Re: [FRnOG] Re: [MISC] Décret sur les contrôles de sécurité par l'ANSSI
Bonjour, On voit quand même bien à qui s'adresse ce décret : les gros qui maintiennent des infrastructures jugées critiques, qu'ils soient opérateurs ou hébergeurs. Les hébergeurs son dans le catégorie des opérateurs (au sens CPCE) Cordialement, Michel Hostettler --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Décret sur les contrôles de sécurité par l'ANSSI
On 11/21/2012 03:51 PM, Paul Rolland (ポール・ロラン) wrote: Donc, en hebergeant mon serveur de mails a la maison, tant que l'usage en est offert au cercle famillial : non operateur Mais si j'heberge un jour une mailling-list dessus, je deviens operateur ? Petit aparté: il y a des opérateurs qui s'ignorent. La déclaration est obligatoire, mais tous ne sont pas déclarés. C'est l'article 32 qui définit ce qu'est un opérateur, pas la déclaration. Si ma comprehension est bonne, deja nos amis gestionnaires des machines qui hebergent cette liste ? Pourquoi pas, mais on trouve dans l'article 1 du décret : « Art. R. 9-8.-Le contrôle prévu à l'article L. 33-10 a pour objet d'évaluer les mesures prises par l'opérateur en application des dispositions du a du I de l'article L. 33-1 et notamment celles prises pour assurer la sécurité de son réseau et de ses services à un niveau adapté au risque existant, pour assurer l'intégrité de son réseau et garantir la continuité des services fournis. Il y a une notion de risque là dedans, et aussi de public dans la définition de l'opérateur rappelée par Eric. Je ne crois pas que frnog soit généralement ouvert au public, et qu'il existe un risque pour le pays lié à sa compromission. Bref évidemment après on peut imaginer que la loi et le décret soient contournés par le méchant État méchant, mais après tout, le Conseil d'Etat doit être là en recours, non ? Evidemment si on a basculé dans une dictature ou que l'on soit en état de guerre, on peut tout imaginer mais franchement ce sera le dernier de nos soucis. On voit quand même bien à qui s'adresse ce décret : les gros qui maintiennent des infrastructures jugées critiques, qu'ils soient opérateurs ou hébergeurs. Ce qui est plus franchement embêtant et qui n'a fait visiblement tiquer personne ici, c'est que l'ANSI puisse quand elle le veut prendre le steak des consultants en sécurité, y compris pour auditer des sociétés privées ... (enfin l'ANSSI les a bientôt tous embauchés donc il faut bien leur donner du travail ... oui c'est vendredi). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Décret sur les contrôles de sécurité par l'ANSSI
il suffit d'avoir des équipements qui offrent un service de communications électroniques, comme un serveur de messagerie instantanée par exemple Donc tous les gens qui hébergent un noeud IRC (ou un serveur Jabber) sur un VPN ou derrière leur ligne ADSL sont opérateurs ? Je me demande combien sont déclarés ;) Et un bête forum ou les commentaires d'un blog WordPress, ça compte ? -- Pierre Chapuis --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Décret sur les contrôles de sécurité par l'ANSSI
2012/11/21 Rémi Laurent remi.laurent-fr...@conostix.com * Pierre Chapuis - 21-11-2012 à 09h46: il suffit d'avoir des équipements qui offrent un service de communications électroniques, comme un serveur de messagerie instantanée par exemple Donc tous les gens qui hébergent un noeud IRC (ou un serveur Jabber) sur un VPN ou derrière leur ligne ADSL sont opérateurs ? Je me demande combien sont déclarés ;) Et un bête forum ou les commentaires d'un blog WordPress, ça compte ? Ça marche aussi si on est Skype Super-Node ? il faut s'inscrire quand on démarre Skype et se désinscrire quand on l'éteind/quitte le mode Super-Node ? Ton histoire de Skype m'a fait reflechir. Le decret semble bien plus profond que cela, car il autorise l'ANSSI a intervenir sur tout type de serveur. Apres relecture de la definition d'operateur que Eric Freyssinet a extrait du CPCE [1], j'ai l'impression que cela englobe Skype, mais aussi Bittorent (bref les P2P car cela ouvre un serveur de communications au public). Cela ne semble pas etre dans l'esprit de la loi telle qu'elle a ete redigee, mais les mots sont pourtant bien la. [1] On entend par opérateur toute personne physique ou morale [...] fournissant au public un service de communications électroniques. [1b] On entend par communications électroniques les émissions, transmissions ou réceptions de signes, designaux, d'écrits, d'images ou de sons, par voie électromagnétique. Arnaud. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Décret sur les contrôles de sécurité par l'ANSSI
Bonjour, Petit aparté: il y a des opérateurs qui s'ignorent. La déclaration est obligatoire, mais tous ne sont pas déclarés. C'est l'article 32 qui définit ce qu'est un opérateur, pas la déclaration. Aparté sur l'aparté Un hébergeur de sites est un opérateur au sens du CPCE. Il peut ne pas être considéré comme opérateur par l'ARCEP, il n'est pas soumis à l'obligation de déclarer son activité auprès de l'Autorité : c'est un acteur de l'Internet. Cordialement, Michel Hostettler --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Décret sur les contrôles de sécurité par l'ANSSI
Le 21 nov. 2012 à 11:19, Arnaud GRANAL a écrit : Ton histoire de Skype m'a fait reflechir. Le decret semble bien plus profond que cela, car il autorise l'ANSSI a intervenir sur tout type de serveur. Si je comprends bien, il ne nous reste plus qu'à espérer que l'on taillera dans les budgets de l'ANSSI, à l'instar de tous les services gouvernementaux... Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Décret sur les contrôles de sécurité par l'ANSSI
2012/11/21 Emmanuel Thierry m...@sekil.fr Le 21 nov. 2012 à 11:19, Arnaud GRANAL a écrit : Ton histoire de Skype m'a fait reflechir. Le decret semble bien plus profond que cela, car il autorise l'ANSSI a intervenir sur tout type de serveur. Si je comprends bien, il ne nous reste plus qu'à espérer que l'on taillera dans les budgets de l'ANSSI, à l'instar de tous les services gouvernementaux... Je n'irai pas dans ce sens. L'ANSSI semble globalement bienveillante avec les entreprises. Vu le nombre de grosses entreprises (ex. de paiement bancaire) qui ont un SI troue comme un gruyere je dirais meme que c'est dommage que l'ANSSI ne leur ai pas botte les fesses avant :o) Arnaud. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Décret sur les contrôles de sécurité par l'ANSSI
Le 21/11/2012 11:24, Michel Hostettler a écrit : Bonjour, Petit aparté: il y a des opérateurs qui s'ignorent. La déclaration est obligatoire, mais tous ne sont pas déclarés. C'est l'article 32 qui définit ce qu'est un opérateur, pas la déclaration. Aparté sur l'aparté Un hébergeur de sites est un opérateur au sens du CPCE. Il peut ne pas être considéré comme opérateur par l'ARCEP, il n'est pas soumis à l'obligation de déclarer son activité auprès de l'Autorité : c'est un acteur de l'Internet. Il me semble que l'autorité de régulation est l'organe en charge de la bonne application de CPCE, d'arbitrer les litiges, de traduire et insérer les décisions de la Commission Européene dansce meme CPCE etc... En outre l'Internet n'existe que par les infrastructures qu'il emprunte, infrastructures régulées, entres autres, par le CPCE. Enfin, un hébergeur peut très bien accueillir dans ses infrastructures des plateformes Voix quelqu'en soient la nature, des plateformes de visoconférence, messageries instantanés et j'en passe. IL en résulte que cet acteur de l'internet se retrouve de facto opérateur (de service / d’infrastructures), soumis au CPCE, à l'acquittement de redevances et taxations idoines. ll rentre parfaitement dans le périmètre d'action de l'Autorité de régulation. S'il était nécessaire d'en avoir confirmation, un simple appel auprès des services de recouvrement de la taxe vous donnera une réponse parfaitement limpide. L’alternative est d'attendre la taxation d'office par le Trésor Public, beaucoup moins flexible et tolérante... La bonne conduite par un hébergeur lorsque l'on est a la croisée des chemins, c'est de s'assurer que le client exploitant un service potentiellement soumis à régulation présente son récépissé de déclaration lors de la conclusion du contrat. Comme c'est déjà le cas dans l'ensemble des marchés publics a code CPV de type 6420. Cordialement, Michel Hostettler --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Décret sur les contrôles de sécurité par l'ANSSI
TROL Ca dépend si ils sont OIV ou pas :) /TROL Le 21 novembre 2012 14:31, Arnaud GRANAL serp...@gmail.com a écrit : 2012/11/21 Emmanuel Thierry m...@sekil.fr Le 21 nov. 2012 à 11:19, Arnaud GRANAL a écrit : Ton histoire de Skype m'a fait reflechir. Le decret semble bien plus profond que cela, car il autorise l'ANSSI a intervenir sur tout type de serveur. Si je comprends bien, il ne nous reste plus qu'à espérer que l'on taillera dans les budgets de l'ANSSI, à l'instar de tous les services gouvernementaux... Je n'irai pas dans ce sens. L'ANSSI semble globalement bienveillante avec les entreprises. Vu le nombre de grosses entreprises (ex. de paiement bancaire) qui ont un SI troue comme un gruyere je dirais meme que c'est dommage que l'ANSSI ne leur ai pas botte les fesses avant :o) Arnaud. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Sébastien Gioria - ISO27005:2008 Risk Manager - CISA GSM: +33 (0)6 23 04 00 51 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Décret sur les contrôles de sécurité par l'ANSSI
Bonjour, S'il était nécessaire d'en avoir confirmation, un simple appel auprès des services de recouvrement de la taxe vous donnera une réponse parfaitement limpide. En plus de l'article L33-1-I du code CPCE, vous pouvez aussi consulter le Guide juridique pour les opérateurs locaux et les collectivités de l'ARCEP. Cordialement, Michel Hostettler --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Décret sur les contrôles de sécurité par l'ANSSI
Donc avec ma télécommande au fond de mon canapé je suis opérateur télécom ??? Le 20 novembre 2012 21:19, Eric Freyssinet eric.freyssi...@m4x.org a écrit : Bonsoir, C'est défini par le CPCE, dans son article 32: 15° Opérateur. On entend par opérateur toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques. (on notera ici au passage le ou, il n'y a donc pas nécessité d'exploiter un réseau pour être opérateur, il suffit d'avoir des équipements qui offrent un service de communications électroniques, comme un serveur de messagerie instantanée par exemple) 6° Services de communications électroniques. On entend par services de communications électroniques les prestations consistant entièrement ou principalement en la fourniture de communications électroniques. Ne sont pas visés les services consistant à éditer ou à distribuer des services de communication au public par voie électronique. 1° Communications électroniques. On entend par communications électroniques les émissions, transmissions ou réceptions de signes, de signaux, d'écrits, d'images ou de sons, par voie électromagnétique. Comme tous ceux-là opèrent au moins des serveurs de courrier électronique dans le cadre de leurs hébergements, pour OVH en plus de la téléphonie et pour tous, ils transmettent les signaux en question et gèrent leurs propres réseaux pour le faire... Oui ce sont des opérateurs. L'AFNIC... est un office d'enregistrement, ça c'est sûr. Pour le reste, ça dépend de ce que vous faites ! :) Petit aparté: il y a des opérateurs qui s'ignorent. La déclaration est obligatoire, mais tous ne sont pas déclarés. C'est l'article 32 qui définit ce qu'est un opérateur, pas la déclaration. Cordialement, Eric Freyssinet 2012/11/20 Stephane Bortzmeyer bortzme...@nic.fr On Tue, Nov 20, 2012 at 02:20:36PM +0100, Alexandre Archambault aarchamba...@corp.free.fr wrote a message of 26 lines which said: Pour faire simple, opérateur = tout opérateur d'accès / transit / interco (IXP), que ce soit fixe, mobile, TDM ou IP, privé comme public. Donc d'Orange au FAI / hotspot associatif, Donc, FranceIX est concerné mais pas Gandi ou OVH (en tout cas pour l'activité d'hébergement de ce dernier), ni l'AFNIC. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Eric Freyssinet perso: eric.freyssi...@m4x.org pro: eric.freyssi...@gendarmerie.interieur.gouv.fr blog: http://blog.crimenumerique.fr/ - twitter: @ericfreysshttp://twitter.com/ericfreyss --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Décret sur les contrôles de sécurité par l'ANSSI
A ce propos, que dit la jurisprudence (pas pour la télécommande ! ;)) ? A ce que j'ai compris dans les succincts cours de droit que j'ai reçus, la jurisprudence (et donc l'interprétation de la loi) est la seule chose qui importait. Y a-t-il eu des requalifications d'hébergeurs (hébergeurs mail, hébergeurs Web, hébergeurs XMPP, hébergeurs de services VoIP, ...) en opérateurs par un tribunal ? Où se trouve la limite selon la jurisprudence ? Cordialement Emmanuel Thierry Le 21 nov. 2012 à 15:38, Marc De Saya a écrit : Donc avec ma télécommande au fond de mon canapé je suis opérateur télécom ??? Le 20 novembre 2012 21:19, Eric Freyssinet eric.freyssi...@m4x.org a écrit : Bonsoir, C'est défini par le CPCE, dans son article 32: 15° Opérateur. On entend par opérateur toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques. (on notera ici au passage le ou, il n'y a donc pas nécessité d'exploiter un réseau pour être opérateur, il suffit d'avoir des équipements qui offrent un service de communications électroniques, comme un serveur de messagerie instantanée par exemple) 6° Services de communications électroniques. On entend par services de communications électroniques les prestations consistant entièrement ou principalement en la fourniture de communications électroniques. Ne sont pas visés les services consistant à éditer ou à distribuer des services de communication au public par voie électronique. 1° Communications électroniques. On entend par communications électroniques les émissions, transmissions ou réceptions de signes, de signaux, d'écrits, d'images ou de sons, par voie électromagnétique. Comme tous ceux-là opèrent au moins des serveurs de courrier électronique dans le cadre de leurs hébergements, pour OVH en plus de la téléphonie et pour tous, ils transmettent les signaux en question et gèrent leurs propres réseaux pour le faire... Oui ce sont des opérateurs. L'AFNIC... est un office d'enregistrement, ça c'est sûr. Pour le reste, ça dépend de ce que vous faites ! :) Petit aparté: il y a des opérateurs qui s'ignorent. La déclaration est obligatoire, mais tous ne sont pas déclarés. C'est l'article 32 qui définit ce qu'est un opérateur, pas la déclaration. Cordialement, Eric Freyssinet 2012/11/20 Stephane Bortzmeyer bortzme...@nic.fr On Tue, Nov 20, 2012 at 02:20:36PM +0100, Alexandre Archambault aarchamba...@corp.free.fr wrote a message of 26 lines which said: Pour faire simple, opérateur = tout opérateur d'accès / transit / interco (IXP), que ce soit fixe, mobile, TDM ou IP, privé comme public. Donc d'Orange au FAI / hotspot associatif, Donc, FranceIX est concerné mais pas Gandi ou OVH (en tout cas pour l'activité d'hébergement de ce dernier), ni l'AFNIC. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Eric Freyssinet perso: eric.freyssi...@m4x.org pro: eric.freyssi...@gendarmerie.interieur.gouv.fr blog: http://blog.crimenumerique.fr/ - twitter: @ericfreysshttp://twitter.com/ericfreyss --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Décret sur les contrôles de sécurité par l'ANSSI
Bonjour, On Tue, 20 Nov 2012 21:19:48 +0100 Eric Freyssinet eric.freyssi...@m4x.org wrote: 15° Opérateur. On entend par opérateur toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques. (on notera ici au passage le ou, il n'y a donc pas nécessité d'exploiter un réseau pour être opérateur, il suffit d'avoir des équipements qui offrent un service de communications électroniques, comme un serveur de messagerie instantanée par exemple) 6° Services de communications électroniques. On entend par services de communications électroniques les prestations consistant entièrement ou principalement en la fourniture de communications électroniques. Ne sont pas visés les services consistant à éditer ou à distribuer des services de communication au public par voie électronique. 1° Communications électroniques. On entend par communications électroniques les émissions, transmissions ou réceptions de signes, de signaux, d'écrits, d'images ou de sons, par voie électromagnétique. Donc, en hebergeant mon serveur de mails a la maison, tant que l'usage en est offert au cercle famillial : non operateur Mais si j'heberge un jour une mailling-list dessus, je deviens operateur ? Petit aparté: il y a des opérateurs qui s'ignorent. La déclaration est obligatoire, mais tous ne sont pas déclarés. C'est l'article 32 qui définit ce qu'est un opérateur, pas la déclaration. Si ma comprehension est bonne, deja nos amis gestionnaires des machines qui hebergent cette liste ? Merci, Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Décret sur les contrôles de sécurité par l'ANSSI
On 21/11/2012 11:19, Arnaud GRANAL wrote: Apres relecture de la definition d'operateur que Eric Freyssinet a extrait du CPCE [1], j'ai l'impression que cela englobe Skype, mais aussi Bittorent (bref les P2P car cela ouvre un serveur de communications au public). Cela ne semble pas etre dans l'esprit de la loi telle qu'elle a ete redigee, mais les mots sont pourtant bien la. Au contraire je crois tout à fait que c'est l'esprit de la loi. Et le sens de la LCEN : tu proposes un service accessible par le public ? Tu loggues et tu réponds aux réquisitions judiciaires. Le nouvel épisode bien plus inquiétant de nul n'est hors portée c'est tu partages un accès au net ? Tu surveilles. Que les politiques soient encore en train de flipper sur la sécurité (et les routeurs chinois, hein) ou de chercher à se rassurer sur le fait que nous autres, inconscients et incompétents, ne compromettions pas l'avenir de la télé numérique par notre amateurisme, bah... bof, pourquoi pas, on finira par trouver ça normal. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Décret sur les contrôles de sécurité par l'ANSSI
On 21/11/2012 15:51, Paul Rolland (ポール・ロラン) wrote: Donc, en hebergeant mon serveur de mails a la maison, tant que l'usage en est offert au cercle famillial : non operateur Oui mais soumis à l'obligation de flica^Wsurveillance de tes proches. Tu peux lire leurs courriers, leurs historiques, écouter leurs conversations, toussa, c'est même ton devoir (CPI, art.L336-3). Même que si ils téléchargent du pr0^W^Wde la culture il faudra que tu sécurises les maj^W^Wta ligne. Mais si j'heberge un jour une mailling-list dessus, je deviens operateur ? Oui, et là il faut logguer pendant 1 an (LCEN). Petit aparté: il y a des opérateurs qui s'ignorent. La déclaration est obligatoire, mais tous ne sont pas déclarés. C'est l'article 32 qui définit ce qu'est un opérateur, pas la déclaration. Si ma comprehension est bonne, deja nos amis gestionnaires des machines qui hebergent cette liste ? Oui mais vu le MX de frnog.org je pense que les gestionnaires en question savent déjà tout bien ce qu'ils ont à savoir là-dessus (je serais même pas surpris qu'il y en ait un assis pas loin de toi). --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Décret sur les contrôles de sécurité par l'ANSSI
On Tue, Nov 20, 2012 at 02:20:36PM +0100, Alexandre Archambault aarchamba...@corp.free.fr wrote a message of 26 lines which said: Pour faire simple, opérateur = tout opérateur d'accès / transit / interco (IXP), que ce soit fixe, mobile, TDM ou IP, privé comme public. Donc d'Orange au FAI / hotspot associatif, Donc, FranceIX est concerné mais pas Gandi ou OVH (en tout cas pour l'activité d'hébergement de ce dernier), ni l'AFNIC. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Décret sur les contrôles de sécurité par l'ANSSI
Bonsoir, C'est défini par le CPCE, dans son article 32: 15° Opérateur. On entend par opérateur toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques. (on notera ici au passage le ou, il n'y a donc pas nécessité d'exploiter un réseau pour être opérateur, il suffit d'avoir des équipements qui offrent un service de communications électroniques, comme un serveur de messagerie instantanée par exemple) 6° Services de communications électroniques. On entend par services de communications électroniques les prestations consistant entièrement ou principalement en la fourniture de communications électroniques. Ne sont pas visés les services consistant à éditer ou à distribuer des services de communication au public par voie électronique. 1° Communications électroniques. On entend par communications électroniques les émissions, transmissions ou réceptions de signes, de signaux, d'écrits, d'images ou de sons, par voie électromagnétique. Comme tous ceux-là opèrent au moins des serveurs de courrier électronique dans le cadre de leurs hébergements, pour OVH en plus de la téléphonie et pour tous, ils transmettent les signaux en question et gèrent leurs propres réseaux pour le faire... Oui ce sont des opérateurs. L'AFNIC... est un office d'enregistrement, ça c'est sûr. Pour le reste, ça dépend de ce que vous faites ! :) Petit aparté: il y a des opérateurs qui s'ignorent. La déclaration est obligatoire, mais tous ne sont pas déclarés. C'est l'article 32 qui définit ce qu'est un opérateur, pas la déclaration. Cordialement, Eric Freyssinet 2012/11/20 Stephane Bortzmeyer bortzme...@nic.fr On Tue, Nov 20, 2012 at 02:20:36PM +0100, Alexandre Archambault aarchamba...@corp.free.fr wrote a message of 26 lines which said: Pour faire simple, opérateur = tout opérateur d'accès / transit / interco (IXP), que ce soit fixe, mobile, TDM ou IP, privé comme public. Donc d'Orange au FAI / hotspot associatif, Donc, FranceIX est concerné mais pas Gandi ou OVH (en tout cas pour l'activité d'hébergement de ce dernier), ni l'AFNIC. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Eric Freyssinet perso: eric.freyssi...@m4x.org pro: eric.freyssi...@gendarmerie.interieur.gouv.fr blog: http://blog.crimenumerique.fr/ - twitter: @ericfreysshttp://twitter.com/ericfreyss --- Liste de diffusion du FRnOG http://www.frnog.org/