Code de la défense

Version en vigueur au 11/05/2026Version en vigueur au 11 mai 2026

Table de concordance

Lorsque des dispositions ont été déplacées ou modifiées, une table de concordance est créée qui permet de relier dans un tableau une ou plusieurs anciennes dispositions d'un texte ou d'un code à leur nouvelle disposition.

Cela est utile dans le cadre d'une création de code (codification), d'une refonte de code ou recodification.

Accéder au code

TABLES DE CONCORDANCE

CODIFICATION

  • Partie législative (parties 1 à 3) au JO du 21/12/2004 : dossier législatif de l'ordonnance n° 2004-1374 du 20 décembre 2004 relative à la partie législative du code de la défense ;
  • Partie législative (partie 4) au JO du 30/03/2007 : dossier législatif de l'ordonnance n° 2007-465 du 29 mars 2007 relative au personnel militaire, modifiant et complétant la partie législative du code de la défense et le code civil ;
  • Partie réglementaire (partie 1) au JO du 24/04/2007 : décrets du 23 avril 2007 n° 2007-583 relatif à certaines dispositions réglementaires de la première partie du code de la défense (Décrets en Conseil d'Etat et en conseil des ministres), 2007-584 relatif à certaines dispositions réglementaires de la première partie du code de la défense (Décrets en conseil des ministres), 2007-585 relatif à certaines dispositions réglementaires de la première partie du code de la défense (Décrets en Conseil d'Etat) et 2007-586 relatif à certaines dispositions réglementaires de la première partie du code de la défense (Décrets) ;
  • Partie réglementaire (partie 4) au JO du 25/04/2008 : décrets du 23 avril 2008 n° 2008-391 relatif à certaines dispositions réglementaires de la quatrième partie du code de la défense (Décrets en Conseil d'Etat et en conseil des ministres), 2008-392 relatif à certaines dispositions réglementaires de la quatrième partie du code de la défense (Décrets en Conseil d'Etat) et 2008-393 relatif à certaines dispositions réglementaires de la quatrième partie du code de la défense (Décrets) ;
  • Partie réglementaire (partie 3)  au JO du 27/11/2008 : décrets du 25 novembre 2008 n° 2008-1218 relatif à certaines dispositions réglementaires de la troisième partie du code de la défense (Décrets en Conseil d'Etat et en conseil des ministres) et 2008-1219 relatif à certaines dispositions réglementaires de la troisième partie du code de la défense (Décrets en Conseil d'Etat et décrets simples) ;
  • Partie réglementaire (parties 1 et 2) au JO du 6/03/2009 : décret n° 2009-253 du 4 mars 2009 relatif à certaines dispositions de la deuxième partie réglementaire du code de la défense et modifiant la première partie réglementaire de ce code et décret n° 2009-254 du 4 mars 2009 relatif à certaines dispositions réglementaires de la deuxième partie du code de la défense (Décrets en Conseil d'Etat et décrets simples) ;
  • Partie réglementaire (parties 2 et 3) au JO du 25/11/2009 : décret n° 2009-1440 du 23 novembre 2009 modifiant et complétant les deuxième et troisième parties réglementaires du code de la défense ;
  • Partie réglementaire (partie 5) au JO du 19/03/2011 : décret n° 2011-280 du 16 mars 2011 relatif à certaines dispositions de la cinquième partie réglementaire du code de la défense.
  • Partie législative (partie 6) au JO du 12/12/2019 : dossier législatif de l'ordonnance n° 2019-1335 du 11 décembre 2019 portant dispositions relatives à l'outre-mer du code de la défense.
  • Partie réglementaire (parties 1 et 6) au JO du 13/04/2021 : décret n° 2021-427 du 8 avril 2021 portant dispositions relatives à l'outre-mer du code de la défense.

VOIR AUSSI

  • Décret n° 2019-1271 du 2 décembre 2019 relatif aux modalités de classification et de protection du secret de la défense nationale
  • Décret n° 2017-151 du 8 février 2017 relatif aux procédures d'organisation et de contrôle interne en matière d'exportations et de transferts d'armement et à l'application outre-mer de certaines dispositions de la deuxième partie du code de la défense
  • Dossier législatif de l'ordonnance n° 2016-982 du 20 juillet 2016 prise en application de l'article 30 de la loi n° 2015-917 du 28 juillet 2015 actualisant la programmation militaire pour les années 2015 à 2019 et portant diverses dispositions concernant la défense et décret n° 2017-151 du 8 février 2017 relatif aux procédures d'organisation et de contrôle interne en matière d'exportations et de transferts d'armement et à l'application outre-mer de certaines dispositions de la deuxième partie du code de la défense
  • Dossier législatif de l'ordonnance n° 2015-1534 du 26 novembre 2015 prise en application de l'article 30 de la loi n° 2015-917 du 28 juillet 2015 et portant diverses dispositions concernant la défense, les anciens combattants et l'action de l'Etat en mer
  • Dossier législatif de la loi n° 2008-493 du 26 mai 2008 ratifiant l'ordonnance n° 2005-883 du 2 août 2005 relative à la mise en place au sein des institutions de la défense d'un dispositif d'accompagnement à l'insertion sociale et professionnelle des jeunes en difficulté et l'ordonnance n° 2007-465 du 29 mars 2007 relative au personnel militaire, modifiant et complétant la partie législative du code de la défense et le code civil, et portant diverses dispositions relatives à la défense
  • Dossier législatif de la loi n° 2005-1550 du 12 décembre 2005 modifiant diverses dispositions relatives à la défense

Dernière modification : 14 février 2021

ChronoLégi l'accès au droit dans le temps

Voir le sommaire du code

    • Article D2321-1

      Version en vigueur du 07/03/2009 au 13/01/2010Version en vigueur du 07 mars 2009 au 13 janvier 2010

      Abrogé par Décret n°2009-1657 du 24 décembre 2009 - art. 4
      Création Décret n°2009-254 du 4 mars 2009 - art.


      La commission interministérielle pour la sécurité des systèmes d'information, placée auprès du secrétaire général de la défense nationale, a pour mission d'assurer la concertation entre les départements ministériels sur les questions relatives à la sécurité des systèmes d'information qui se posent aux administrations. Elle peut être consultée par le Premier ministre sur la politique à conduire en matière de sécurité des systèmes d'information. Elle peut prêter son concours aux services et organismes publics qui en font la demande.

    • Article D2321-2

      Version en vigueur du 07/03/2009 au 13/01/2010Version en vigueur du 07 mars 2009 au 13 janvier 2010

      Abrogé par Décret n°2009-1657 du 24 décembre 2009 - art. 4
      Création Décret n°2009-254 du 4 mars 2009 - art.


      La commission interministérielle pour la sécurité des systèmes d'information est chargée d'harmoniser les conceptions, les méthodes et les programmes d'équipement des administrations de l'Etat en matière de sécurité des systèmes d'information et de favoriser l'élaboration de solutions nouvelles.
      A ce titre :
      1° Elle assure la collecte et la diffusion des informations sur les évolutions de toute nature pouvant affecter la sécurité des systèmes d'information ;
      2° Elle facilite les échanges d'informations entre les départements ministériels sur leurs projets en matière de sécurité des systèmes d'informations ;
      3° Elle participe à l'orientation des recherches, études et travaux lancés en France en vue de répondre aux besoins exprimés par les départements ministériels ;
      4° Elle propose des mesures réglementaires et des textes normatifs susceptibles d'améliorer la protection des systèmes d'information dont les départements ministériels ont la responsabilité.
      La commission interministérielle pour la sécurité des systèmes d'information est tenue informée des crédits consacrés à la sécurité des systèmes d'information dans les budgets ministériels.

    • Article D2321-3

      Version en vigueur du 09/07/2009 au 13/01/2010Version en vigueur du 09 juillet 2009 au 13 janvier 2010

      Abrogé par Décret n°2009-1657 du 24 décembre 2009 - art. 4
      Modifié par Décret n°2009-1657 du 24 décembre 2009 - art. 5 (VD)
      Modifié par Décret n°2009-834 du 7 juillet 2009 - art. 9 (V)

      La commission interministérielle pour la sécurité des systèmes d'information est présidée par le secrétaire général de la défense nationale. Elle comprend :

      1° Un représentant des ministres chargés des finances, de l'industrie, des télécommunications, de l'emploi, de la santé, de la justice, de l'intérieur, de l'éducation nationale, des affaires étrangères, de la défense, de l'équipement, des transports, de la culture, de l'agriculture, de l'environnement, de l'aménagement du territoire, de la fonction publique, de la jeunesse, des sports et de la recherche ;

      2° Un représentant du chef de l'état-major particulier du Président de la République ;

      3° Un représentant du chef du cabinet militaire du Premier ministre.

      Le directeur général de l'Agence nationale de la sécurité des systèmes d'information est membre de droit de la commission. Il en assure la présidence en cas d'empêchement du secrétaire général de la défense nationale.

      La commission interministérielle pour la sécurité des systèmes d'information peut entendre, sur convocation de son président, des représentants d'autres administrations ou organismes publics intéressés par une question inscrite à l'ordre du jour et, plus généralement, toute personne qualifiée dont elle juge la présence utile.

      Le secrétariat de la commission est assuré par l'Agence nationale de la sécurité des systèmes d'information.

    • Article D2321-4

      Version en vigueur du 07/03/2009 au 13/01/2010Version en vigueur du 07 mars 2009 au 13 janvier 2010

      Abrogé par Décret n°2009-1657 du 24 décembre 2009 - art. 4
      Création Décret n°2009-254 du 4 mars 2009 - art.


      La commission interministérielle pour la sécurité des systèmes d'information se réunit au moins deux fois par an en formation plénière sur convocation de son président. En fonction de la nature des sujets traités, elle peut être réunie en formation restreinte aux ministères intéressés, à l'initiative de son président.
      Le président fixe l'ordre du jour des réunions. Les départements ministériels adressent au secrétariat de la commission les points qu'ils souhaitent y voir figurer.

    • Article D2321-5

      Version en vigueur du 07/03/2009 au 13/01/2010Version en vigueur du 07 mars 2009 au 13 janvier 2010

      Abrogé par Décret n°2009-1657 du 24 décembre 2009 - art. 4
      Modifié par Décret n°2009-1657 du 24 décembre 2009 - art. 5 (VD)
      Création Décret n°2009-254 du 4 mars 2009 - art.


      La commission interministérielle pour la sécurité des systèmes d'information peut créer des sous-commissions ou groupes de travail dont elle fixe le mandat et qui lui rendent compte de leurs travaux.
      Chaque sous-commission est animée par un président choisi en raison de sa compétence. Ce président est nommé, sur proposition du directeur central de la sécurité des systèmes d'information, par le secrétaire général de la défense nationale.
      Les sous-commissions se réunissent à l'initiative de leur président aussi souvent que leur mandat l'exige.

    • Article D2321-7

      Version en vigueur du 09/07/2009 au 13/01/2010Version en vigueur du 09 juillet 2009 au 13 janvier 2010

      Abrogé par Décret n°2009-1657 du 24 décembre 2009 - art. 4
      Modifié par Décret n°2009-834 du 7 juillet 2009 - art. 9 (V)

      Pour l'exercice de ses attributions en matière de sécurité des systèmes d'information, le secrétaire général de la défense nationale dispose de l'Agence nationale de la sécurité des systèmes d'information.

      • Article R2321-1-1

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Modifié par Décret n°2024-421 du 10 mai 2024 - art. 1

        I. − Les dispositifs prévus au 1° du L. 2321-2-1 exploitant les marqueurs techniques définis à l'article R. 2321-1-4 permettent la détection des communications et programmes informatiques malveillants ainsi que le recueil et l'analyse des seules données techniques nécessaires à la prévention et à la caractérisation de la menace.

        II. − Les dispositifs prévus au 2° du L. 2321-2-1 permettent :

        1° Le recueil des données relatives aux communications électroniques émises et reçues par un équipement affecté par la menace ;

        2° Ou le recueil de données sur un équipement affecté par la menace.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

      • Article R2321-1-2

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Modifié par Décret n°2024-421 du 10 mai 2024 - art. 1

        I. - La décision de mettre en œuvre les dispositifs mentionnés au I de l'article R. 2321-1-1 est notifiée par l'autorité nationale de sécurité des systèmes d'information à l'opérateur de communications électroniques, à la personne mentionnée au 1 ou 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ou à l'opérateur de centre de données, et communiquée à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.

        II. - La décision de mettre en œuvre les dispositifs mentionnés au II de l'article R. 2321-1-1 ne peut être notifiée aux personnes mentionnées à l'alinéa précédent qu'après avis conforme de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse pour la mise en œuvre de ces dispositifs. Cette décision est également notifiée à cette autorité.

        III. - La décision de mettre en œuvre les dispositifs mentionnés au I ou au 1° du II de l'article R. 2321-1-1 est accompagnée d'un cahier des charges élaboré, le cas échéant, après concertation avec les personnes destinataires. Ce cahier des charges précise :

        1° Le type de dispositif mis en œuvre et le réseau ou le système d'information concerné ;

        2° Les conditions techniques d'organisation et de fonctionnement nécessaires à la mise en œuvre de ces dispositifs ;

        3° Le délai dans lequel ils sont mis en œuvre et la durée de leur mise en œuvre.

        Le cahier des charges peut prévoir une phase de test préalable sur les réseaux ou systèmes d'information concernés.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

      • Article R2321-1-3

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Modifié par Décret n°2024-421 du 10 mai 2024 - art. 1

        Les dispositifs mentionnés au I ou au 1° du II de l'article R. 2321-1-1 sont mis en œuvre pour une période maximale de trois mois. En cas de persistance de la menace la décision de mettre en œuvre ces dispositifs peut être renouvelée pour une même durée et dans les mêmes conditions que la décision initiale.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

      • Article R2321-1-4

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Modifié par Décret n°2024-421 du 10 mai 2024 - art. 1

        Les marqueurs techniques exploités par les dispositifs mentionnés au I de l'article R. 2321-1-1 sont des éléments techniques caractéristiques d'un mode opératoire d'attaque informatique, permettant de détecter une activité malveillante ou d'identifier une menace susceptible d'affecter la sécurité des systèmes d'information.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

      • Article R2321-1-5

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Modifié par Décret n°2024-421 du 10 mai 2024 - art. 1

        L'analyse des données recueillies lors de la mise en œuvre des dispositifs mentionnés au II de l'article R. 2321-1-1 est effectuée par les agents mentionnés au cinquième alinéa de l'article L. 2321-2-1, dans un délai de trois mois à compter de leur recueil.

        Les informations et les catégories de données directement utiles à la prévention et à la caractérisation des menaces concernent :

        1° Les communications électroniques liées aux activités de l'attaquant ;

        2° Les données système, liées à l'attaquant.

        Les données qui ne relèvent pas de ces catégories sont détruites dans un délai d'un jour ouvré à compter de leur analyse mentionnée au premier alinéa.

        Les données directement utiles à la prévention et à la caractérisation des menaces ne peuvent être conservées plus de deux ans à compter de leur collecte.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

      • Article R2321-1-6

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Création Décret n°2024-421 du 10 mai 2024 - art. 1

        Les surcoûts spécifiques et identifiables supportés par les personnes mentionnées au I de l'article R. 2321-1-2 et résultant des obligations de l'article L. 2321-2-1 font l'objet d'une compensation financière prise en charge par l'Etat.

        La compensation correspond à la couverture des surcoûts définis comme suit :

        1° Les surcoûts liés à la réalisation de prestations dont la compensation est établie sur la base du montant hors taxes de tarifs fixés par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques ;

        L'Etat procède, sur présentation d'une facture, au paiement des compensations correspondant aux surcoûts justifiés ;

        2° Les surcoûts liés à la conception et au déploiement des systèmes d'information ou, le cas échéant, à leur adaptation, permettant la mise en place d'un dispositif exploitant des marqueurs techniques ou le recueil des données ainsi que les surcoûts liés au fonctionnement et à la maintenance de ces systèmes.

        Pour obtenir une compensation, l'opérateur adresse à l'autorité nationale de sécurité des systèmes d'information un document assorti des justificatifs nécessaires permettant d'établir le nombre et la nature des interventions nécessaires non couvertes par l'arrêté mentionné au 1°. L'Etat procède, après analyse du document transmis, et sur présentation d'une facture, au paiement des compensations correspondant aux surcoûts justifiés.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

      • Article R2321-1-7

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Création Décret n°2024-421 du 10 mai 2024 - art. 1

        Pour l'application du I de l'article L. 2321-2-3, lorsque l'autorité nationale de sécurité des systèmes d'information demande au titulaire du nom de domaine de prendre les mesures adaptées pour neutraliser la menace, elle lui notifie, par tout moyen tenant compte de la menace et de l'urgence, les mesures techniques correctives à appliquer, le délai dans lequel ces mesures doivent être mises en œuvre ainsi que le moyen de communication à utiliser.

        Le titulaire de bonne foi du nom de domaine rend compte à l'autorité nationale de sécurité des systèmes d'information de la mise en œuvre de ces mesures.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

      • Article R2321-1-8

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Création Décret n°2024-421 du 10 mai 2024 - art. 1

        I. - Les demandes adressées par l'autorité nationale de sécurité des systèmes d'information aux personnes mentionnées aux 1° et 2° des I et II de l'article L. 2321-2-3 leur sont notifiées par tout moyen tenant compte de la menace et de l'urgence. Elles comprennent :

        1° Le nom de domaine concerné ;

        2° La nature et la durée de la mesure demandée ;

        3° Le délai imparti pour sa mise en œuvre ;

        4° Toute autre information technique utile à la mise en œuvre de la mesure.

        II. - A l'exception des demandes de renouvellement d'une mesure de redirection mentionnée au troisième alinéa du III de l'article L. 2321-2-3, l'autorité nationale de sécurité des systèmes d'information communique chaque demande mentionnée au I du présent article à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.

        III. - Les personnes mentionnées au I mettent en œuvre, par tout moyen tenant compte de la menace et de l'urgence, les mesures demandées et en tiennent informée l'autorité nationale de sécurité des systèmes d'information en lui communiquant les informations techniques relatives à leur mise en œuvre. Elles préservent la confidentialité de toutes les données qui leur sont confiées dans ce cadre.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

      • Article R2321-1-9

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Création Décret n°2024-421 du 10 mai 2024 - art. 1

        En application du dernier alinéa du I de l'article L. 2321-2-3, pour mettre fin aux mesures mentionnées au 1° et 2° du I du même article, le titulaire de bonne foi du nom de domaine fournit à l'autorité nationale de sécurité des systèmes d'information :

        1° La liste des mesures qu'il a mises en œuvre pour neutraliser la menace ;

        2° Tout élément de nature à établir que la menace est neutralisée.

        L'autorité nationale de sécurité des systèmes d'information demande, le cas échéant, des informations complémentaires permettant d'établir que la menace est neutralisée.

        Lorsque le titulaire de bonne foi du nom de domaine communique des informations complémentaires, l'autorité nationale de sécurité des systèmes d'information les communique à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

      • Article R2321-1-10

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Création Décret n°2024-421 du 10 mai 2024 - art. 1

        L'analyse des données recueillies en application du IV de l'article L. 2321-2-3 est effectuée dans un délai de trois mois à compter de leur recueil.

        Les données directement utiles à la caractérisation des menaces au titre du même IV sont celles liées aux activités de l'attaquant à destination du nom de domaine concerné. Elles ne peuvent être conservées plus de cinq ans à compter de leur recueil.

        Les autres données sont détruites dans un délai d'un jour ouvré à compter de leur analyse mentionnée au premier alinéa.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

      • Article R2321-1-11

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Création Décret n°2024-421 du 10 mai 2024 - art. 1

        Les surcoûts résultant des obligations mises à la charge des personnes mentionnées au 1° et 2° du I de l'article L. 2321-2-3 du code de la défense font l'objet d'une compensation financière prise en charge par l'Etat selon des modalités sont fixées par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques.

        La compensation correspond à la couverture des surcoûts définis comme suit :

        1° Les surcoûts liés à la réalisation de prestations dont la compensation est établie sur la base du montant hors taxes de tarifs fixés par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques ;

        L'Etat procède, sur présentation d'une facture, au paiement des compensations correspondant aux surcoûts justifiés ;

        2° Les surcoûts liés à la conception et au déploiement des systèmes d'information ou, le cas échéant, à leur adaptation, permettant le blocage ou la redirection d'un nom de domaine ainsi que les surcoûts liés au fonctionnement et à la maintenance de ces systèmes.

        Pour obtenir une compensation, l'opérateur adresse à l'autorité nationale de sécurité des systèmes d'information un document détaillant le nombre et la nature des interventions nécessaires non couvertes par l'arrêté ainsi que le coût de l'investissement éventuellement réalisé.

        L'Etat procède, après analyse du document transmis, et sur présentation d'une facture, au paiement des compensations correspondant aux surcoûts justifiés.

        Lorsque le système d'information utilisé pour traiter les demandes d'identification émanant de l'autorité nationale de sécurité des systèmes d'information est le même que celui utilisé pour répondre à des demandes émanant d'autres autorités publiques ou judiciaires et que les surcoûts mentionnés au 2° ont déjà fait l'objet, à ce titre, d'une compensation financière de la part de l'Etat, l'opérateur concerné ne peut prétendre à une nouvelle compensation de ces surcoûts.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

      • Article R2321-1-12

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Création Décret n°2024-421 du 10 mai 2024 - art. 1

        Les fournisseurs de système de résolution de noms de domaine transmettent aux agents mentionnés au premier alinéa de l'article L. 2321-3-1 les données techniques suivantes :

        1° Les enregistrements issus des serveurs gérant le système d'adressage par domaine, incluant le nom de domaine, le type d'enregistrement, sa durée de vie et sa valeur ;

        2° L'horodatage de ces enregistrements.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

      • Article R2321-1-13

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Création Décret n°2024-421 du 10 mai 2024 - art. 1

        I. - En application de l'article L. 2321-3-1, les conditions de transmission des données techniques mentionnées à l'article R. 2321-1-12 sont précisées par une décision de l'autorité nationale de sécurité des systèmes d'information qu'elle notifie au fournisseur de système de résolution de noms de domaine.

        Cette décision tient compte des contraintes techniques du fournisseur de système de résolution de noms de domaine et mentionne :

        1° La fréquence du relevé, au moins quotidienne, des données mentionnées à l'article R. 2321-1-12 ;

        2° Le mode de transmission de ces données ;

        3° Le format de ces données établi sur la base d'une documentation fournie à l'autorité nationale de sécurité des systèmes d'information par le fournisseur de système de résolution de noms de domaine ;

        4° La fréquence de transmission de ces données, au moins hebdomadaire.

        II. - La décision mentionnée au I est communiquée à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

      • Article R2321-1-14

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Création Décret n°2024-421 du 10 mai 2024 - art. 1

        Les surcoûts liés à la conception et au déploiement des systèmes d'information ou, le cas échéant, à leur adaptation, permettant la communication des informations mentionnées à l'alinéa premier de l'article L. 2321-3 ainsi que les surcoûts liés au fonctionnement et à la maintenance de ces systèmes, supportés par les personnes mentionnées au 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, font l'objet d'une compensation financière prise en charge par l'Etat selon des modalités fixées par arrêté du Premier ministre.

        La compensation est établie sur la base du montant hors taxes de tarifs fixés par arrêté du Premier ministre.

        L'Etat procède, sur présentation d'une facture, détaillant les prestations fournies par les personnes mentionnées au premier alinéa, au paiement correspondant aux surcoûts justifiés.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

      • Article R2321-1-15

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Création Décret n°2024-421 du 10 mai 2024 - art. 1

        Les dispositifs de traçabilité des données collectées en application du premier alinéa de l'article L. 2321-3, des articles R. 2321-1-1, R. 2321-1-5, R. 2321-1-10, R. 2321-1-14 et de l'article R. 9-12-3 du code des postes et des communications électroniques garantissent l'identification des agents de l'autorité nationale de sécurité des systèmes d'information qui ont eu accès aux données collectées. Ces dispositifs enregistrent également les modifications effectuées sur les données, dont leur suppression.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

      • Article R2321-1-16

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Création Décret n°2024-421 du 10 mai 2024 - art. 1

        I. - Lorsque l'éditeur de logiciel mentionné à l'article L. 2321-4-1 a connaissance d'une vulnérabilité affectant un de ses produits ou en cas d'incident informatique compromettant la sécurité de son système d'information et susceptible d'affecter un de ses produits, il en apprécie le caractère significatif, notamment au regard des critères suivants :

        1° Le nombre d'utilisateurs concernés par la vulnérabilité ou l'incident affectant le produit ;

        2° Le nombre de produits intégrant le produit affecté ;

        3° L'impact technique, potentiel ou actuel, de la vulnérabilité ou de l'incident sur le fonctionnement attendu du produit. Selon les fonctionnalités du produit, cet impact est évalué au regard de critères de sécurité tels que la disponibilité, l'intégrité, la confidentialité ou la traçabilité ;

        4° Le type de produit au regard de ses usages et de l'environnement dans lequel il est déployé ;

        5° L'exploitation imminente ou avérée de la vulnérabilité ;

        6° L'existence d'une preuve technique d'exploitabilité ou d'un code d'exploitation.

        II. - S'il constate que la vulnérabilité ou l'incident est significatif, l'éditeur de logiciel le notifie l'autorité nationale de sécurité des systèmes d'information La notification comporte les informations utiles à la compréhension de la vulnérabilité ou de l'incident mentionné au I. Lorsque la vulnérabilité ou l'incident a été notifié par l'autorité nationale de sécurité des systèmes d'information à l'éditeur de logiciel ce dernier dispose d'un délai fixé par cette autorité pour apprécier son caractère significatif. Ce délai ne peut être inférieur à 48 heures.

        III. - L'éditeur de logiciel complète à cet effet le formulaire de déclaration mis à disposition sur le site internet de l'autorité nationale de sécurité des systèmes d'information et adresse les informations complémentaires au fur et à mesure de son analyse. Il répond aux demandes d'informations supplémentaires de l'autorité nationale de sécurité des systèmes d'information. Il met en œuvre, le cas échéant, les mesures utiles requises afin de sécuriser la vulnérabilité ou l'incident mentionné au I.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

      • Article R2321-1-17

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Création Décret n°2024-421 du 10 mai 2024 - art. 1

        I. - Après analyse conjointe de la vulnérabilité ou de l'incident mentionné au I de l'article R. 2321-1-16 avec l'éditeur, l'autorité nationale de sécurité des systèmes d'information notifie à ce dernier le délai dans lequel il informe ses utilisateurs de la vulnérabilité ou de l'incident mentionné au I de l'article R. 2321-1-16. Ce délai ne peut être inférieur à dix jours ouvrables, sauf en cas de risque pour la défense et la sécurité nationale requérant une information des utilisateurs sans délai.

        II. - L'éditeur de logiciel informe les utilisateurs du produit affecté par un message d'information comprenant, le cas échéant, toute recommandation que ces derniers peuvent appliquer. Il rend compte à l'autorité nationale de sécurité des systèmes d'information de l'envoi de ce message.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

      • Article R2321-1-18

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Création Décret n°2024-421 du 10 mai 2024 - art. 1

        L'injonction adressée par l'autorité nationale de sécurité des systèmes d'information aux éditeurs de logiciel en application du cinquième alinéa de l'article L. 2321-4-1 est motivée et mentionne le délai imparti, qui ne peut être inférieur à dix jours, ainsi que les mesures requises pour s'y conformer. L'éditeur de logiciel peut présenter des observations dans ce délai. L'injonction est notifiée à l'éditeur de logiciel par lettre recommandée avec avis de réception. L'éditeur de logiciel est informé que l'autorité nationale de sécurité des systèmes d'information peut informer les utilisateurs ou rendre public la vulnérabilité ou l'incident ainsi que l'injonction si celle-ci n'a pas été mise en œuvre.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

      • Article R2321-1-19

        Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

        Création Décret n°2024-421 du 10 mai 2024 - art. 1

        En application du cinquième alinéa de l'article L. 2321-4-1, l'autorité nationale de sécurité des systèmes d'information peut :

        1° Procéder à l'information des utilisateurs ou du public, relative à la vulnérabilité ou à l'incident, sur le site du centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques ;

        2° Rendre publique l'injonction, sur son site Internet, lorsque celle-ci a été partiellement ou totalement inexécutée.


        Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

    • Article R2321-2

      Version en vigueur depuis le 01/06/2024Version en vigueur depuis le 01 juin 2024

      Modifié par Décret n°2024-421 du 10 mai 2024 - art. 1

      Les habilitations prévues aux articles L. 2321-2-1, L. 2321-3 et L. 2321-3-1 sont accordées, de manière individuelle, par décision du Premier ministre à des agents de l'Agence nationale de la sécurité des systèmes d'information.

      Nul ne peut être habilité s'il n'a fait l'objet d'une enquête administrative conformément à l'article L. 114-1 du code de la sécurité intérieure. Si besoin, l'enquête administrative peut être reconduite pendant la période d'habilitation de l'agent. Toutefois, l'enquête administrative n'est pas requise lorsque l'agent est déjà titulaire de l'habilitation prévue à l'article R. 2311-7.

      L'habilitation peut être retirée à tout moment par décision du Premier ministre. Elle prend fin lorsque son titulaire n'exerce plus les fonctions à raison desquelles il a été habilité.


      Conformément à l'article 3 du décret n° 2024-421 du 10 mai 2024, ces dispositions entrent en vigueur le 1er juin 2024.

    • Article R2321-3

      Version en vigueur du 30/03/2015 au 01/06/2024Version en vigueur du 30 mars 2015 au 01 juin 2024

      Abrogé par Décret n°2024-421 du 10 mai 2024 - art. 1
      Création DÉCRET n°2015-349 du 27 mars 2015 - art. 1

      Pour accomplir leur mission prévue à l'article L. 2321-3, les agents habilités de l'Agence nationale de la sécurité des systèmes d'information présentent une commission d'emploi aux opérateurs de communications électroniques. La commission d'emploi mentionne la décision d'habilitation de l'agent.

      Tout agent qui n'est plus habilité remet sans délai sa commission d'emploi à l'Agence nationale de la sécurité des systèmes d'information.

    • Article R2321-4

      Version en vigueur du 01/01/2020 au 01/06/2024Version en vigueur du 01 janvier 2020 au 01 juin 2024

      Abrogé par Décret n°2024-421 du 10 mai 2024 - art. 1
      Modifié par Décret n°2019-966 du 18 septembre 2019 - art. 8

      Les agents habilités de l'Agence nationale de la sécurité des systèmes d'information prêtent devant le tribunal judiciaire dans le ressort duquel ils exercent leurs fonctions le serment suivant : " Je jure de bien et fidèlement remplir la mission pour laquelle je suis habilité et de ne rien révéler ou utiliser de ce qui sera porté à ma connaissance à l'occasion de son exercice. "

      La prestation de serment est enregistrée sans frais au greffe du tribunal. L'acte de ce serment est dispensé de timbre et d'enregistrement. Le greffier du tribunal transcrit gratuitement l'acte de ce serment sur la commission d'emploi mentionnée à l'article R. 2321-3.


    • Article R2321-5

      Version en vigueur depuis le 30/03/2015Version en vigueur depuis le 30 mars 2015

      Création DÉCRET n°2015-349 du 27 mars 2015 - art. 1

      Les agents habilités de l'Agence nationale de la sécurité des systèmes d'information veillent à la protection des informations à caractère secret qui sont recueillies dans le cadre de leur mission prévue à l'article L. 2321-3 et dont la révélation est réprimée par les dispositions de l'article 226-13 du code pénal.

      La transmission des informations mentionnées à l'article L. 2321-3 par les opérateurs de communications électroniques aux agents habilités de l'Agence nationale de la sécurité des systèmes d'information est effectuée selon des modalités assurant la sécurité, l'intégrité et le suivi de ces informations.