Quelles sont les obligations de l’Autorité de régulation des communications électroniques en matière de sécurité des systèmes d’information ?L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse doit être informée sans délai par l’autorité nationale de sécurité des systèmes d’information concernant plusieurs éléments relatifs à la sécurité des systèmes d’information. Cela inclut des informations sur les menaces potentielles qui pourraient affecter la sécurité des systèmes d’information des autorités publiques et des opérateurs spécifiques, ainsi que des détails sur les dispositifs techniques mis en œuvre pour contrer ces menaces. Les informations doivent également couvrir les caractéristiques techniques des dispositifs, les types de données susceptibles d’être recueillies, et les résultats d’analyses techniques effectuées. En somme, l’Autorité doit être tenue au courant de tout ce qui pourrait affecter la sécurité des systèmes d’information dans le cadre de ses missions. Quels types d’éléments doivent être fournis concernant les menaces à la sécurité nationale ?Concernant les menaces à la sécurité nationale, plusieurs éléments doivent être fournis. D’abord, il est nécessaire de justifier l’existence d’une menace qui pourrait porter atteinte à la défense et à la sécurité nationale, notamment en lien avec l’exploitation d’un nom de domaine. Il faut également prouver qu’un nom de domaine a été enregistré dans le but de nuire à la sécurité nationale. De plus, il est requis de notifier le titulaire du nom de domaine des mesures correctives à prendre, ainsi que de lui accorder un délai pour leur mise en œuvre. Les éléments fournis par le titulaire pour prouver la neutralisation de la menace doivent également être pris en compte, tout comme les demandes de mise en œuvre ou de cessation des mesures auprès des autorités compétentes. Enfin, une liste des serveurs impliqués et des mesures de sécurisation mises en place doit être fournie, ainsi que des informations destinées aux utilisateurs ou détenteurs des systèmes affectés. Quels sont les dispositifs techniques mentionnés dans l’article R9-12-6 ?Les dispositifs techniques mentionnés dans l’article R9-12-6 se réfèrent à des mesures mises en œuvre pour protéger les systèmes d’information contre des menaces identifiées. Ces dispositifs doivent être décrits en termes de caractéristiques techniques et d’objectifs attendus. Ils peuvent inclure des systèmes de détection d’intrusion, des pare-feu, ou d’autres technologies de sécurité informatique. L’article stipule également que les autorités doivent fournir des informations sur les réseaux et systèmes d’information sur lesquels ces dispositifs sont déployés, ainsi que sur les catégories de données techniques qui peuvent être collectées dans le cadre de leur fonctionnement. Cela vise à assurer une transparence et une efficacité dans la gestion des menaces à la sécurité des systèmes d’information. Comment l’Autorité de régulation doit-elle gérer les informations reçues concernant les menaces ?L’Autorité de régulation des communications électroniques doit gérer les informations reçues concernant les menaces de manière proactive et réactive. Elle doit d’abord analyser les éléments fournis par l’autorité nationale de sécurité des systèmes d’information pour évaluer la gravité et l’impact potentiel des menaces sur les systèmes d’information des autorités publiques et des opérateurs. Ensuite, elle doit coordonner avec les différentes parties prenantes pour mettre en œuvre les mesures correctives nécessaires. Cela inclut la notification des titulaires de noms de domaine concernés et la mise en place de mesures de sécurité appropriées. L’Autorité doit également s’assurer que les utilisateurs et détenteurs des systèmes affectés sont informés des menaces et des mesures prises pour les contrer, garantissant ainsi une communication claire et efficace dans la gestion des crises de sécurité. |
d’instruction de l’Autorité de régulation des communications électroniques, des postes et de la distribution de
la presse est informée, sans délai, par l’autorité nationale de sécurité des systèmes d’information :
1° Au titre de l’article L. 2321-2-1 du code de la défense :
a) Des éléments de nature à justifier l’existence de la menace susceptible de porter atteinte à la sécurité
des systèmes d’information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L.
1332-2 du code de la défense ou des opérateurs mentionnés à l’article 5 de la loi du 26 février 2018 précitée,
y compris le cas échéant, les éléments relatifs à l’infrastructure d’attaque informatique ;
b) De la notification aux personnes mentionnées au I de l’article R. 2321-1-2 du code de la défense, de la
décision de mise en oeuvre des dispositifs techniques mentionnés au 1° de l’article L. 2321-2-1 du même code
et du cahier des charges mentionnés au même article R. 2321-1-2 ;
c) Des réseaux et systèmes d’information des personnes mentionnées au I de l’article R. 2321-1-2 du code de
la défense sur lesquels sont mis en oeuvre les dispositifs mentionnés à l’alinéa précédent ;
d) Des caractéristiques techniques de ces dispositifs et des objectifs attendus ;
e) Des catégories de données techniques susceptibles d’être recueillies ;
f) Des résultats de l’analyse technique réalisée en application du cinquième alinéa de l’article L. 2321-2-1 du
même code ;
g) Le cas échéant, de la décision de prorogation mentionnée au deuxième alinéa de l’article R. 2321-1-3 de ce
code ;
2° Au titre du quatrième alinéa du III de l’article L. 2321-2-3 du code de la défense :
a) Des éléments de nature à justifier l’existence de la menace susceptible de porter atteinte à la défense et à la
sécurité nationale résultant de l’exploitation d’un nom de domaine ;
b) Des éléments de nature à justifier qu’un nom de domaine a été enregistré aux fins d’être exploité pour
porter atteinte à la défense et à la sécurité nationale ;
c) De la notification de la demande de mesures correctives au titulaire du nom de domaine enregistré de
bonne foi et du délai imparti à celui-ci pour leur mise en oeuvre ;
d) Des éléments transmis par le titulaire du nom de domaine de bonne foi pour établir la neutralisation de la
menace ;
e) Des demandes de mise en oeuvre ou de cessation des mesures auprès des personnes mentionnées au 1° et
au 2° du I et II de l’article L. 2321-2-3 du même code ;
f) De la liste des serveurs accueillant une redirection et des mesures de sécurisation mise en oeuvre sur ce
serveur ;
g) Des mesures mises en oeuvre pour assurer l’information des utilisateurs ou des détenteurs des systèmes
affectés, menacés ou attaqués.
Laisser un commentaire