En vertu d'un décret du 27 mars 2015, les fournisseurs d'accès à internet et hébergeurs déclarés "d'importance vitale" auront l'obligation de fournir à l'Etat toutes les documentations techniques sur les matériels et logiciels utilisés dans leurs réseaux, ainsi que les codes sources.

Outre l'installation obligatoire de produits de sécurité qualifiés par l'Etat ou par des prestataires agréés, les fournisseurs d'accès à internet (FAI) et les hébergeurs considérés comme "d'importance vitale" par la France auront aussi l'obligation de donner accès à toutes les informations techniques sur leur réseau, qui relèvent en principe du secret industriel.

Dans son décret n° 2015-351 du 27 mars 2015 publié dimanche, le Gouvernement se fonde sur l'article L1332-6-3 du code de la défense créé par la loi de programmation militaire de fin 2013, pour exiger que les opérateurs d'importance vitale "soumettent leurs systèmes d'information à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité prévues".

Dans le cadre de ce contrôle, qui pourra avoir lieu une fois par an (ou plus souvent en cas de défaillances), les FAI et hébergeurs concernés devront fournir à l'ANSSI ou au prestataire privé agréé "notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels", ainsi que "les moyens nécessaires pour accéder à ses systèmes d'information et à l'ensemble de leurs composants afin de permettre au service de l'Etat ou au prestataire de réaliser des analyses sur les systèmes, notamment des relevés d'informations technique".

Un rapport classé secret-défense désignera alors "les vulnérabilités et les manquements aux règles de sécurité constatés lors du contrôle", ainsi que les recommandations pour y remédier.

RESONSABILITÉ PERSONNELLE DES DIRIGEANTS

En premier lieu, il s'agit pour l'Etat de s'assurer que les systèmes d'information des FAI et des hébergeurs français soient résistants et résilients, en cas de cyberattaque de la part d'une puissance étrangère ou d'un groupe privé.

Mais il est difficile de ne pas imaginer que les informations glanées puissent aussi bénéficier à d'autres services, en particulier ceux de la Direction générale de la sécurité intérieure (DGSI), pour faciliter l'espionnage de cibles devant faire l'objet de surveillances. Même si elle ne participe pas directement aux opérations, le décret prévoit que l'ANSSI "communique aux ministres coordonnateurs des secteurs d'activités d'importance vitale concernés les conclusions du contrôle". Or parmi ces ministres figure bien sûr le ministre de l'intérieur et le ministre de la défense, qui supervisent les services de renseignement.

L'article R1332-41-23 du décret précise que si un opérateur refuse de se plier aux contrôles ou aux obligations d'installer les "produits de sécurité" imposés par l'Etat, l'ANSSI pourra saisir l'autorité judiciaire et demander la condamnation personnelle des dirigeants à 150 000 euros d'amende.