En el marco del proyecto de ley relativo a la programación militar para el período 2024-2030, la Asamblea Nacional adoptó una serie de artículos destinados a fortalecer la seguridad de los sistemas de información y al mismo tiempo ampliar los poderes y prerrogativas de la agencia nacional de seguridad de los sistemas de información. Este 1 de junio, los diputados se reunieron en un Hemiciclo bastante escaso (hasta un máximo de 89 electores para esta sesión parlamentaria de casi 4h20) votó así a favor de los 4 artículos (32, 33, 34 y 35) de la LPM que tratan estas cuestiones.

En detalle, el artículo 32 autoriza a Anssi, cuando se determina que una amenaza puede dañar la seguridad nacional, a solicitar a un proveedor de sistemas de resolución de nombres de dominio que bloquee, suspenda o redirija los nombres de dominio a uno de sus servidores seguros o a un servidor neutral. en un plazo que no podrá ser inferior a 48 horas. Un retraso que no dejó de provocar una reacción de la oposición en los escaños de la Asamblea: “Soy escéptico sobre el alcance de este artículo 32 sobre la necesidad y el plazo propuesto. 72 horas sería el mínimo para poder hacer valer sus derechos ante el tribunal administrativo, que es también el plazo mínimo para un procedimiento de libertad sumaria”, afirmó Ugo Bernalicis, diputado por Nupes. “También llamamos la atención sobre la existencia de plataformas regionales que sirven para referirse a los particulares responsables de proporcionar seguridad privada. Nos preguntamos sobre el aumento de las prerrogativas de una agencia gubernamental que ignora al sector privado”.

10 votos en contra del artículo 35

Los diputados también votaron favorablemente el artículo 33 que permitirá - para las necesidades de seguridad de los sistemas de información y con el único fin de detectar y caracterizar ataques informáticos - a los operadores de comunicaciones electrónicas o proveedores de sistemas de información la resolución de nombres de dominio, para transmitirlos a agentes autorizados. de datos técnicos no identificables de Anssi registrados temporalmente por sus servidores que gestionan el sistema de direccionamiento del dominio. Se trata de los datos almacenados en caché de los servidores de nombres de dominio, incluidas, en particular, las direcciones IP, los datos técnicos de autenticación y las marcas de tiempo, para conocer con precisión el modo de funcionamiento de los atacantes. La Asamblea Nacional también validó el artículo 34 que exige que los editores de software (establecidos en Francia, con sede en Francia o controlados por empresas con sede en Francia) notifiquen a Anssi cualquier incidente o vulnerabilidad informática. que afecten significativamente a uno de sus productos, así como el análisis de sus causas y consecuencias.

El último artículo (35) - que despertó el hemiciclo - que obtuvo la aprobación de los diputados, se refería a la posibilidad de que Anssi implementara en la red de un operador de comunicaciones, un centro de datos o un actor de confianza digital, marcadores técnicos (de lo contrario llamada sonda) con el fin de recopilar datos de la red o de un sistema de información. Los datos técnicos directamente útiles para la prevención y caracterización de amenazas no pueden conservarse durante más de dos años, sabiendo que cualquier otra información que no pertenezca a este ámbito deberá destruirse inmediatamente. Adoptado por 76 votos a favor y 10 en contra (el mayor número de los 4 artículos relativos al capítulo SSI de la LPM 2024-2030), el artículo 35 no dejó de provocar una reacción: en las bancadas socialistas, incertidumbres sobre su alcance y su control efectivo. de Arcep fue destacado, mientras diputados de Nupes cuestionaron su impacto en las libertades públicas.

La promulgación de la LPM 2024-2030 se espera para principios de julio de 2023, debiendo para entonces todos sus artículos ser discutidos y votados por los senadores.