La LPM 2018 ? cyber attaque ? Le titre ne vous évoque rien ?
« Cyber attaque« , vous devez commencer à avoir une idée quand même…
Mais LPM 2018 ? LPM pour Loi de Programmation Militaire n°2018-607  du 13 juillet 2018 pour les années 2019 à 2025 ?
Le chapitre spécial cyber sécurité de la LPM 2018 est situé dans les articles 34 et suivant de ce chef d’oeuvre de la littérature législative bleu-blanc-rouge…
LPM 2018 ? Vous vous dites (fort logiquement) que ça ne devrait concerner que les militaires…
Et bien non !!!
Sont impactés les opérateurs de communications électroniques (au sens de l’article 32 15° du Code des Postes et Communications Electroniques ou « CPCE ») ainsi que les « prestataires » listés aux  articles 6 I 1) et 2) de la LCEN (Loi sur la Confiance dans l’Economie Numérique du 21 juin 2004). Ces « prestataires », ce sont les éditeurs de site web et les hébergeurs.
Devant cette quantité excessive d’acronymes et de fondements légaux, nous vous proposons DE NE PAS CAPITULER devant cette LPM 2018 !
Tout le détail du régime légal de la LPM 2018 et des nouvelles obligations de lutte contre les cyberattaques est dans la présentation en BD que vous trouverez à la fin de ce post.
Cet exposé sur la LPM 2018 et les obligations de sécurité des systèmes d’information sera (j’espère) moins pénible grâce aux Editions Delcourt que je remercie encore et encore pour leur autorisation d’illustrer mes propos avec les 4 tomes (magnifiques) des « Souvenirs de la Grande Armée » (et vive le 2° Régiment de chasseurs à cheval !).

---

La genèse de la LPM 2018 avec la loi de 2005 sur les OIV

Je serai bref sur ce point.
Allez relire l’ACTE I de notre étude sur les Opérateurs d’Importance Vitale.
Mais attention, la LPM 2018 étend son périmètre pour impacter des professionnels autres que les OIV !!!
Bienvenue  aux OSE et aux opérateurs de communications électroniques…
C’est pour ça que vous devriez vous intéresser à cette LPM 2018 (par exemple, si vous écrivez des clauses sur la sécurité des systèmes d’information…).

---

Vous pouvez aussi relire l’ACTE II de notre étude sur la notion de « Système d’information d’Importance Vitale ».
Mais, sur ce point encore, la LPM 2018 va au-delà du périmètre coeur SI critique des seuls OIV.

---

LPM 2018 : les actions préventives et défensives depuis 2013

Il fallait bien permettre à l’ANSSI (i) d’identifier les attaquants, de caractériser les attaques et (ii) (surtout) de faire cesser les « effets » de ces attaques.
Pour cela, il fallait permettre à l’ANSSI de « faire des choses » réprimées par le Code pénal.

LPM 2013 : l’obligation pour les OIV de déployer des « systèmes de détection » dans leur SIIV

Première étape de la fusée « mesures de prévention » en 2013, l’ANSSI impose aux OIV (à leurs frais exclusifs) de déployer une « boite noire », validée au préalable par l’ANSSI, de détection des intrusions.
Pour creuser ce point, allez relire l’Acte II de la cyber sécurité sur les Systèmes d’Information d’Importance Vitale.
Manifestement, cela ne suffisait pas.
L’étape 2 ? C’est la LPM 2018 !

---

LPM 2018 : « détecter un évènement / une menace susceptible d’affecter la sécurité des systèmes d’information » ???

Le titre est trop long, je le sais bien. Mais comment résumer autrement cette nouvelle notion de la LPM 2018 ?
« un événement« … « une menace« … « susceptible d’affecter« … difficile de faire plus large…
Ce sera bien sûr soumis à l’appréciation souveraine de l’ANSSI (comment faire autrement ?).
En cas de doute sur le crédit à apporter à nos propos, n’hésitez pas à aller lire le décret du 13 décembre 2018, (qui précise la LPM 2018) c’est de la prose tout à fait délicieuse…

---

« sécurité » ? quelle définition dans la LPM 2018 ?

Puisque sont concernés les OIV et les OSE, allons chercher une définition de la « sécurité » des systèmes d’information (pas dans la loi sur les OIV, les règles ne sont pas publiques)… dans la Directive NIS/Loi SRSI.
Chères lectrices, chers lecteurs, chers auditeurs, chères auditrices des podcasts NoLimitSecu, arrêtez de vous faire des noeuds au cerveau !!!
Aujourd’hui, grâce à la Directive N.I.S. et à la loi française de transposition SRSI du 26 février 2018, il existe une définition légale de la « sécurité » des systèmes d’information.
= DISPONIBILITE + AUTHENTICITE + INTEGRITE + CONFIDENTIALITE des data traitées.

« incident de sécurité » = « évènement/menace susceptible d’affecter la sécurité… » de la LPM 2018 ?

Si nous revenons à notre LPM 2018, laquelle vise les OIV ET les OSE, il faut se rendre à l’évidence : si un « incident de sécurité » affecte un OSE, la même définition de l’incident s’appliquera à un OIV.
La différence majeure porte sur sur la potentialité de « l’incident de sécurité« .
La Directive NIS et la Loi SRSI de 2018 encadrent les « actions qui compromettent« …
Il faut donc une menace présente (pas future), avérée, voire une tentative : une attaque en cours pour le dire autrement.
Dans la LPM 2018, cette menace peut être seulement potentielle : « susceptible d’affecter« … la sécurité.
Les règles légales de cette LPM 2018  permettent de faire de la collecte de données techniques de manière préventive.

---

LPM 2018 : les « marqueurs techniques » ???

Sur ce point, pas besoin de faire du bla-bla. Regardons la définition dans le décret Code de la défense, dans la mesure où l’expression « marqueur technique » – techniquement – ne signifie rien du tout !!!.
(- c’est fait exprès pour ne pas faire trop peur ?)
J’avoue une forme d’admiration purement intellectuelle pour celle/celui qui a eu l’idée du concept de « marqueur technique » de » cette LPM 2018. Cette capacité à créer du jargon administratif parfaitement abscons me fascine.
En synthèse, ces « dispositifs » (matériel + logiciel) de la LPM 2018 doivent permettre d’identifier des malware (« logiciel » pour les juristes) ainsi que les « communications » (messages) utilisés par les malveillants pour installer ces logiciels dans le système d’information cible.
Ce peuvent être aussi des « moyens » d’identifier des canaux de communication par lesquels les attaquants s’échangent des informations relatives à leur malware ou leur modus operandi.

---

LPM 2018 : Le « deep packet inspection » (ou D.P.I.) ?

Si vous n’êtes pas familier(ère) de cette « technologie » qu’est le D.P.I., ce n’est pas anormal !
En peu de mots, c’est une technique logicielle (d’inspection des paquets IP en profondeur) qui permet de vérifier le contenu des paquets IP dans un flux Internet, avant que le « message » ne soit arrivé à destination.

---

Techniquement, ce n’est pas à la portée du premier venu.
Juridiquement ? Sans se voiler la face, les « marqueurs techniques » de la LPM 2018 qui permettent d’analyser des « correspondances » constituent une violation du secret des correspondances électroniques.
Même certains de nos élus s’en étonnent publiquement (voir la slide ci-dessous).
Mais il parait que c’est pour la bonne cause. Laquelle déjà ? Ah oui, la lutte contre les cyberattaques.
On nous avait déjà fait le coup avec les « boites noires » de la Loi Renseignement du 24 juillet 2015 destinées à analyser le trafic Internet pour détecter des patterns de comportements « suspects » (pour celles et ceux qui s’en souviennent…).

---

LPM 2018 : « menace / événement susceptible d’implanter la sécurité » des SI (1) des OIV
Le principe à retenir de la LPM 2018 est tout entier dans la slide ci-dessous.
Nous savons bien que c’est difficile à lire, mais la littérature légale de type LPM 2018 est difficile à résumer en phrases courtes.

---

LPM 2018 : « menace / événement susceptible d’implanter la sécurité » des SI (2) des OSE

Les Opérateurs de Service Essentiel (ou « OSE ») ?
Pour comprendre le nouveau dispositif légal que permet la LPM 2018, il faut aussi aller piocher dans  la Directive NIS  et en France dans sa transposition par la loi dite « S.R.S.I. » du 26 février 2018.
Les opérateurs « visés à l’article 5 de la loi SRSI » à laquelle il est fait référence dans la LPM 2018, ce sont des « opérateurs » désignés par le Premier ministre par arrêté (comme les OIV).

---

chez qui doivent-être déployés les marqueurs techniques de la LPM 2018 ? (1) les opérateurs type « LCEN »

C’est ici que le dispositif légal de la LPM 2018 commence à devenir compliqué.
Le Code de la défense/LPM 2018 impose désormais aux « opérateurs type LCEN » et aux « opérateurs de communications électroniques » (ou opérateurs CPCE pour faire court) d’implémenter « les marqueurs techniques » type LPM 2018, bien sûr lorsque ces opérateurs LCEN ou CPCE sont connectés au système d’information d’un OIV ou d’un OSE.
Nous vous rappelons ici que la LPM 2018 a pour but de protéger les OIV et les OSE, pas les opérateurs LCEN ou CPCE.
Les opérateurs au sens de l’article 6 I 1° et 2° LCEN ?
Ce sont les éditeurs de site web et les hébergeurs.

---

chez qui doivent-être déployés les marqueurs techniques de la LPM 2018 ? (2.1) les opérateurs type « CPCE »

Les « opérateurs de communications électroniques » de l’article L.32 15° CPCE ?
Historiquement, les « opérateurs de communications électroniques » sont les fournisseurs de réseau ou de service de communications électroniques.
En clair, ce sont les opérateurs de télécommunication (fixe ou mobile) et les Fournisseurs d’Accès Internet (FAI).

chez qui doivent-être déployés les marqueurs techniques de la LPM 2018 ? (2.3) les opérateurs de « service de communications électroniques »

Que les OTT tremblent… car voici venir le « Code des Communications Electroniques européen » !
Oubliez le « Paquet télécom » de 2002 ! Le 18 décembre 2018, sa réforme a été adoptée sans bruit ni publicité par l’UE.
Bienvenue à la Directive (UE) 2018/1972 du 11 décembre 2018 « établissant le code des communications électroniques européen ».

---

Le nouveau Code européen est applicable à compter du 21 décembre 2020.
Il est – évidemment – d’ordre public, une fois chaque Etat de l’UE en aura transposé les règles dans son droit national.
En substance ? Sera « opérateurs de service de communications électroniques » tout prestataire permettant l’échange de communications « interpersonnelles » entre ses utilisateurs. Ce prestataire sera donc, de droit, soumis au régime légal de la LPM 2018 !
Bref, et en synthèse, dès le 21 décembre 2020, toutes les entreprises opérant un service de communications électroniques seront potentiellement impactées par la LPM 2018 avec l’obligation, à la demande de l’ANSSI, de mettre en oeuvre ces fameux « marqueurs techniques »…

le but des « marqueurs techniques » type LPM 2018  chez les opérateurs de communications électroniques ?

L’objectif de la sonde d’analyse de trafic IP que permet la LPM 2018 ?
Détecter des éléments de cyberattaque, des adresses IP (connues pour être des sources malveillantes de toute la communauté des professionnels civils/militaires de la cyber dans le  monde), etc.
Pour les « traces de logs », cela signifie que la LPM 2018 permet la constitution notamment de listes noires d’identifiants de connexion, et de « modus operandi » d’attaques. Une fois ces data stockées, il s’agira de procéder à leur traitement dit « algorithmique » (en fait purement logiciel) pour déterminer par exemple les « patterns » d’action des attaquants.
Si vous voulez encore plus de détail sur les « marqueurs techniques » de cette LPM 2018 ou sur les données récoltées par ces marqueurs, il faut passer au niveau ingénieur.
Là, pour vous documenter, ce sont les podcasts NoLimitSecu que nous vous suggérons vivement d’aller écouter. Ou appelez l’ANSSI (qui devrait ne pas vous répondre…).
En langage administratif type « Code de la défense »/LPM 2018, voici ce qu’il faut en retenir :


---

des mesures spécifiques de la LPM 2008 pour les « opérateurs de communications électroniques » ???

OUI ! des fois que ce soit simple…
Les opérateurs de service de communications électroniques peuvent poser des marqueurs techniques (au sens de la LPM 2018) dans les terminaux de leurs abonnés ?
Les opérateur « voix + data » de votre smartphone et les éditeurs d’applications de messagerie pourraient y implanter un logiciel pour analyser votre trafic (le mien aussi, je vous rassure) ?
NON ! seulement « sur les réseaux…  qu’ils exploitent » (oufffffff).
Ces opérateurs doivent demander l’accord informer l’ANSSI d’abord. Bon. Si c’est la LPM 2018 qui le dit…
Si c’est pour la sécurité du réseau de l’opérateur, ce n’est pas complètement illégitime.
Mais que pour ça, hein ? Pour aucune autre finalité, n’est ce pas ?
Notons ici qu’est retenue la notion de « finalité » du traitement des données collectées par les marqueurs techniques de la LPM 2018. Comme dans le RGPD…
C’est surtout l’ANSSI qui exploitera les data provenant des « marqueurs techniques ».

---

 LPM 2018 : et une nouvelle obligation de notification à l’ANSSI, une ! 

Un schéma simple devrait être en mesure de vous éclairer sur l’obligation (nouvelle) d’information imposée par la LPM 2018.

---

une information aux « abonnés » permise par la LPM 2018 ???

Grande nouveauté de la LPM 2018 : si l’ANSSI le leur « demande » (avec le sourire ?), les opérateurs de communications électroniques DOIVENT « informer » leurs abonnés !!!
Comme dans le RGPD en somme, sauf qu’ici, pas de critère compliqué du style « en cas de risque élevé pour la protection et les droits et libertés des personnes physiques« .
Non, c’est plus simple dans la LPM 2018 : c’est l’ANSSI qui décide. On se doute qu’il faudra que ce soit un peu grave pour qu’on arrive à ce stade.

---

LPM 2018 : la durée de conservation des éléments des « marqueurs techniques » ? Tout est prévu dans la LPM 2018 !

Si nos Services spécialisés de renseignement, dans 1 des 7 cas rappelés ci-dessous, récupèrent  des données de cyberattaque à l’occasion de leurs (comment dire…)  activités ?

---

Ces données peuvent être conservées au maximum 10 ans par l’ANSSI mais sans limite de durée à des fins de renseignement « défense et promotion des intérêts fondamentaux de la Nation » (définition détaillée dans la slide ci-dessous).
Car non, c’est sûr, l’ANSSI n’est pas un des 7 services spécialisés de renseignement !
Pour celles et ceux qui voudraient approfondir leur compréhension de la loi « Renseignement », cliquez ici pour accéder à ma présentation sur le sujet.

… et si on profitait de la LPM 2018 pour modifier (en douce) la loi « Renseignement International » ?

Comme dirait Barbapapa : « hup hup hup ? barbatruc« . En technique législative, on appelle cela un « cavalier » au sens ou ça passe vite à l’Assemblée et souvent inaperçu du public…
En plus, après, il faut déchiffrer le texte de cette LPM 2018 (qui procède par renvoi vers d’autres lois) pour comprendre.
Pour celles et ceux qui voudraient creuser  le sujet de la loi « Renseignement international », je vous invite à cliquer ici pour accéder à ma présentation (d’époque) sur le sujet.