Publié le 5 mai 2023 par : M. Lopez-Liguori, M. Allisio, Mme Auzanot, M. Ballard, M. Barthès, M. Baubry, M. Beaurain, M. Bentz, M. Berteloot, M. Bilde, M. Blairy, Mme Blanc, M. Boccaletti, Mme Bordes, M. Bovet, M. Buisson, M. Cabrolier, M. Catteau, M. Chenu, M. Chudeau, Mme Colombier, Mme Cousin, Mme Da Conceicao Carvalho, M. de Fournas, M. de Lépinau, M. Dessigny, Mme Diaz, Mme Dogor-Such, M. Dragon, Mme Engrand, M. Falcon, M. François, M. Frappé, Mme Galzy, M. Giletti, M. Gillet, M. Girard, M. Gonzalez, Mme Florence Goulet, Mme Grangier, M. Grenon, M. Guiniot, M. Guitton, Mme Hamelet, M. Hébrard, M. Houssin, M. Jacobelli, M. Jolly, Mme Laporte, Mme Lavalette, Mme Le Pen, Mme Lechanteux, Mme Lelouis, Mme Levavasseur, Mme Loir, Mme Lorho, M. Lottiaux, M. Loubet, M. Marchio, Mme Martinez, Mme Alexandra Masson, M. Bryan Masson, M. Mauvieux, M. Meizonnet, Mme Mélin, Mme Menache, M. Ménagé, M. Meurin, M. Muller, M. Odoul, Mme Mathilde Paris, Mme Parmentier, M. Pfeffer, Mme Pollet, M. Rambaud, Mme Ranc, M. Rancoule, Mme Robert-Dehault, Mme Roullaud, Mme Sabatini, M. Sabatou, M. Salmon, M. Schreck, M. Taché de la Pagerie, M. Jean-Philippe Tanguy, M. Taverne, M. Tivoli, M. Villedieu.
Compléter l’alinéa 6 par la phrase suivante :
« L’Autorité nationale de sécurité des systèmes d’information ne peut cependant procéder à cette publication tant que l’éditeur de logiciel n’a pas remédié à la vulnérabilité ou à l’incident. »
Cet amendement vise à faire en sorte que la mesure de publication de la vulnérabilité significative ou de l'incident ne présente pas un risque pour l'éditeur de logiciel. La publication éventuelle de failles significatives ne doit pas être l'occasion d'aggraver la situation de risque cyber dans laquelle la société se trouve du fait de la présence même de la vulnérabilité dans son logiciel. Même si la mesure est incitative et demeure un outil à la disposition de l'ANSSI et non une obligation, de telles précisions sont nécessaires afin de limiter tout risque d'exploitation de la vulnérabilité, d'autant plus si elle est significative et peut toucher des administrations publiques ou des opérateurs d'importance vitale.
Aucun commentaire n'a encore été formulé sur cet amendement.