Publié le 17 mai 2023 par : M. Lopez-Liguori, M. Allisio, Mme Auzanot, M. Ballard, M. Barthès, M. Baubry, M. Beaurain, M. Bentz, M. Berteloot, M. Bilde, M. Blairy, Mme Blanc, M. Boccaletti, Mme Bordes, M. Bovet, M. Buisson, M. Cabrolier, M. Catteau, M. Chenu, M. Chudeau, Mme Colombier, Mme Cousin, Mme Da Conceicao Carvalho, M. de Fournas, M. de Lépinau, M. Dessigny, Mme Diaz, Mme Dogor-Such, M. Dragon, Mme Engrand, M. Falcon, M. François, M. Frappé, Mme Galzy, M. Giletti, M. Gillet, M. Girard, M. Gonzalez, Mme Florence Goulet, Mme Grangier, M. Grenon, M. Guiniot, M. Guitton, Mme Hamelet, M. Hébrard, M. Houssin, M. Jacobelli, M. Jolly, Mme Laporte, Mme Lavalette, Mme Le Pen, Mme Lechanteux, Mme Lelouis, Mme Levavasseur, Mme Loir, Mme Lorho, M. Lottiaux, M. Loubet, M. Marchio, Mme Martinez, Mme Alexandra Masson, M. Bryan Masson, M. Mauvieux, M. Meizonnet, Mme Mélin, Mme Menache, M. Ménagé, M. Meurin, M. Muller, M. Odoul, Mme Mathilde Paris, Mme Parmentier, M. Pfeffer, Mme Pollet, M. Rambaud, Mme Ranc, M. Rancoule, Mme Robert-Dehault, Mme Roullaud, Mme Sabatini, M. Sabatou, M. Salmon, M. Schreck, M. Taché de la Pagerie, M. Jean-Philippe Tanguy, M. Taverne, M. Tivoli, M. Villedieu.
Dans un délai d’un an à compter de la publication de la présente loi, le Gouvernement remet un rapport au Parlement évaluant l’application de l’article 34 de la présente loi, examinant notamment la mise en place de sanctions applicables aux éditeurs de logiciels qui ne déclarent et ne remédient pas aux incidents et vulnérabilités significatives.
L'article 34 met en place un dispositif qui a pour but d'inciter les éditeurs de logiciel à être transparents sur les vulnérabilités significatives et les incidents sur leurs systèmes d'information, à travers deux obligations : d'une part de le notifier à l'ANSSI, et de l'autre d'informer les utilisateurs. En cas de manquement, il prévoit plusieurs mesures : une injonction de l'ANSSI d'informer les utilisateurs, et à défaut, une information des utilisateurs par l'ANSSI, voire une publication. Si l'information des utilisateurs est indispensable, cet article pose plusieurs problèmes et questions pratiques sur le rôle de l'ANSSI dans le processus. Des précisions devraient être apportées sur les moyens d'information des utilisateurs puisque l'ANSSI ne dispose pas de la liste des utilisateurs d'un logiciel. En outre, la publication de vulnérabilités significatives est utilisée comme moyen d'obliger les entreprises à déclarer ; on peut s'interroger sur l'efficacité de cette mesure, sachant que la publication de vulnérabilités d'un éditeur de logiciel peut l'exposer à de graves menaces. Il convient donc de réfléchir à un système applicable en pratique qui permettrait en bout de chaine d'atteindre l'objectif de régler la vulnérabilité significative sans pour autant exposer l'entreprise à des risques supplémentaires de cyberattaque. Tel est le sens de cette amendement.
Aucun commentaire n'a encore été formulé sur cet amendement.