurait préparé Israël contre l'Iran), la sécurité des réseaux des FAI est devenue plus que jamais un enjeu militaire de premier plan.

La France considère ainsi que les réseaux télécoms des opérateurs privés font partie des installations dites "d'importance vitale", dont le code de la défense dit que "l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation".

En 2011, l'ancien gouvernement avait transposé par ordonnance le Paquet Télécom adopté à Bruxelles, et ajouté au code des postes et communications électroniques un article L33-10 qui dispose que "le ministre chargé des communications électroniques peut imposer à tout opérateur de soumettre ses installations, réseaux ou services à un contrôle de leur sécurité et de leur intégrité". Mais le décret d'application n'avait jamais été publié, ce qui est désormais réparé.

Depuis samedi, le ministère de l'économie numérique peut demander à l'ANSSI, à un autre service de l'Etat, ou à un organisme dûment habilité, de contrôler une fois par an la sécurité et l'intégrité des réseaux de tout opérateur de communications électroniques (opérateur mobile, FAI, fournisseur de transit,…). L'audit peut déboucher sur un satisfecit, ou sur des recommandations de mises en conformité. Cependant, les textes sont très flous sur les mesures à mettre en oeuvre.

En effet, le code des télécommunications dit à cet égard que les opérateurs doivent se conformer "aux prescriptions techniques en matière de sécurité éventuellement édictées par arrêté". Ce dernier, à notre connaissance, n'existe pas. Les mesures sont donc prises dans une sorte de négociation informelle entre l'Etat et les opérateurs privés, sans que l'on sache par exemple s'il doit être prévu des mécanismes permettant de couper les communications avec un pays tout entier, ou d'intercepter des communications.

Par ailleurs, le texte ne prévoit pas de sanction pour les opérateurs qui refuseraient de se soumettre aux contrôles ou aux recommandations. Mais dans un avis publié avec le décret, l'Arcep rappelle qu'elle dispose elle-même d'un pouvoir de sanction en cas de manquement aux obligations de sécurité, et qu'il suffirait donc que le gouvernement la saisisse.

Partager sur les réseaux sociaux

Articles liés