Décret n° 2018-1136 du 13 décembre 2018 pris pour l’application de l’article L. 2321-2-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques

JO du 14 décembre 2018

Ce texte fait partie des textes d’application de la loi n° 2018-607 du 13 juillet 2018 relative à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense, et en particulier, de l’article 34 du chapitre III « Dispositions relatives à la cyberdéfense » qui a introduit notamment les mesures suivantes :

* possibilité pour les opérateurs de communications électroniques de recourir sur leurs réseaux à des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés ;
* possibilité pour les agents habilités et assermentés de l’autorité nationale de sécurité des systèmes d’information (l’ANSSI) d’obtenir des opérateurs de communications électroniques les données techniques strictement nécessaires à la prévention, la caractérisation et l’analyse de l’événement ;
* possibilité pour l’ANSSI de mettre en œuvre sur le réseau des opérateurs ou sur le système d’information des hébergeurs des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information d’autorités publiques, d’opérateurs d’importance vitale ou de fournisseurs de services essentiels.
Dans ce cadre, il intègre dans le code de la défense (articles R.2321-1-1 à R.2321-1-5) et le code des postes et des communications électroniques (articles R.9-12-1 à R.9-12-7 et R.10-15) de nouvelles dispositions précisant principalement :
* les conditions de mise en œuvre, par les opérateurs de communications électroniques, de dispositifs de détection des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés, les catégories de données pouvant être conservées ainsi que des modalités d’échange entre ces opérateurs et l’ANSSI ;
* les conditions dans lesquelles l’agence peut mettre en œuvre sur le réseau d’un opérateur de communications électroniques ou le système d’information d’un hébergeur, des dispositifs de détection des événements susceptibles d’affecter la sécurité des systèmes d’information des autorités publiques et de certains opérateurs (conditions de durée notamment) ;
* les modalités de contrôle, par l’Autorité de régulation des communications électroniques et des postes, de la mise en œuvre de ces dispositions. 
Il modifie le décret n° 2009-834 du 7 juillet 2009 portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information » pour préciser les missions de l’ANSSI.

Ces dispositions entrent en vigueur le 1er janvier 2019.