LPM 2023 projet 4/6 : « évènement affectant la sécurité » et collecte de données techniques ? (ça s’annonce véritablement passionnant, cette histoire…)
Le projet de Loi de Programmation Militaire 2023 pour les années 2024 à 2030
Cliquez sur le lien « projet de LPM 2023 » pour accéder au texte original sur le site web de l’Assemblée nationale.
Les épisodes précédents et ceux à venir (pour celles et ceux qui voudraient faire du zèle et réviser 2 secondes)c- épisode #1 : les dispositions applicables aux éditeurs de logiciel [18 avril 2023]
– épisode #2 : marqueurs technique et données techniques [25 avril 2023]
– épisode #3 : l’ANSSI et le droit d’alerte (direct) aux abonnés [2 mai 2023]
—> à partir du 9 mai 2023 : étude en Commission de la défense de l’Assemblée nationale du projet de LPM
– épisode #4 : comprendre ce qu’est un « évènement affectant la sécurité » [16 mai 2023] : c’est l’épisode du jour
– épisode #5 spécial DNS filtrage des noms de domaine à problème [25 mai 2023]
– épisode #6 (final) spécial données techniques de cache DNS [30 mai 2023]
—> L’épisode SYNTHESE du projet de LPM (pour les plus pressé(e)s) est d’ores et déjà accessible sur ce site web depuis le 9 mai 2023.
Un TRES GRAND MERCI à Jean-Philippe « l’Ourf » GAULIER de Cyberzen de s’être prêté (patiemment) à cet exercice et… à un autre professionnel du secteur qui souhaite rester discret.
le (traditionnel) slider d'intro
LPM 2023 projet 4/6 : "évènement affectant la sécurité" et collecte de données techniques ? le programme détaillé de cet épisode
LPM 2023 projet 4/6 : "évènement affectant la sécurité" et collecte de données techniques ?
CHAP. 4.1 : le texte intégral du projet de LPM (futur article L.2321-3 Code de la défense)
Voici le texte dans sa version « mark up » d’après le projet de LPM 2023 publié sur le site web de l’Assemblée nationale.
LPM 2023 projet 4/6 : "évènement affectant la sécurité" et collecte de données techniques ?
CHAP. 4.2 des évènements cyber qui affectent qui ?
La nouveauté ? En plus des « autorités publiques » , des OIV et des OSE (bientôt, des entités essentielles et importantes au sens de la Directive NISv2), sont concernés TOUS les prestataires qui participent au système d’information des « primo » concernés.
Et ça, c’est un tremblement de terre !
Le détail figure dans le slider ci-dessous.
LPM 2023 projet 4/6 : "évènement affectant la sécurité" et collecte de données techniques ?
CHAP. 4.3 dans lequel on tente de comprendre la notion (assez opaque) "d'évènement affectant la sécurité" d'un système d'information
Pour comprendre ce chapitre, il faut se référer à la LPM de 2013.
Et il faut ne pas confondre
– évènement susceptible d’affecter la (cyber) sécurité : ici, c’est l’obligation de mettre en oeuvre les sondes souveraines (c’était la nouveauté de la LPM 2013)
– évènement affectant le fonctionnement ou la (cyber) sécurité : là, c’est le critère pour l’obligation de notification des incidents de sécurité (LPM 2013 encore)
– évènement affectant la (cyber) sécurité : c’est la nouveauté du projet de LPM 2023.
Mais que sait-on – juridiquement – de ces 3 critères ? Ben… pas grand chose (ce qui ne surprendra pas grand monde).
LPM 2023 projet 4/6 : "évènement affectant la sécurité" et collecte de données techniques ?
CHAP. 4.4 : "données techniques" ? de quoi parle-t-on ?
Nous sommes restés vagues sur les notions de « marqueurs techniques » et de « dispositifs permettant le recueil de données » lors de l’analyse faite à l’épisode #02 de ce projet de LPM.
Vous trouverez ce détail dans les slides ci-dessous.
Il est très difficile de commenter de manière cohérente ce projet de LPM dans la mesure où ce projet est découpé en 4 articles (numéro 32 à 35), avec l’article 35 divisé en 3 points numérotés A, B et C). Cette numérotation de travail, reprise dans l’analyse d’impact, modifie dans un ordre différent les articles du Code de la défense concernés…
A se demander si tout cela est fait exprès pour que nous ne puissions pas nous y retrouver. Bref…
Les explications de l’analyse d’impact sur les « marqueurs techniques » , les « données techniques » et les « dispositifs permettant le recueil de données » sont donc en principe les mêmes pour les articles L.2321-2-1 et L.2321-3 du Code de la défense (« CODEF » pour les intimes).
Oui, c’est compliqué et pas d’une clarté limpide.
C’est dans l’étude d’impact que les situations prises en compte sont le plus compréhensibles. Vous trouverez ci-dessous notamment 2 slides avec les extraits qui me semblent les plus significatifs.
PS pour les juristes et les DPO les plus pointu(e)s : NON les « données techniques » NE SONT PAS des données personnelles au sens du RGPD. Et quand bien même l’ANSSI se verrait conférer le droit de collecter des données qui seraient des données personnelles, elle a clairement l’obligation – dans le Code de la défense – de les détruire immédiatement. Alors, pitié, pas de polémique inutile.
Surtout que tous ces dispositifs légaux sont soumis au contrôle de l’ARCEP (voir par exemple l’article R.10-15 CPCE issu du Décret du 13 décembre 2018).
En clair ? Des garanties de contrôle de l’action future de l’ANSSI sont bien prévues et le RGPD ne devraient pas poser de problème.
FOCUS (pour faire peur) : la liste des décrets "métadonnées" depuis décembre 2018
Bientôt, pour votre plus grande joie (...), l'épisode 5 traitera des mesures de filtrage des noms de domaine "à problème". C'est prévu pour le jeudi 25 mai prochain.
Merci à Sébastien Le Foll et aux éditions Delcourt Soleil pour les illustrations en BD ayant servi pour cette présentation !
Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!
« 5 Terres (Les) » première série complète en 6 tomes par « Lewelyn » (David Chauvel, Andoryss et Patrick Wong) et Jérome Lereculey © éditions Delcourt 2019-2022 – une des plus belles séries en BD avec des animaux humanisés (et une intrigue diabolique)
« Arctica » 12 tomes (dans lesquels ça bastone fort) par Daniel Pecqueur et Boyan Kovačević © éditions Delcourt 2007-2022
« Au-delà des merveilles » série complète en 3 tomes par Yohann « Wyllow » Puaud © éditions Clair de Lune 2004-2022 : c’est « Wyllow » qui m’a fait aimer la réforme du droit des contrat en 2016 avec un univers visuel tout à fait délicieux
« Badlands » série complète (et super sympa) en 3 tomes par Eric Corbeyran et Piotr Kowalski © éditions Soleil 2014-2018
« Carmen mc Callum » 19 tomes (tome 1 par Fred Duval + Olivier Vatine + Fred Blanchard + Stéphane « Gess » et tomes 2 et 3 par Fred Duval et Stéphane « Gess ») © éditions Delcourt 1995-2023 (je suis un inconditionnel de la série)
« Crépuscule des Dieux (Le) » série complète en 9 tomes par Nicolas Jarry et Jean-François « Djief » © éditions Soleil 2007-2016 : si vous aimez les légendes nordiques, vous ne serez pas déçu(e) !
« Dernier Troyen (Le) » série complète en 6 tomes + 1 intégrale par Valérie Mangin et Thierry Démarez © éditions Soleil 2004-2012
« Excalibur-Chroniques » (époustouflante) série complète en 5 tomes + 1 intégrale par Jean-Luc Istin et Alain Brion © éditions Soleil 2012-2019
« Fléau des dieux (Le) » série EX-CEP-TION-NELLE en 6 tomes par Valérie Mangin et Aleksa Gajic (dessinateur et coloriste de génie) © éditions Soleil 2000-2006
« Hercule » série complète (et proprement exceptionnelle) en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017
« Horologiom » série complète (dans un univers graphique aussi unique qu’attachant) en 7 tomes + intégrale en 2 tomes par Stéphane Lebeault © éditions Delcourt 1994-2021
« Neandertal » série complète en 3 tomes par Emmanuel Roudier © éditions Delcourt 2007-2011 : il fallait un vrai talent au dessin comme au scénario pour nous captiver dans une époque aussi lointaine…
« Nef des Fous (La) » 12 tomes + intégrale en 2 tomes + hors série par Bernard « Turf » © éditions Delcourt 1993-2023 – de la pure fantaisie en BD dans un monde de fous !
« Odin » série complète en 2 tomes par Nicolas Jarry et Erwan Seure-Le Bihan © éditions Soleil 2010-2012 : c’est puissant, violent, dramatique : j’ai adoré !!!
« Oeil de la Nuit (L’) » série complète en 3 tomes par Serge Lehman et Stéphane « Gess » © éditions Delcourt 2015-2016 – un véritable chef d’oeuvre par deux génies de la BD !
« Olympus Mons » première série complète en 7 tomes par Christophe Bec (encore lui !) et Stefano Raffaele © éditions Soleil 2017-2022 – juste génial et captivant
« portes de Shamballah (Les) » série complète en 4 tomes par Mazuer + Romano + Taranzano © éditions Clair de Lune 2007-2016 : ça, c’est du complot !
« Serpent et la Lance (Le) » série en cours avec déjà 2 tomes publiés par Hub © éditions Delcourt 2019 – 2021 : bienvenu dans l’Empire aztèque en 1454 (c’est une merveille graphique, en plus d’une intrigue captivante)
« Souvenirs de la Grande Armée » série complète en 4 tomes + 1 intégrale par Michel Dufranne et Vladimir « Alexander » © éditions Delcourt 2007-2018. A cheval et vive l’Empereur !
« Sur les terres d’Horus » série (tout à fait remarquable) complète en 8 tomes par Isabelle Dethan © éditions Delcourt 2001-2015
« Ténèbres » série complète en 5 tomes par Christophe Bec et Giuseppe « Iko » © éditions Soleil 2009-2018 : de la pure Heroic Fantasy avec des dragons, des chevaliers et des princesses…
« Universal War One » série complète en 6 tomes (absolument remarquables) par Denis Bajram © éditions Soleil 1998-2006
« Yiu Premières missions » série complète en 7 tomes qui déchirent + intégrale en 2 tomes par Thierry « Téhy » + Jeanne « JM Vee » + Vincent « Vax » © éditions Soleil 2003-2010