Post Image

LPM 2018 et marqueurs techniques PODCAST cyber-sécurité NoLimitSecu : introduction et rappels

ATTENTION : la présente page web est assez lourde – laissez-lui le temps de se charger…

Pourquoi s’intéresser (encore) à la législation militaire sur la sécurité des systèmes d’information ?

[mise à jour du 17 mars 2020] parce que cet épisode de NLS a été enregistré avant le confinement du pays et qu’en principe, vous devriez avoir le temps de l’écouter hors de vos temps habituels de transport…

– ensuite, parce que cette législation est une des premières à imposer des règles élémentaires mais très précises en matière de sécurité des SI et de détection d’une menace qui ne cesse de grandir.

– enfin, parce que cette législation préfigure ce qui est en train d’arriver pour l’ensemble des professionnels qui utilisent un système d’information pour commercialiser leurs services ou leurs biens (en ligne ou pas).

Mais surtout, il est intéressant d’étudier cette législation car, contrairement à son titre, elle impacte directement un grand nombre d’acteurs économiques qui n’ont pas de lien avec le monde militaire !

Commençons par remettre le sujet du jour en perspective. Remontons à 2013.

La LPM 2013 a fait l’objet d’un épisode de NoLimitSecu le 20 novembre 2016 et d’une série de présentations en BD sur ce blog. Nous nous y référerons sans entrer ici dans les détails.

LPM 2018 et marqueurs techniques : l’épisode de No Limit Secu 

Cliquez sur ce lien pour accéder à l’épisode NLS #260 dont l’invité est Mathieu Feuillet, sous-directeur adjoint opérations de l’ANSSI.

Depuis l’enregistrement de ce podcast, l’arrété du 18 février 2020 d’indemnisation des coûts engagés par les Opérateurs de Communications Electronique a été (enfin) publié (le 7 mars 2020).

Je ne résiste pas au plaisir de partager son titre avec vous : “Arrêté pris en application de l’article R. 2321-1-5 du code de la défense fixant la tarification applicable aux prestations effectuées au titre de l’article L. 2321-2-1 du code de la défense par les opérateurs de communications électroniques et les personnes mentionnées aux 1 et 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique”.

LPM 2018 et marqueurs techniques : synthèse (pour les pressé(e)s)

La LPM 2018 (loi n°2018-607 du 13 juillet 2018) – en synthèse – impose à plusieurs types d’opérateurs économiques l’obligation de déployer dans leur système d’information des “dispositifs mettant en oeuvre des marqueurs techniques“.

Ces “dispositifs” doivent permettre de prévenir les cyber-attaques en détectant la menace.

Je ne suis pas “tech” mais j’aime bien comprendre. Alors, à l’invitation de Johanne Ulloa et des contributeurs de NoLimitSecu, j’ai préparé avant l’enregistrement une présentation en BD de cette LPM 2018 qui entre tout juste en vigueur.

Cette présentation devrait (j’espère) vous permettre de vous y retrouver dans ce maquis de textes législatifs et dans le jargon des pro.

Attention : cette LPM 2018 complète et ne remplace en rien la LPM 2013.


Commençons (en juriste diligent…) par quelques définitions.

Cyber-attaque ? Pas de définition légale ni officielle…. sauf par le Ministère des Armées dont la Ministre avait officiellement annoncé le 18 janvier 2019 prévoir se doter de capacités cyber-offensives.

La doctrine d’emploi de l’arme cyber accessible en ligne depuis le 9 septembre 2019 a même fait l’objet d’une déclinaison entre “Lutte Informatique Offensive” (LIO) et “Lutte Informatique Défensive” (LID).

Mais bon… rien qui nous aide ici à comprendre cette LPM 2018.

LPM 2018 et marqueurs techniques : POURQUOI les cyber-attaques ?

Juste 3 slides pour résumer les données du problème actuel qui sont (somme toute) assez simples : les systèmes d’information et les protocoles de communication n’ont jamais été pensés en “security by design”.

Il s’agit donc aujourd’hui d’inverser la vapeur (et apparemment, y’a du boulot…).

LPM 2018 et marqueurs techniques : petite typologie juridico-technique

Ici encore, juste quelques slides pour tenter de mettre en parallèle les problèmes techniques et leur qualification juridique en France.

Le constat est simple : il faut aller piocher dans des tas de textes légaux disparates pour s’y retrouver.

Bien entendu, ces textes ne sont pas cohérents entre eux puisqu’ils abordent tous le “problème” sous un angle différent (et pas toujours pertinent au final).

LPM 2018 et marqueurs techniques : le slider d’introduction est ci-dessous

LPM 2018 et marqueurs techniques : petite chronologie

Cette partie de mise en perspective du phénomène des cyber-attaques a été (faute de temps) zappée au cours de l’épisode.

A l’échelle de l’histoire contemporaine, le phénomène des cyber-attaques est somme toute très récent : la norme TCP/IP v1 date de 1973, la première cyberattaque probable date de 1982.

Le virus Stuxnet remonte à 2010 (attaque contre le système d’information pilotant les centrifugeuses Iraniennes de l’usine de Busher) et l’attaque qui a paralysé la centrale thermique d’Ivano-Frankivsk (Ukraine) à 2015 seulement.

Pour celles est ceux qui veulent savoir quand le problème est apparu et à quel point nous en sommes aujourd’hui, je vous invite à parcourir le slider ci-dessous.

LPM 2018 et marqueurs techniques : quelle(s) menace(s) “légale(s)” ? 

Venons-en (enfin) au vif du sujet. Pour comprendre pourquoi les “marqueurs techniques” de la LPM 2018, il faut remonter à la Loi n° 2005-1550 du 12 décembre 2005modifiant diverses dispositions relatives à la défense“.

La “LPM 2005″ imposait la sécurisation physique d’infrastructures critiques pour la Nation aux Opérateurs d’Importance Vitale”, les fameux “OIV”.

C’est la LPM n°2013-1168 du 18 décembre 2013 qui va imposer l’obligation de sécurisation aux systèmes d’information des OIV (ou “S.I.I.V.”). Je vous propose un petit rappel de l’encadrement légal des S.I.I.V. dans le slider ci-dessous.

Et c’est ici que ça devient un peu compliqué, car il faut distinguer les “événements” de sécurité des “incidents” de sécurité (pour de la prose en Shakespeare dans le texte sur le sujet, cliquez ici et dites merci à Goupil).

La LPM 2013 impose aux OIV de se protéger contre les “évènements susceptibles d’impacter la sécurité” des S.I.I.V. Lesquels OIV doivent déclarer à l’ANSSI les “évènements impactant la sécurité” des S.I.I.V. Logique.

Evidemment, s’agissant d’une législation militaire, tout cela manque de définition légale…

LPM 2018 et marqueurs techniques : il faut aller lire les référentiels de l’ANSSI ???

oui… il faut aller chercher dans d’autres textes, par exemple dans les référentiels d’exigences  P.R.I.S. V2 (2017) ou P.D.I.S. (2017) de l’ANSSI pour trouver quelques indices qui permettent de comprendre de quel type de menace on parle.

La page web du site de l’ANSSI consacrée à la déclaration des “évènement impactant la sécurité” est très éclairante, pour autant que l’on prenne le temps d’aller lire les notes de bas de page.

Il faut ensuite se pencher sur la Directive “N.I.S.” (Network Information Security) adoptée le 6 juillet 2016. La France a transposé le texte de l’UE dans une loi n°2018-133 dite “S.R.S.I.” (ou “N.I.S.”, comme vous voulez) le 26 février 2018.

Evidemment, le “risque légal” n’est pas le même dans la loi NIS que celui de la LPM 2013 : les OSE (et les FSN d’ailleurs) sont tenus de se protéger contre les “incidents qui compromettent la sécurité” des Système d’Information Essentiels (ou “SIE”), les SI des OSE (oui, pour cette matière, il faut aimer les acronymes…).

Attention avec la Directive NIS et la loi française NIS/SRSI de 2018, sont à déclarer à l’ANSSI les “incidents de sécurité” à “impact significatif“.

Ici, le “gap” de vocabulaire entre la menace légale et l’obligation de notification à l’ANSSI est très acceptable pour un juriste.

Seule bonne nouvelle à la lecture de la Directive/loi française N.I.S., si la notion d’incident ne fait l’objet d’aucune définition légale, celle de “sécurité” mérite d’être rappelée ici :


[NDLR : Hervé Schauer sera déçu de lire que “l’auditabilité” ne fait pas partie de la définition légale de la “sécurité” des système d’information mais devrait se réjouir que la notion “d’authentification” a été retenue]

Il fallait ce rappel (pénible) pour en arriver à la LPM n°2018-607 du 13 juillet 2018 qui apporte un nouveau concept juridique : les “menaces susceptibles de porter atteinte” à la sécurité des systèmes d’information.

Bien entendu, ce critère n’est assorti d’aucune définition légale précise (législation militaire oblige…).

Alors, “évènements impactant la sécurité”  = “incidents qui compromettent la sécurité” = “menaces susceptibles de porter atteinte à la sécurité” ?

Soyons fous et osons affirmer que oui ! Seule une question de degré de sensibilité distingue ces trois critères, qui, au fond, parlent tous de la même chose : la menace de cyber-attaque.

LPM 2018 et marqueurs techniques : le slider détaillant les menaces “légales” est ci-dessous

LPM 2018 et marqueurs techniques : QUI sont les professionnels concernés ?


Ici, c’est encore plus compliqué !!!

Les systèmes d’information à protéger contre la menace des cyber-attaques sont ceux des OIV (LPM de 2013) et des OSE (Directive 2016 + loi française NIS de 2018). Jusqu’ici tout va bien…

Mais l’obligation de déploiement de ces mystérieux “marqueurs techniques” concerne deux types d’opérateurs, jusqu’ici épargnés par notre législation IOV/SIIV  :

– les “personnes” qui opèrent un “service de communication au public en ligne“. Le texte de référence est la Loi pour la Confiance dans l’Economie numérique du 21 juin 2004 dite “LCEN”. En clair, sont concernés les éditeurs de site web et (surtout) les hébergeurs.

– les “opérateurs de communications électroniques” (ou “OCE” pourboire simple).

Des marqueurs techniques pour les opérateurs de communications électroniques ?

La définition “d’OCE” se trouve dans le “paquet Télécom” de l’UE du 7 mars 2002 (directive 2002/19, 2002/20, 2002/21 et pour finir 2002/22).

Cette législation est intégrée dans le Code des Postes et Communications électroniques (ou “CPCE” là aussi pour la faire courte).

Pour la définition française d’un “opérateur de communications électroniques“, cherchez le 15° de l’art. L.32 CPCE.

Pour résumer, la notion d’OCE recouvre aujourd’hui (i) les opérateurs télécom (fixe et mobile) et (ii) les Fournisseurs d’Accès Internet (“F.A.I.” pour continuer avec les acronymes barbares…)..

MAIS… la jurisprudence de la Cour de Justice de l’UE (“CJUE”) (la Cour Suprême de l’UE) a rendu deux décisions en 2019 qui nécessitent de faire évoluer notre compréhension habituelle de la notion d’OCE :

– la première a dit que SkypeOut est effectivement un OCE au sens du Paquet Télécom de l’UE;

– la seconde a retenu que le service Gmail de Google n’est pas un OCE.

ET… entre temps, a été adopté une Directive UE (n°2018/1972 du 11 décembre 2018) qui réforme les Directives 2002/19/20/21 et /22 impose que les opérateurs de “Service de Communications Électroniques” (de type messagerie) soient retenus comme des OCE à compter de l’entrée en vigueur de cette Directive “Code des Communications Electroniques Européen”.

Alors, les marqueurs techniques s’appliquent à qui ? A tous ceux que je viens de citer.

Maintenant, le problème est de savoir lesquels vont tirer les conséquences légales de cet élargissement (notable) de la définition d’opérateur de communications électroniques…

Pour le dire autrement qu’en jargon juridique, attendons de voir si les “FaceTime”, “Skype” et autre “Google Duo” mettront en oeuvre les “marqueurs techniques” que pourrait leur imposer l’A.N.S.S.I.

LPM 2018 et marqueurs techniques : le détail des professionnels concernés dans le slider ci-dessous

LPM 2018 et marqueurs techniques : au fait… c’est quoi des “marqueurs techniques” ?

Si vous êtes un professionnel de la matière, la question “c’est quoi des marqueurs techniques ?” vous paraitra (presque) idiote.

Si cette question ne vous semble pas idiote, les quelques lignes ci-dessous sont pour vous.

Les “marqueurs technique” sont des données techniques dites observables qui peuvent être collectées via un “dispositif” (matériel + logiciel) intégré dans un système d’information.

Ces observables combinés permettent d’identifier des “IOC” (Indicator Of Compromise) ou indicateur de compromissionC’est la base de la (cyber) threat Intelligence ! La “threat intelligence”, c’est la science de l’analyse de la menace cyber…

Si vous n’avez rien compris aux deux phrases précédentes (ce qui n’a rien d’anormal si vous êtes juriste comme moi), vous attendez sans doute des explications de la part des contributeurs de NoLimitSecu.

En fait, si vous allez lire les référentiels d’exigence PRIS et PDIS de l’ANSSI que j’ai cité plus haut, vous aurez (plus qu’) un début d’explication.

Pour résumer le débat, et afin d’identifier une cyber menace/attaque, l’ANSSI a besoin de collecter des éléments appelés observables (adresses IP, URL, empreintes cryptographiques, etc.).

Isolément, ces observables sont juste des éléments techniques qui permettent d’identifier un type d’attaque ou d’attaquant.

Combinés entre eux, certains observables constituent des menaces identifiées de cyber attaque et deviennent alors des “IOC” (i) dont les systèmes d’informations des OIV et des OSE doivent se prémunir et (ii) qui peuvent être identifiés par les opérateurs de communications électroniques, les FAI et les hébergeurs..

Juridiquement, les “dispositifs” mettant en oeuvre les “marqueurs techniques” sont donc des logiciels installés sur des serveurs qui permettent de collecter des métadonnées [NDLR : ça sent la boite noire, comme dans la loi Renseignement, tout ça…].

Il m’a semblé utile de fournir ces explications avant de vous livrer la définition officielle des “marqueurs techniques” en provenance du décret “LPM”n°2018-1136 du 13 décembre 2018 :


Les “marqueurs techniques” peuvent avoir deux origines :

– soit ils sont imposés par l’ANSSI à l’OCE ou à l’hébergeur

– soit ils sont déployés par l’OCE / l’hébergeur avec l’accord de l’ANSSI.

Le sous Directeur opérations de l’ANSSI invité du podcast vous expliquera la différence des deux régimes mieux que moi, allez l’écouter !

“Marqueurs techniques” et libertés publiques ?

Des craintes (légitimes” ont surgi lors de l’adoption du texte en 2018.

Apparemment, de l’avis même du Directeur Général de l’ANSSI, les dispositifs de collecte permettent de faire du Deep Packet Inspection et d’aller chercher des métadonnées directement dans le flux des données numériques en transit entre leur point de départ et leur point d’arrivée.

Et si vous voulez savoir ce qu’en pense la presse spécialisé (Marc Rees chez Next INpact) et nos parlementaires, allez lire les slides ci-dessous.

Néanmoins, trois éléments importants de nature à rassurer les citoyens sur ce point :

– l’ANSSI n’est pas un des 7 “services spécialisés de renseignement” au sens de la loi “Renseignement” n°2015-912 du 24 juillet 2015 (voir le décret n°2015-1185 du 28 septembre 2015 “portant désignation des services spécialisés de renseignement”). Entre temps, la DPSD est devenue la DRSD et depuis l’arrêté du 29 mai 2019, le Ministère de la Justice dispose lui aussi d’un service de renseignement à compétence nationale dénommé “Service national du renseignement pénitentiaire”.

– l’ANSSI exerce son activité de déploiement des marqueurs technique sous le contrôle de l’ARCEP.

– le texte de la LPM 2018 est sans ambiguïté sur l’usage que peut faire l’ANSSI des observables issus des “marqueurs techniques” : caractériser une menace cyber à l’exclusion de tout autre usage.

LPM 2018 et marqueurs techniques : l’obligation de notification (ANSSI et “abonnés”)

C’est une des grandes nouveautés de cette LPM 2018 : les OCE auront l’obligation de notifier à l’ANSSI tout “évènement susceptible d’affecter la sécurité” de leur SI.

Cette obligation ne concernait – en application de la LPM 2013 – que les OIV et – en application de la, loi NIS de 2018 – que les OSE et les FSN..

Ah oui, j’oubliais… en cas de “vulnérabilité” ou “d’atteinte subi” par le terminal des “abonnés”, l’opérateur télécom / le FAI devra – si l’ANSSI l’impose -aussi en informer ses clients.

Bien entendu, même si ces deux termes ne font pas débat pour les professionnels, nous les juristes manquons de définition légale pour l’un et l’autre.

Pour la notion de “vulnérabilité”, il est recommandé (tout de même) de se référer à la définition du glossaire de l’ANSSI :

Faute, par malveillance ou maladresse, dans les spécifications, la conception, la réalisation, l’installation ou la configuration d’un système, ou dans la façon de l’utiliser. Remarques : Une vulnérabilité peut être utilisée par un code d’exploitation et conduire à une intrusion dans le système.”.

Pour la notion “d’atteinte subie”, il me semble que le texte de référence soit les articles 323-1 à 323-3 du Code pénal (“atteinte à un système automatisé de données“).

La définition “d’atteinte” ne relève pas du moyen utilisé mais de ses conséquences sur le système d’information attaqué.

Cette obligation d’information m’inspire deux commentaires (en plus de l’exemple des pharmacies donné par l’invité du podcast) :

– soit l’ANSSI anticipe déjà un problème majeur et veut disposer dès à présent d’un outil juridique pour obliger les OCE à communiquer de manière transparente…

– soit la situation en termes de sécurité des SI est plus grave encore que celle dont on nous parle hors statut “Confidentiel-Défense”.

Entre la peste et le choléra, j’avoue avoir des difficultés à trancher…

Bref, vous trouverez ci-dessous quelques slides rapides sur ce point.

LPM 2018 et marqueurs techniques : l’obligation de notification dans le slider ci-dessous

LPM 2018 et marqueurs techniques : mais qui va payer ?

Je vous laisse deviner… ou vérifier dans les slides ci-dessous, fondement légal à l’appui (au cas où vous auriez des doutes…).

Le texte légal est donc l’arrété du 18 février 2020 d’indemnisation des coûts engagés par les Opérateurs de Communications Electroniques et les opérateurs “LCEN” (en clair, principalement les hébergeurs..

Je ne résiste pas au plaisir de partager son titre avec vous : “Arrêté pris en application de l’article R. 2321-1-5 du code de la défense fixant la tarification applicable aux prestations effectuées au titre de l’article L. 2321-2-1 du code de la défense par les opérateurs de communications électroniques et les personnes mentionnées aux 1 et 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique”.

Rassurez-vous, les opérateurs concernés ne vont pas gagner d’argent dans cette affaire : l’arrêté évoque une “compensations… après présentation d’une facture du montant de la prestation” sur la base d’un “tarif” figurant en annexe de l’arrêté…

LPM 2018 et marqueurs techniques : la responsabilité pénale (salarié(e) personne physique et/ou personne morale)

Oui, je sens que le titre va attirer votre attention (enfin… pour celles et ceux qui ont survécu à la lourdeur des explications du jour…).

Pour nous, juristes, cette LPM 2018 intègre une véritable nouveauté en distinguant clairement entre responsabilité de la personne morale et celle du/de la salarié(e) personne physique.

Pour l’entreprise qui refuse d’appliquer les “marqueurs techniques“, c’est une amende pénale d’un montant allant jusqu’à 150.000 €uros.

Pour le/la salarié(e) personnellement coupable de ce refus, la loi permet de prononcer une peine personnelle d’interdiction d’exercice d’activité professionnelle !!!

Si vous, DSI / RSSI / etc. refusez de mettre en oeuvre les marqueurs techniques que l’ANSSI vous impose, vous pouvez officiellement – et avec mention au casier judiciaire – faire l’objet d’une interdiction d’exercer.


Si on veut bien voir cette mesure coté régulateur, il est vrai que le régime des sanctions prévues dans la LPM 2018 sera certainement bien plus efficace que celui de la loi NIS du 26 février 2018 qui prévoit une “amende” allant jusqu’à 125.000 €uros pour le “dirigeant” (notion non définie juridiquement)..

Comme vous êtes plusieurs à nous demander un récapitulatif sur ces problématiques de sanction pénale potentielle, nous vous préparons une présentation spéciale sur le sujet…

LPM 2018 : un cavalier pour modifier la loi “surveillance internationale” ?

Sous la présidence de François Hollande, le gouvernement Vals nous avait gratifié de deux lois relatives à la surveillance des communications électroniques :

– la loi “Renseignement n°2015-912 du 24 juillet 2015 (amendée le 21 juillet 2016) et

– la loi dite “surveillance des communications électroniques internationalesn°2015-1556 du 30 novembre 2015.

Ces deux textes ont été intégrés dans le Code de la sécurité intérieure. C’est ce CSI qui fait l’objet de modifications discrètes par la LPM du 13 juillet 2018.

Vous noterez que l’effet de “discrétion” (recherché par tous les exécutifs successifs qui réforment la matière) a été obtenu : avez-vous jamais entendu qui que ce soit protester d’une manière ou d’une autre contre cette évolution législative ?

LPM 2018 et marqueurs techniques : le générique des BD utilisées (merci Delcourt / Soleil !)

avec un merci tout particulier @FuraxFox pour sa patience et ses réponses très détaillées à mes messages Telegram, même le samedi !!!