Pour être en mesure de répondre aux attaques mentionnées au premier alinéa, les services de l'Etat déterminés par le Premier ministre peuvent détenir des équipements, des instruments, des programmes informatiques et toutes données susceptibles de permettre la réalisation d'une ou plusieurs des infractions prévues aux articles 323-1 à 323-3 du code pénal, en vue d'analyser leur conception et d'observer leur fonctionnement.

Aux seules fins de garantir la défense et la sécurité nationale, lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques ou des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, l'autorité nationale de sécurité des systèmes d'information peut mettre en œuvre, sur le réseau d'un opérateur de communications électroniques ou sur le système d'information d'une personne mentionnée aux 1 ou 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ou d'un opérateur de centre de données :

1° Des dispositifs mettant en œuvre des marqueurs techniques ;

2° Ou, sur avis conforme de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, des dispositifs permettant le recueil de données sur le réseau d'un opérateur de communications électroniques ou sur le système d'information d'une personne mentionnée aux mêmes 1 ou 2 ou d'un opérateur de centre de données affecté par la menace.

Ces dispositifs sont mis en œuvre pour une durée et dans une mesure strictement nécessaires à la caractérisation de la menace et aux seules fins de détecter et de caractériser des événements susceptibles d'affecter la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou à l'article 5 de la loi n° 2018-133 du 26 février 2018 précitée et des opérateurs publics ou privés participant aux systèmes d'information de ces entités.

Les agents de l'autorité nationale de sécurité des systèmes d'information individuellement désignés et spécialement habilités sont autorisés, aux seules fins de prévenir et de caractériser la menace affectant les systèmes d'information des entités mentionnées au premier alinéa du présent article, à procéder au recueil des données et à l'analyse des seules données techniques pertinentes, à l'exclusion de toute autre exploitation.

Les données directement utiles à la prévention et à la caractérisation des menaces ne peuvent être conservées plus de deux ans. Les autres données recueillies par les dispositifs mentionnés aux 1° et 2° sont détruites dans un délai bref, précisé par voie réglementaire.

Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, définit les modalités d'application du présent article. Il détermine notamment les informations et les catégories de données conservées en application du 2°.

Est puni de 150 000 € d'amende le fait, pour un opérateur de communications électroniques ou ses agents ou pour une personne mentionnée au premier alinéa de l'article L. 2321-2-1, de faire obstacle à la mise en œuvre, par l'autorité nationale de sécurité des systèmes d'information, des dispositifs mentionnés au même premier alinéa.

Les personnes physiques coupables de cette infraction encourent également l'interdiction, pour une durée de cinq ans au plus, d'exercer l'activité professionnelle à l'occasion de l'exercice de laquelle l'infraction a été commise.

I.-Lorsqu'il est constaté qu'une menace susceptible de porter atteinte à la défense et à la sécurité nationale résulte de l'exploitation d'un nom de domaine à l'insu de son titulaire qui l'a enregistré de bonne foi, l'autorité nationale de sécurité des systèmes d'information peut demander à ce titulaire de prendre les mesures adaptées pour neutraliser cette menace dans un délai qu'elle lui impartit et qui tient compte de la nature de ce titulaire ainsi que de ses contraintes opérationnelles.

En l'absence de neutralisation de cette menace dans le délai imparti, l'autorité nationale de sécurité des systèmes d'information peut demander :

1° A un fournisseur de système de résolution de noms de domaine, au sens de l'article L. 2321-3-1, de bloquer le nom de domaine ;

2° A l'office d'enregistrement, mentionné à l'article L. 45 du code des postes et des communications électroniques, ou à un bureau d'enregistrement établi sur le territoire français, mentionné à l'article L. 45-4 du même code, de suspendre le nom de domaine.

Lorsque le titulaire du nom de domaine apporte des éléments établissant que la menace est neutralisée, l'autorité nationale mentionnée au premier alinéa du présent I demande qu'il soit mis fin sans délai aux mesures prises en application des 1° ou 2°.

II.-Lorsqu'il est constaté qu'une menace susceptible de porter atteinte à la défense et à la sécurité nationale résulte de l'exploitation d'un nom de domaine enregistré à cette fin, l'autorité nationale de sécurité des systèmes d'information peut demander :

1° A une personne mentionnée au 1° du I de procéder au blocage ou à la redirection du nom de domaine vers un serveur sécurisé de l'autorité nationale ou vers un serveur neutre ;

2° A l'office d'enregistrement ou à un bureau d'enregistrement, mentionnés au 2° du même I, d'enregistrer, de renouveler, de suspendre ou de transférer le nom de domaine. A la demande de l'autorité, les données d'enregistrement ne sont pas rendues publiques.

III.-Les mesures prévues aux I et II sont prises par les personnes mentionnées aux 1° et 2° des mêmes I et II dans un délai, fixé par l'autorité nationale de sécurité des systèmes d'information, qui ne peut être inférieur à deux jours ouvrés.

Elles sont mises en œuvre pour une durée et dans une mesure strictement nécessaires et proportionnées dans leurs effets à la préservation de l'intégrité du réseau, à la caractérisation et à la neutralisation de la menace et à l'information des utilisateurs ou des détenteurs des systèmes affectés, menacés ou attaqués.

Les mesures de redirection d'un nom de domaine vers un serveur sécurisé de l'autorité nationale de sécurité des systèmes d'information prises aux fins de caractérisation de la menace ne peuvent excéder une durée de deux mois. Elles peuvent être renouvelées une fois en cas de persistance de la menace, sur avis conforme de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse. Elles prennent fin, sans délai, lorsque la menace est neutralisée.

Les mesures prévues aux I et II, exception faite de celles prévues au troisième alinéa du présent III, sont soumises au contrôle de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse dans les conditions prévues au I de l'article L. 36-14 du code des postes et des communications électroniques.

IV.-Les données directement utiles à la caractérisation des menaces, recueillies par l'autorité nationale de sécurité des systèmes d'information en application du II du présent article, ne peuvent être conservées plus de cinq ans. Les autres données recueillies sont détruites dans un délai bref, précisé par voie réglementaire, quand elles ne sont pas utiles à la caractérisation de la menace, à l'exception des données permettant d'identifier les utilisateurs ou les détenteurs des systèmes d'information menacés, lesquels peuvent être informés par l'autorité mentionnée à la première phrase du présent IV, le cas échéant après mise en œuvre du premier alinéa de l'article L. 2321-3.

V.-Un décret en Conseil d'Etat, pris après avis de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse et de la Commission nationale de l'informatique et des libertés, précise les modalités d'application du présent article ainsi que les modalités de compensation des surcoûts identifiables et spécifiques des prestations assurées à ce titre, à la demande de l'Etat, par les personnes mentionnées aux 1° et 2° des I et II du présent article.

Pour les besoins de la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, les agents de l'autorité nationale de sécurité des systèmes d'information, habilités par le Premier ministre dans des conditions fixées par décret en Conseil d'Etat et dont la liste est transmise à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, peuvent obtenir des opérateurs de communications électroniques, en application du II bis de l'article L. 34-1 du code des postes et des communications électroniques et des personnes mentionnées au 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, en application du II du même article 6, l'identité, l'adresse postale et l'adresse électronique d'utilisateurs ou de détenteurs de systèmes d'information vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou l'atteinte de leur système.

Lorsque l'autorité nationale de sécurité des systèmes d'information est informée, en application de l'article L. 33-14 du code des postes et des communications électroniques, de l'existence d'un événement affectant la sécurité des systèmes d'information d'une autorité publique, d'un opérateur mentionné aux articles L. 1332-1 et L. 1332-2 du présent code ou à l'article 5 de la loi n° 2018-133 du 26 février 2018 précitée ou d'un opérateur public ou privé participant aux systèmes d'information d'une des entités mentionnées au présent alinéa, les agents mentionnés au premier alinéa du présent article peuvent obtenir des opérateurs de communications électroniques les données techniques strictement nécessaires à l'analyse de cet événement. Ces données ne peuvent être exploitées qu'aux seules fins de caractériser la menace affectant la sécurité de ces systèmes. Elles ne peuvent être conservées plus de cinq ans.

Les surcoûts identifiables et spécifiques des prestations suivantes effectuées à la demande de l'autorité nationale de sécurité des systèmes d'information sont compensés selon des modalités prévues par décret en Conseil d'Etat :

1° Les prestations assurées par les opérateurs de communications électroniques en application du premier alinéa du présent article, dans les conditions prévues au VI de l'article L. 34-1 du code des postes et des communications électroniques, et du deuxième alinéa du présent article ;

2° Les prestations assurées par les personnes mentionnées au 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 précitée.

Aux seules fins de détecter et de caractériser des menaces et des attaques informatiques susceptibles de porter atteinte à la défense, à la sécurité nationale et à la sécurité des systèmes d'information, les fournisseurs de système de résolution de noms de domaine transmettent aux agents de l'autorité nationale de sécurité des systèmes d'information individuellement désignés et spécialement habilités les données techniques ni directement ni indirectement identifiantes enregistrées de manière temporaire par leurs serveurs gérant le système d'adressage par domaines.

A cette fin, les fournisseurs de système de résolution de noms de domaine transmettent à l'autorité nationale de sécurité des systèmes d'information les données mentionnées au premier alinéa, qu'ils rendent préalablement anonymes. Ils ne transmettent aucune donnée technique permettant d'identifier la source de la connexion ou relative aux équipements terminaux utilisés. Les données transmises ne peuvent être exploitées qu'aux seules fins mentionnées au même premier alinéa et ne peuvent être conservées plus de cinq ans.

Pour l'application dudit premier alinéa, on entend par fournisseur de système de résolution de noms de domaine la personne mettant à disposition un service permettant la traduction d'un nom de domaine en un numéro unique identifiant un appareil connecté à internet.

Un décret en Conseil d'Etat, pris après avis de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse et de la Commission nationale de l'informatique et des libertés, détermine les modalités d'application du présent article. Il détermine notamment les données techniques collectées par les agents de l'autorité nationale de sécurité des systèmes d'information ainsi que la fréquence et les conditions de leur transmission par les fournisseurs de système de résolution de noms de domaine.

Pour les besoins de la sécurité des systèmes d'information, l'obligation prévue à l'article 40 du code de procédure pénale n'est pas applicable à l'égard d'une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d'information une information sur l'existence d'une vulnérabilité concernant la sécurité d'un système de traitement automatisé de données.

L'autorité préserve la confidentialité de l'identité de la personne à l'origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée.

L'autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace mentionnés au premier alinéa du présent article aux fins d'avertir l'hébergeur, l'opérateur ou le responsable du système d'information.

En cas de vulnérabilité significative affectant un de leurs produits ou en cas d'incident informatique compromettant la sécurité de leurs systèmes d'information et susceptible d'affecter significativement un de leurs produits, les éditeurs de logiciels notifient à l'autorité nationale de sécurité des systèmes d'information cette vulnérabilité ou cet incident ainsi que l'analyse de ses causes et de ses conséquences. Cette obligation s'applique aux éditeurs qui fournissent ce produit :

1° Sur le territoire français ;

2° A des sociétés ayant leur siège social sur le territoire français ;

3° Ou à des sociétés contrôlées, au sens de l'article L. 233-3 du code de commerce, par des sociétés ayant leur siège social sur le territoire français.

Les éditeurs de logiciels informent les utilisateurs de ce produit, dans un délai fixé par l'autorité nationale de sécurité des systèmes d'information et déterminé en fonction de l'urgence, des risques pour la défense et la sécurité nationale et du temps nécessaire aux éditeurs pour prendre les mesures correctives. A défaut, l'autorité nationale de sécurité des systèmes d'information peut enjoindre aux éditeurs de logiciels de procéder à cette information. Elle peut également informer les utilisateurs ou rendre publics cette vulnérabilité ou cet incident ainsi que son injonction aux éditeurs si celle-ci n'a pas été mise en œuvre.

Pour l'application du présent article, on entend par éditeur de logiciel toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d'utilisateurs, à titre onéreux ou gratuit.

Pour l'application du premier alinéa, on entend par incident informatique tout événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou faisant l'objet d'un traitement ou des services que les réseaux et les systèmes d'information offrent ou rendent accessibles.

Un décret en Conseil d'Etat, pris après avis de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, définit les modalités d'application du présent article. Il précise notamment les critères d'appréciation du caractère significatif de la vulnérabilité ou de l'incident mentionnés au premier alinéa. Le caractère significatif de la vulnérabilité est défini en fonction des pratiques et des standards internationaux communément admis.

L'Autorité de régulation des communications électroniques et des postes est chargée de veiller au respect par l'autorité nationale de sécurité des systèmes d'information des conditions d'application des articles L. 2321-2-1 et L. 2321-2-3, du deuxième alinéa de l'article L. 2321-3 et de l'article L. 2321-3-1.