15 mai 2023

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#470 projet LPM 2023 spécial cyber #4 : « évènement affectant la sécurité » et collecte de données techniques ?

#470 projet LPM 2023 spécial cyber #4 : « évènement affectant la sécurité » et collecte de données techniques ?

projet LPM 2023 cyber sécurité #4 incident affectant la sécurité © Ledieu-Avocats

Le projet de Loi de Programmation Militaire 2023 pour les années 2024 à 2030

Cliquez sur le lien « projet de LPM 2023 » pour accéder au texte original sur le site web de l’Assemblée nationale.

Les épisodes précédents et ceux à venir (pour celles et ceux qui voudraient faire du zèle et réviser 2 secondes)c- épisode #1 : les dispositions applicables aux éditeurs de logiciel [18 avril 2023]

épisode #2 : marqueurs technique et données techniques [25 avril 2023]

épisode #3 : l’ANSSI et le droit d’alerte (direct) aux abonnés [2 mai 2023]

—> à partir du 9 mai 2023 : étude en Commission de la défense de l’Assemblée nationale du projet de LPM 

épisode #4 : comprendre ce qu’est un « évènement affectant la sécurité » [16 mai 2023] : c’est l’épisode du jour

épisode #5 spécial DNS filtrage des noms de domaine à problème [25 mai 2023]

épisode #6 (final) spécial données techniques de cache DNS [30 mai 2023]

—> L’épisode SYNTHESE du projet de LPM (pour les plus pressé(e)s) est d’ores et déjà accessible sur ce site web depuis le 9 mai 2023.

Un TRES GRAND MERCI à Jean-Philippe « l’Ourf » GAULIER de Cyberzen de s’être prêté (patiemment) à cet exercice et… à un autre professionnel du secteur qui souhaite rester discret.

le (traditionnel) slider d'intro


le programme détaillé de cet épisode #4

projet LPM 2023 cyber sécurité #4 incident affectant la sécurité © Ledieu-Avocats


CHAP. 4.1 : le texte intégral du projet de LPM (futur article L.2321-3 Code de la défense)

Voici le texte dans sa version « mark up » d’après le projet de LPM 2023 publié sur le site web de l’Assemblée nationale.


CHAP. 4.2 des évènements cyber qui affectent qui ?

La nouveauté ? En plus des « autorités publiques » , des OIV et des OSE (bientôt, des entités essentielles et importantes au sens de la Directive NISv2), sont concernés TOUS les prestataires qui participent au système d’information des « primo » concernés.

Et ça, c’est un tremblement de terre !

Le détail figure dans le slider ci-dessous.


CHAP. 4.3 dans lequel on tente de comprendre la notion (assez opaque) "d'évènement affectant la sécurité" de systèmes d'information

Pour comprendre ce chapitre, il faut se référer à la LPM de 2013.

Et il faut ne pas confondre

évènement susceptible d’affecter la (cyber) sécurité : ici, c’est l’obligation de mettre en oeuvre les sondes souveraines (c’était la nouveauté de la LPM 2013)

évènement affectant le fonctionnement ou la (cyber) sécurité : là, c’est le critère pour l’obligation de notification des incidents de sécurité (LPM 2013 encore)

évènement affectant la (cyber) sécurité : c’est la nouveauté du projet de LPM 2023.

Mais que sait-on – juridiquement – de ces 3 critères ? Ben… pas grand chose (ce qui ne surprendra pas grand monde).


CHAP. 4.4 : "données techniques" ? de quoi parle-t-on ?

Nous sommes restés vagues sur les notions de « marqueurs techniques » et de « dispositifs permettant le recueil de données » lors de l’analyse faite à l’épisode #02 de ce projet de LPM.

Vous trouverez ce détail dans les slides ci-dessous.

Il est très difficile de commenter de manière cohérente ce projet de LPM dans la mesure où ce projet est découpé en 4 articles (numéro 32 à 35), avec l’article 35 divisé en 3 points numérotés A, B et C). Cette numérotation de travail, reprise dans l’analyse d’impact, modifie dans un ordre différent les articles du Code de la défense concernés…

A se demander si tout cela est fait  exprès pour que nous ne puissions pas nous y retrouver. Bref…

Les explications de l’analyse d’impact sur les « marqueurs techniques » , les « données techniques » et les « dispositifs permettant le recueil de données » sont donc en principe les mêmes pour les articles L.2321-2-1 et L.2321-3 du Code de la défense (« CODEF » pour les intimes).

Oui, c’est compliqué et pas d’une clarté limpide.

C’est dans l’étude d’impact que les situations prises en compte sont le plus compréhensibles. Vous trouverez ci-dessous notamment 2 slides avec les extraits qui me semblent les plus significatifs.

PS pour les juristes et les DPO les plus pointu(e)s : NON les « données techniques » NE SONT PAS des données personnelles au sens du RGPD. Et quand bien même l’ANSSI se verrait conférer le droit de collecter des données qui seraient des données personnelles, elle a clairement l’obligation – dans le Code de la défense – de les détruire immédiatement. Alors, pitié, pas de polémique inutile.

Surtout que tous ces dispositifs légaux sont soumis au contrôle de l’ARCEP (voir par exemple l’article R.10-15 CPCE issu du Décret du 13 décembre 2018).

En clair ? Des garanties de contrôle de l’action future de l’ANSSI sont bien prévues et le RGPD ne devraient pas poser de problème.


FOCUS (pour faire peur) : la liste des décrets "métadonnées" depuis décembre 2018

la liste des décrets METADONNEES depuis 2018 projet LPM 2023 cyber sécurité #4 incident affectant la sécurité © Ledieu-Avocats


Bientôt, pour votre plus grande joie (...), l'épisode 5 traitera des mesures de filtrage des noms de domaine "à problème". C'est prévu pour le jeudi 25 mai prochain.


Merci à Sébastien Le Foll et aux éditions Delcourt Soleil pour les illustrations en BD ayant servi pour cette présentation !

Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!

« 5 Terres (Les) » première série complète en 6 tomes par « Lewelyn » (David Chauvel, Andoryss et Patrick Wong) et Jérome Lereculey © éditions Delcourt 2019-2022 – une des plus belles séries en BD avec des animaux humanisés (et une intrigue diabolique)

« Arctica » 12 tomes (dans lesquels ça bastone fort) par Daniel Pecqueur et Boyan Kovačević © éditions Delcourt 2007-2022

« Au-delà des merveilles » série complète en 3 tomes par Yohann « Wyllow » Puaud © éditions Clair de Lune 2004-2022 : c’est « Wyllow » qui m’a fait aimer la réforme du droit des contrat en 2016 avec un univers visuel tout à fait délicieux

« Badlands » série complète (et super sympa) en 3 tomes par Eric Corbeyran et Piotr Kowalski © éditions Soleil 2014-2018

« Carmen mc Callum » 19 tomes (tome 1 par Fred Duval + Olivier Vatine + Fred Blanchard + Stéphane « Gess » et tomes 2 et 3 par Fred Duval et Stéphane « Gess ») © éditions Delcourt 1995-2023 (je suis un inconditionnel de la série)

« Crépuscule des Dieux (Le) » série complète en 9 tomes par Nicolas Jarry et Jean-François « Djief » © éditions Soleil 2007-2016 : si vous aimez les légendes nordiques, vous ne serez pas déçu(e) !

« Dernier Troyen (Le) » série complète en 6 tomes + 1 intégrale par Valérie Mangin et Thierry Démarez © éditions Soleil 2004-2012

« Excalibur-Chroniques » (époustouflante) série complète en 5 tomes + 1 intégrale par Jean-Luc Istin et Alain Brion © éditions Soleil 2012-2019

« Fléau des dieux (Le) » série EX-CEP-TION-NELLE en 6 tomes par Valérie Mangin et Aleksa Gajic (dessinateur et coloriste de génie) © éditions Soleil 2000-2006

« Hercule » série complète (et proprement exceptionnelle) en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017

« Horologiom » série complète (dans un univers graphique aussi unique qu’attachant) en 7 tomes + intégrale en 2 tomes par Stéphane Lebeault © éditions Delcourt 1994-2021

« Neandertal » série complète en 3 tomes par Emmanuel Roudier © éditions Delcourt 2007-2011 : il fallait un vrai talent au dessin comme au scénario pour nous captiver dans une époque aussi lointaine…

« Nef des Fous (La) » 12 tomes + intégrale en 2 tomes + hors série par Bernard « Turf » © éditions Delcourt 1993-2023 – de la pure fantaisie en BD dans un monde de fous !

« Odin » série complète en 2 tomes par Nicolas Jarry et Erwan Seure-Le Bihan © éditions Soleil 2010-2012 : c’est puissant, violent, dramatique : j’ai adoré !!!

« Oeil de la Nuit (L’) » série complète en 3 tomes par Serge Lehman et Stéphane « Gess » © éditions Delcourt 2015-2016 – un véritable chef d’oeuvre par deux génies de la BD !

« Olympus Mons » première série complète en 7 tomes par Christophe Bec (encore lui !) et Stefano Raffaele © éditions Soleil 2017-2022 – juste génial et captivant

« portes de Shamballah (Les) » série complète en 4 tomes par Mazuer + Romano + Taranzano © éditions Clair de Lune 2007-2016 : ça, c’est du complot ! 

« Serpent et la Lance (Le) » série en cours avec déjà 2 tomes publiés par Hub © éditions Delcourt 2019 – 2021 : bienvenu dans l’Empire aztèque en 1454 (c’est une merveille graphique, en plus d’une intrigue captivante)

« Souvenirs de la Grande Armée » série complète en 4 tomes + 1 intégrale par Michel Dufranne et Vladimir « Alexander » © éditions Delcourt 2007-2018. A cheval et vive l’Empereur ! 

« Sur les terres d’Horus » série (tout à fait remarquable) complète en 8 tomes par Isabelle Dethan © éditions Delcourt 2001-2015

« Ténèbres » série complète en 5 tomes par Christophe Bec et Giuseppe « Iko » © éditions Soleil 2009-2018  : de la pure Heroic Fantasy avec des dragons, des chevaliers et des princesses…

« Universal War One » série complète en 6 tomes (absolument remarquables) par Denis Bajram © éditions Soleil 1998-2006 

« Yiu Premières missions » série complète en 7 tomes qui déchirent + intégrale en 2 tomes par Thierry « Téhy » + Jeanne « JM Vee » + Vincent « Vax » © éditions Soleil 2003-2010

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Les derniers articles du blog​