Publié le 17 mai 2023 par : M. Giletti, M. Allisio, M. Gonzalez, Mme Hamelet, M. Houssin, M. Muller, M. Mauvieux, Mme Laporte, M. Jolly, M. Jacobelli, M. Hébrard, Mme Lavalette, Mme Le Pen, Mme Lorho, M. Lopez-Liguori, Mme Lelouis, Mme Levavasseur, Mme Lechanteux, M. Lottiaux, M. Bryan Masson, Mme Alexandra Masson, Mme Martinez, M. Marchio, M. Loubet, M. Meurin, Mme Menache, M. Meizonnet, Mme Mélin, M. Ménagé, Mme Parmentier, M. Pfeffer, Mme Pollet, M. Rambaud, M. Odoul, Mme Mathilde Paris, Mme Auzanot, M. Tivoli, Mme Robert-Dehault, M. Rancoule, Mme Ranc, Mme Roullaud, Mme Sabatini, M. Salmon, M. Villedieu, M. Jean-Philippe Tanguy, M. Taché de la Pagerie, M. Schreck, M. Sabatou, M. Ballard, M. Grenon, M. Guiniot, M. Guitton, Mme Grangier, Mme Florence Goulet, M. Taverne, M. Frappé, M. Gillet, M. Girard, Mme Galzy, M. François, M. Falcon, Mme Dogor-Such, M. Dragon, Mme Engrand, Mme Diaz, M. Dessigny, M. de Lépinau, Mme Colombier, Mme Cousin, Mme Da Conceicao Carvalho, M. de Fournas, M. Chudeau, M. Chenu, M. Berteloot, M. Bovet, M. Catteau, M. Cabrolier, M. Buisson, Mme Bordes, M. Boccaletti, M. Bilde, M. Blairy, M. Bentz, M. Beaurain, Mme Blanc, M. Barthès, M. Baubry, Mme Loir.
À la fin de l’alinéa 8, substituer aux mots :
« les critères d’appréciation du caractère significatif de la vulnérabilité ou de l’incident mentionnés au premier alinéa en fonction des pratiques et des standards internationaux communément admis »,
les mots :
« le référentiel permettant l’évaluation objective du caractère significatif de la vulnérabilité ou de l’incident mentionnés au premier alinéa ».
La présente disposition impose aux éditeurs de logiciels établis en France de notifier à l'ANSSI tout incident informatique ou vulnérabilité significative de leurs produits et d'informer leurs utilisateurs. La LPM crée ainsi une nouvelle restriction pour les éditeurs de logiciels, qui devront signaler les incidents et vulnérabilités à l'ANSSI et informer les utilisateurs concernés. Toutefois, cette disposition soulève plusieurs problèmes, notamment en ce qui concerne la clarté des conditions déclenchant cette obligation, l'absence d'un cadre juridique et administratif approprié pour encadrer l'obligation de notification à l'ANSSI, et le risque de divulguer publiquement des vulnérabilités non corrigées. Il est donc recommandé de s'appuyer sur des référentiels existants, tels que le CVSS, pour évaluer objectivement la criticité desdites vulnérabilités.
Aucun commentaire n'a encore été formulé sur cet amendement.