I. − Les dispositifs prévus au 1° du L. 2321-2-1 exploitant les marqueurs techniques définis à l'article R. 2321-1-4 permettent la détection des communications et programmes informatiques malveillants ainsi que le recueil et l'analyse des seules données techniques nécessaires à la prévention et à la caractérisation de la menace.

II. − Les dispositifs prévus au 2° du L. 2321-2-1 permettent :

1° Le recueil des données relatives aux communications électroniques émises et reçues par un équipement affecté par la menace ;

2° Ou le recueil de données sur un équipement affecté par la menace.

I. - La décision de mettre en œuvre les dispositifs mentionnés au I de l'article R. 2321-1-1 est notifiée par l'autorité nationale de sécurité des systèmes d'information à l'opérateur de communications électroniques, à la personne mentionnée au 1 ou 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ou à l'opérateur de centre de données, et communiquée à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.

II. - La décision de mettre en œuvre les dispositifs mentionnés au II de l'article R. 2321-1-1 ne peut être notifiée aux personnes mentionnées à l'alinéa précédent qu'après avis conforme de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse pour la mise en œuvre de ces dispositifs. Cette décision est également notifiée à cette autorité.

III. - La décision de mettre en œuvre les dispositifs mentionnés au I ou au 1° du II de l'article R. 2321-1-1 est accompagnée d'un cahier des charges élaboré, le cas échéant, après concertation avec les personnes destinataires. Ce cahier des charges précise :

1° Le type de dispositif mis en œuvre et le réseau ou le système d'information concerné ;

2° Les conditions techniques d'organisation et de fonctionnement nécessaires à la mise en œuvre de ces dispositifs ;

3° Le délai dans lequel ils sont mis en œuvre et la durée de leur mise en œuvre.

Le cahier des charges peut prévoir une phase de test préalable sur les réseaux ou systèmes d'information concernés.

Les dispositifs mentionnés au I ou au 1° du II de l'article R. 2321-1-1 sont mis en œuvre pour une période maximale de trois mois. En cas de persistance de la menace la décision de mettre en œuvre ces dispositifs peut être renouvelée pour une même durée et dans les mêmes conditions que la décision initiale.

Les marqueurs techniques exploités par les dispositifs mentionnés au I de l'article R. 2321-1-1 sont des éléments techniques caractéristiques d'un mode opératoire d'attaque informatique, permettant de détecter une activité malveillante ou d'identifier une menace susceptible d'affecter la sécurité des systèmes d'information.

L'analyse des données recueillies lors de la mise en œuvre des dispositifs mentionnés au II de l'article R. 2321-1-1 est effectuée par les agents mentionnés au cinquième alinéa de l'article L. 2321-2-1, dans un délai de trois mois à compter de leur recueil.

Les informations et les catégories de données directement utiles à la prévention et à la caractérisation des menaces concernent :

1° Les communications électroniques liées aux activités de l'attaquant ;

2° Les données système, liées à l'attaquant.

Les données qui ne relèvent pas de ces catégories sont détruites dans un délai d'un jour ouvré à compter de leur analyse mentionnée au premier alinéa.

Les données directement utiles à la prévention et à la caractérisation des menaces ne peuvent être conservées plus de deux ans à compter de leur collecte.

Les surcoûts spécifiques et identifiables supportés par les personnes mentionnées au I de l'article R. 2321-1-2 et résultant des obligations de l'article L. 2321-2-1 font l'objet d'une compensation financière prise en charge par l'Etat.

La compensation correspond à la couverture des surcoûts définis comme suit :

1° Les surcoûts liés à la réalisation de prestations dont la compensation est établie sur la base du montant hors taxes de tarifs fixés par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques ;

L'Etat procède, sur présentation d'une facture, au paiement des compensations correspondant aux surcoûts justifiés ;

2° Les surcoûts liés à la conception et au déploiement des systèmes d'information ou, le cas échéant, à leur adaptation, permettant la mise en place d'un dispositif exploitant des marqueurs techniques ou le recueil des données ainsi que les surcoûts liés au fonctionnement et à la maintenance de ces systèmes.

Pour obtenir une compensation, l'opérateur adresse à l'autorité nationale de sécurité des systèmes d'information un document assorti des justificatifs nécessaires permettant d'établir le nombre et la nature des interventions nécessaires non couvertes par l'arrêté mentionné au 1°. L'Etat procède, après analyse du document transmis, et sur présentation d'une facture, au paiement des compensations correspondant aux surcoûts justifiés.