Le ministre des communications électroniques peut imposer des audits de sécurité des opérateurs telecoms

Publié le par - 0 vues

Après l’obligation de notification à la CNIL des fuites de données personnelles, imposée aux opérateurs de communications électroniques dans le cadre de la transposition du paquet telecom, c’est de nouveau la sécurité des opérateurs qui est au cour de ces nouvelles dispositions qui prévoient la possibilité pour le ministre des communication électronique d’ordonner des contrôles des installations, des réseaux et des services des opérateurs.

Par application du Décret 2012-1266 du 15 novembre 2012, le ministre chargé des communications électroniques peut imposer la réalisation de contrôles de sécurité et d’intégrité des installations, réseaux et services des opérateurs de communication.

Le ministre informe l’Autorité de régulation des communications électroniques et des postes des contrôles qu’il diligente.

Les contrôles ont pour objet de vérifier les mesures prises par l’opérateur pour assurer la sécurité de son réseau et de ses services à un niveau adapté au risque existant, pour assurer l’intégrité de son réseau et garantir la continuité des services fournis.

L’opérateur se voit notifier par le ministre, les objectifs du contrôle et le délai dans lequel le contrôle doit être achevé (six mois maxi), il est également précisé si le contrôle doit être effectué par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ou par un autre service de l’Etat ou par un organisme qualifié indépendant. Dans ce dernier cas, l’opérateur choisit l’organisme sur la liste mentionnée à l’article R. 9-7 et le coût du contrôle est fixé par contrat entre l’opérateur et l’organisme.

En principe un même réseau ou un même service ne pourra faire l’objet que d’un contrôle par an. Toutefois, le décrêt prévoit que s’il s’avère que lesdits réseaux ou services d’un opérateur "on fait l’objet d’une atteinte à leur sécurité ou d’une
perte d’intégrité ayant un impact significatif sur leur fonctionnement ou lorsque des défauts ou des vulnérabilités dans les mesures prises pour assurer la sécurité et l’intégrité des installations, réseaux ou services de l’opérateur ont été constatés à l’occasion d’un précédent contrôle intervenu au cours de la même année civile" d’autres contrôles pourront alors être engagés.

Le service ou l’organisme chargé des contrôles établit un rapport comportant ses constatations ainsi qu’une appréciation de l’efficacité des mesures prises par l’opérateur et d’éventuelles recommandations.

Les contrôles peuvent être réalisés par l’ANSSI, par un autre service de l’Etat ou par un organisme qualifié indépendant.

Pour obtenir l’accréditation permettant d’effectuer les contrôles, l’article 1er du décret prévoit que les organismes qui postulent doivent :
– Justifier d’une accréditation pour la réalisation de contrôles de la sécurité et de l’intégrité des installations, réseaux et services des opérateurs de communications électroniques délivrée par le Comité français d’accréditation ou par un organisme signataire de l’accord européen multilatéral pris dans le cadre de la coordination européenne des organismes d’accréditation ;
– Disposer de personnels titulaires de l’habilitation mentionnée à l’article R. 2311-7-1 du code de la défense permettant l’accès à des informations classifiées au niveau “Confidentiel Défense” notamment pour pouvoir réaliser les contrôles des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du même code ;
– Disposer de personnels autorisés à exercer le contrôle prévu au premier alinéa du présent article au terme d’une enquête administrative réalisée conformément à l’article L. 114-1 du code de la sécurité intérieure ;
– Justifier de son indépendance vis-à-vis des opérateurs de communications électroniques en démontrant qu’il n’agit pas sous le contrôle de l’un d’eux au sens de l’article L. 233-3 du code de commerce ou qu’il ne fournit pas de services ou d’équipements utilisés dans les installations, réseaux ou services de ceux-ci.

Les demandes d’accréditation sont adressées au haut fonctionnaire de défense et de sécurité du ministère chargé des communications électroniques qui les instruit, les établissements accrédités seront inscrits sur une liste spécifique. Toute modification des éléments ayant conduit à l’octroie de l’accréditation doit être communiquée sans délai à la connaissance du ministre chargé des communications électroniques, qui peut retirer l’organisme de la liste à titre définitif ou temporaire après l’avoir mis à même de présenter ses observations dans un délai de quinze jours.

Décret no 2012-1266 du 15 novembre 2012 relatif au contrôle de la sécurité et de l’intégrité des installations, réseaux et services des opérateurs de communications électroniques : http://www.legifrance.gouv.fr/jopdf/common/jo_pdf.jspnumJO=0&dateJO=20121117&numTexte=18&pageDebut=18219&pageFin=18221

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK