Publié le 5 mai 2023 par : Mme Le Hénanff, M. Albertini, M. Alfandari, Mme Bellamy, M. Benoit, Mme Carel, M. Christophe, M. Favennec-Bécot, M. Gernigon, Mme Félicie Gérard, M. Jolivet, M. Kervran, Mme Kochert, M. Lamirault, M. Larsonneur, M. Lemaire, Mme Magnier, M. Marcangeli, Mme Moutchou, M. Patrier-Leitus, M. Plassard, M. Portarrieu, Mme Poussier-Winsback, M. Pradal, Mme Rauch, M. Thiébaut, M. Valletoux, M. Villiers, Mme Violland.
I. – À la première phrase de l’alinéa 2, après le mot :
« significative »,
insérer les mots :
« susceptible de porter atteinte à la sécurité nationale et ».
II. – En conséquence, à la même phrase du même alinéa, après le mot :
« informatique »,
procéder à la même insertion.
Le présent article, dans sa rédaction actuelle, a un périmètre extrêmement large puisqu'il oblige à notifier toute faille de sécurité dont les éditeurs auront connaissance. S'il semble absolument nécessaire que ces derniers signalent dans les plus brefs délais et de manière systématique à l'ANSSI les vulnérabilités et les incidents qui seraient susceptibles de porter atteinte à la sécurité nationale, cette obligation paraît disproportionnée si elle venait à s'appliquer à toutes les failles éventuelles.
En outre, s'il est compliqué de définir un seuil à partir duquel ces notifications seraient requises, il apparaît pertinent aussi bien au regard des capacités des acteurs économiques qu'au travail de traitement que l'ANSSI devrait opérer s'il fallait notifier toutes les vulnérabilités, de limiter les notifications à l’ANSSI aux seules vulnérabilités pouvant porter atteinte à la sécurité nationale.
Aucun commentaire n'a encore été formulé sur cet amendement.