Nouveau décret sur la régulation de la sécurité informatique
Par Bertrand Lemaire | Le | Cybersécurité
Après l’adoption de la LPM, un décret est récemment paru pour fixer les modalités pratiques des contrôles opérés par l’ANSSI et l’ARCEP en matière de sécurité des systèmes d’information.
Suite à l’adoption de la « loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense », il restait à fixer les modalités pratiques d’une série de contrôles réglementaires sur la sécurité des systèmes d’information. La parution du décret n° 2024-421 du 10 mai 2024 vient combler ce manque. Il précise notamment les modalités des nouvelles compétences conférées à l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et à l’ARCEP (Autorité de Régulation des Communications Electroniques, des Postes et de la distribution de la Presse).
L’ANSSI est ainsi désormais en mesure de réaliser un filtrage de noms de domaine en cas de menace contre la sécurité nationale, d’obtenir communication de certaines données techniques de cache de serveurs de systèmes de noms de domaine, une détection renforcée des cyberattaques (notamment via l’implantation de sondes) et de mieux informer les victimes, etc. Les DSI seront également satisfaits de l’obligation faite aux éditeurs de logiciel victimes d’un incident informatique sur leurs systèmes d’information ou ayant une vulnérabilité critique sur un produit ou un service d’en informer l’ANSSI et leurs clients français.