Retour à la section

Paragraphe III bis

Dispositions relatives à la prévention des menaces affectant la sécurité des systèmes d'information

Article suivant

Article R9-12-6-1

Procédure de saisine de l'Autorité de régulation pour avis sur les menaces aux systèmes d'information

Code des postes et des communications électroniques

Article R9-12-6

Article R9-12-6

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Notification des menaces et dispositifs techniques

Résumé L'article dit comment et quand l'autorité de sécurité informe l'Autorité de régulation des menaces et des mesures prises pour les contrer.

Pour l'application du I de l'article L. 36-14, la formation de règlement des différends, de poursuite et d'instruction de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse est informée, sans délai, par l'autorité nationale de sécurité des systèmes d'information :

1° Au titre de l'article L. 2321-2-1 du code de la défense :

a) Des éléments de nature à justifier l'existence de la menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense ou des opérateurs mentionnés à l'article 5 de la loi du 26 février 2018 précitée, y compris le cas échéant, les éléments relatifs à l'infrastructure d'attaque informatique ;

b) De la notification aux personnes mentionnées au I de l'article R. 2321-1-2 du code de la défense, de la décision de mise en œuvre des dispositifs techniques mentionnés au 1° de l'article L. 2321-2-1 du même code et du cahier des charges mentionnés au même article R. 2321-1-2 ;

c) Des réseaux et systèmes d'information des personnes mentionnées au I de l'article R. 2321-1-2 du code de la défense sur lesquels sont mis en œuvre les dispositifs mentionnés à l'alinéa précédent ;

d) Des caractéristiques techniques de ces dispositifs et des objectifs attendus ;

e) Des catégories de données techniques susceptibles d'être recueillies ;

f) Des résultats de l'analyse technique réalisée en application du cinquième alinéa de l'article L. 2321-2-1 du même code ;

g) Le cas échéant, de la décision de prorogation mentionnée au deuxième alinéa de l'article R. 2321-1-3 de ce code ;

2° Au titre du quatrième alinéa du III de l'article L. 2321-2-3 du code de la défense :

a) Des éléments de nature à justifier l'existence de la menace susceptible de porter atteinte à la défense et à la sécurité nationale résultant de l'exploitation d'un nom de domaine ;

b) Des éléments de nature à justifier qu'un nom de domaine a été enregistré aux fins d'être exploité pour porter atteinte à la défense et à la sécurité nationale ;

c) De la notification de la demande de mesures correctives au titulaire du nom de domaine enregistré de bonne foi et du délai imparti à celui-ci pour leur mise en œuvre ;

d) Des éléments transmis par le titulaire du nom de domaine de bonne foi pour établir la neutralisation de la menace ;

e) Des demandes de mise en œuvre ou de cessation des mesures auprès des personnes mentionnées au 1° et au 2° du I et II de l'article L. 2321-2-3 du même code ;

f) De la liste des serveurs accueillant une redirection et des mesures de sécurisation mise en œuvre sur ce serveur ;

g) Des mesures mises en œuvre pour assurer l'information des utilisateurs ou des détenteurs des systèmes affectés, menacés ou attaqués.

3 versions

7 cités

Historique des versions

Version 3

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Réorganisation et extension du champ d’action

Résumé des changements Le texte réorganise les obligations en deux parties distinctes et introduit une nouvelle rubrique sur les menaces liées aux noms de domaine tout en modifiant les références législatives et le nom de l’autorité responsable.

Pour l'application du I de l'article L. 36-14, la formation de règlement des différends, de poursuite et d'instruction de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse est informée, sans délai, par l'autorité nationale de sécurité des systèmes d'information : 1° Au titre de l'article L. 2321-2-1 du code de la défense :

a) Des éléments de nature à justifier l'existence de la menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense ou des opérateurs mentionnés à l'article 5 de la loi du 26 février 2018 précitée, y compris le cas échéant, les éléments relatifs à l'infrastructure d'attaque informatique ;

b) De la notification aux personnes mentionnées au I de l'article R. 2321-1-2 du code de la défense, de la décision de mise en œuvre des dispositifs techniques mentionnés au de l'article L. 2321-2-1 du même code et du cahier des charges mentionnés au même article R. 2321-1-2 ;

c) Des réseaux et systèmes d'information des personnes mentionnées au I de l'article R. 2321-1-2 du code de la défense sur lesquels sont mis en œuvre les dispositifs mentionnés à l'alinéa précédent ;

d) Des caractéristiques techniques de ces dispositifs et des objectifs attendus ;

e) Des catégories de données techniques susceptibles d'être recueillies ;

f) Des résultats de l'analyse technique réalisée en application du cinquième alinéa de l'article L. 2321-2-1 du même code ;

g) Le cas échéant, de la décision de prorogation mentionnée au deuxième alinéa de l'article R. 2321-1-3 de ce code ;

2° Au titre du quatrième alinéa du III de l'article L. 2321-2-3 du code de la défense :

a) Des éléments de nature à justifier l'existence de la menace susceptible de porter atteinte à la défense et à la sécurité nationale résultant de l'exploitation d'un nom de domaine ;

b) Des éléments de nature à justifier qu'un nom de domaine a été enregistré aux fins d'être exploité pour porter atteinte à la défense et à la sécurité nationale ;

c) De la notification de la demande de mesures correctives au titulaire du nom de domaine enregistré de bonne foi et du délai imparti à celui-ci pour leur mise en œuvre ;

d) Des éléments transmis par le titulaire du nom de domaine de bonne foi pour établir la neutralisation de la menace ;

e) Des demandes de mise en œuvre ou de cessation des mesures auprès des personnes mentionnées au 1° et au 2° du I et II de l'article L. 2321-2-3 du même code ;

f) De la liste des serveurs accueillant une redirection et des mesures de sécurisation mise en œuvre sur ce serveur ;

g) Des mesures mises en œuvre pour assurer l'information des utilisateurs ou des détenteurs des systèmes affectés, menacés ou attaqués.

Version 2

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Ajout du secteur « distribution de la presse » à l’autorité informée

Résumé des changements L'autorité désormais inclut également le secteur de la distribution de presse dans les notifications liées à l'article L. 36‑14.

En vigueur à partir du vendredi 3 septembre 2021

Pour l'application de l'article L. 36-14, la formation de règlement des différends, de poursuite et d'instruction de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse est informée, sans délai, par l'Agence nationale de la sécurité des systèmes d'information au titre de l'article L. 2321-2-1 du code de la défense :

1° Des éléments de nature à justifier l'existence de la menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 de ce code ou des opérateurs mentionnés à l'article 5 de la loi du 26 février 2018 précitée, y compris le cas échéant, les éléments relatifs à l'infrastructure d'attaque informatique ;

2° De la notification aux personnes mentionnées au premier alinéa de l'article R. 2321-1-1 du code de la défense, de la décision de mise en œuvre des dispositifs techniques mentionnés au premier alinéa de l'article L. 2321-2-1 du même code et du cahier des charges mentionnés au même article R. 2321-1-1 ;

3° Des réseaux et systèmes d'information des opérateurs de communications électroniques et personnes mentionnées aux 1 ou 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique sur lesquels sont mis en œuvre les dispositifs mentionnés à l'article L. 2321-2-1 du code de la défense ;

4° Des caractéristiques techniques de ces dispositifs et des objectifs attendus ;

5° Des catégories de données techniques susceptibles d'être recueillies ;

6° Des résultats de l'analyse technique réalisée en application du deuxième alinéa de l'article L. 2321-2-1 du même code ;

7° Le cas échéant, de la décision de prorogation mentionnée à l'article R. 2321-1-2 de ce code.

Version 1

Version initiale

Résumé des changements Version initiale de l'article.

En vigueur à partir du mardi 1 janvier 2019

Pour l'application de l'article L. 36-14, la formation de règlement des différends, de poursuite et d'instruction de l'Autorité de régulation des communications électroniques et des postes est informée, sans délai, par l'Agence nationale de la sécurité des systèmes d'information au titre de l'article L. 2321-2-1 du code de la défense :

1° Des éléments de nature à justifier l'existence de la menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 de ce code ou des opérateurs mentionnés à l'article 5 de la loi du 26 février 2018 précitée, y compris le cas échéant, les éléments relatifs à l'infrastructure d'attaque informatique ;

2° De la notification aux personnes mentionnées au premier alinéa de l'article R. 2321-1-1 du code de la défense, de la décision de mise en œuvre des dispositifs techniques mentionnés au premier alinéa de l'article L. 2321-2-1 du même code et du cahier des charges mentionnés au même article R. 2321-1-1 ;

3° Des réseaux et systèmes d'information des opérateurs de communications électroniques et personnes mentionnées aux 1 ou 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique sur lesquels sont mis en œuvre les dispositifs mentionnés à l'article L. 2321-2-1 du code de la défense ;

4° Des caractéristiques techniques de ces dispositifs et des objectifs attendus ;

5° Des catégories de données techniques susceptibles d'être recueillies ;

6° Des résultats de l'analyse technique réalisée en application du deuxième alinéa de l'article L. 2321-2-1 du même code ;

7° Le cas échéant, de la décision de prorogation mentionnée à l'article R. 2321-1-2 de ce code.