20 interventions trouvées.
...e devant faire l'objet d'un signalement à l'Anssi soit précisé par décret. Aussi sommes-nous satisfaits par l'amendement présenté par Mme la rapporteure qui va dans ce sens. Notre groupe se réjouit également de l'adoption en commission d'amendements de clarification, relatifs tant aux exigences de transparence qu'aux délais auxquels sont soumis les éditeurs de logiciels pour informer l'Anssi des failles et incidents, et définissant certaines notions dans la loi. Ces amendements visent réellement à préciser le cadre dans lequel s'inscrit cet article et nous espérons que nous aborderons, avec le même esprit, l'examen des amendements.
Si les éditeurs de logiciels libres, pardon : de logiciels – libres ou pas : peu importe – ont l'obligation de transmettre à l'Anssi les failles de sécurité qui affectent leurs produits ou les incidents qui peuvent compromettre la sécurité nationale, il serait bon qu'ils puissent être sanctionnés s'ils ne le font pas. Il est en effet probable qu'ils n'auront pas tous envie de coopérer de manière immédiate et qu'ils chercheront à gagner du temps, dans la mesure où le fait de révéler les failles de sécurité d'un de vos logiciels peut nuire...
...ion qui se pose ici est celle de savoir si les éditeurs de logiciels transmettront les informations relatives aux vulnérabilités que présentent leurs propres produits, sachant, comme vient de l'expliquer notre collègue Bernalicis, que le public risque alors de se montrer peu enclin à les utiliser. Par conséquent, si l'on ne prévoit aucune sanction pour non-respect de l'obligation de signaler les failles de sécurité, le plus vraisemblable est que ces dernières ne seront pas rendues publiques ni communiquées à l'Anssi. Aussi proposons, par ces amendements, que les éditeurs qui ne rempliraient pas leur obligation en la matière soient passibles d'une sanction financière. Il ne s'agit pas, pour le coup, de punir les entreprises ou je ne sais quoi : il y va de la sécurité nationale. Par ailleurs – j...
Ou de TikTok, entre autres : je suis d'accord. Si l'on va au bout de ce raisonnement, on peut estimer qu'il serait intéressant d'utiliser des logiciels libres, qui non seulement sont plus sécurisés mais échappent aux logiques capitalistiques, de sorte que leurs concepteurs n'auraient pas de difficultés à déclarer leurs failles de sécurité.
En matière de communication des anomalies logicielles, des failles informatiques, il existe deux approches. La première, dogmatique, vient d'être défendue du côté gauche de l'Hémicycle.
Les tenants de cette approche considèrent qu'il faut adopter une posture anticapitaliste vis-à-vis des éditeurs de logiciels. Elle est dogmatique, et M. Bernalicis l'a démontré lorsqu'il a évoqué, dans un lapsus, les logiciels libres. De très nombreuses failles logicielles, y compris celles qui sont intégrées dans des logiciels d'éditeurs capitalistes, si je puis dire, proviennent en fait de développements de la communauté du logiciel libre. Or on ne peut pas sanctionner, comme vous le proposez, une communauté de développeurs de logiciels libres. La seconde approche, pragmatique, défendue par le ministre délégué, consiste à considérer que les éditeurs...
...ser des sanctions financières tout en plaidant pour le logiciel libre. Ce que j'ai dit c'est que, dans une logique capitaliste, il faut des sanctions financières car les dirigeants de firme ne comprennent que ça : ils ont un portefeuille à la place du cœur, et seules les sanctions financières les pousseront à agir. Quant à votre argument, monsieur le ministre délégué, qui consiste à dire que les failles doivent être déclarées à l'Anssi pour éviter qu'elles soient rendues publiques, il est catastrophique ! Mieux vaut infliger des sanctions aux entreprises pour les obliger à révéler les failles, quitte, ensuite, à voir si elles sont rendues publiques ou non – c'est l'Anssi qui décidera. Pour conclure, sur le logiciel libre, l'idée est que, puisque l'on sort des logiques capitalistes, il n'y a pl...
... de la définition du périmètre ou des voies de recours, mais seulement de ne pas nuire aux entreprises. En réalité, ce n'est pas le sujet. La question est que l'on crée une obligation, mais sans sanction, ce qui revient à annuler cette obligation. Pour l'entreprise, ce n'est pas une question de bonne volonté, c'est une question d'intérêts économiques : elle n'a pas intérêt à rendre publiques ses failles. Vous expliquez que l'Anssi pourra le faire, mais il faudrait au minimum que ce soit automatique et qu'il y ait des sanctions. Le groupe Écologiste soutiendra donc ces amendements.
Je comprends la logique de ces amendements, qui soulèvent plusieurs questions, notamment celle de l'imbrication entre les logiciels libres et ceux des éditeurs commerciaux. Se pose aussi la question de la vitesse de divulgation des failles, dans la mesure où, si on ne dispose pas des correctifs, cette divulgation devient problématique, d'autant que je vous entends lorsque vous dites que l'argument de la réputation ne tient pas face aux risques pour la sécurité nationale que présenterait la révélation de failles pour lesquelles on ne dispose pas de correctif. Cela étant, je pense que nous devons suivre la rapporteure pour avis et ...
Cet amendement propose une mesure d'efficacité. Le texte indique que, lorsqu'une faille survient dans le logiciel, les utilisateurs professionnels devront en être informés. Nous proposons la suppression du terme « professionnels », d'ailleurs ajouté en commission, car nous considérons que nos réseaux informatiques constituent une chaîne et que tous les utilisateurs, professionnels comme non professionnels, doivent être informés. Les ordinateurs des particuliers peuvent faire l'objet...
...téresse ici, il faut être le plus rapide possible et donc privilégier en premier lieu l'information des professionnels déjà utilisateurs du logiciel, voire les entreprises d'infogérance qui utilisent des logiciels tiers et les modifient pour le compte d'autres professionnels. La rédaction actuelle permet donc d'englober l'ensemble de la chaîne et d'aller le plus vite possible pour éviter que les failles de sécurité se démultiplient et soient massivement utilisées. Quant aux particuliers, ils bénéficient d'autres canaux d'information, beaucoup plus précis et plus efficaces, que nous avions instaurés par souci d'efficacité.
...s liens plus étroits ou des contacts plus nombreux avec l'Anssi, ou encore avoir des employés passés par cette agence, ce qui pourrait leur permettre d'obtenir un traitement plus favorable, chose que nous cherchons donc à éviter par ces amendements. L'impératif est de nous assurer de l'applicabilité de la loi pour que les correctifs puissent être effectivement apportés. Il ne faudrait pas que des failles de vulnérabilité soient publiées dans un délai fixe, sans que les correctifs aient été apportés, car, le cas échéant, ce serait ouvrir la porte à des attaques coordonnées et massives que nous aurions pu éviter.
...pour avis, selon qui les entreprises n'ont pas intérêt à mettre des produits défectueux sur le marché. Pour avoir un peu travaillé dans le domaine du développement informatique, je puis vous dire qu'une très longue et très coûteuse phase de débogage suit le développement d'un logiciel. De nombreuses entreprises mettent donc sur le marché des produits en sachant pertinemment qu'ils comprennent des failles de sécurité très importantes.
C'est par exemple l'habitude de Microsoft. Pour proposer des logiciels à des prix moins élevés, les éditeurs font pour ainsi dire accomplir le débogage par les utilisateurs, un signalement parvenant automatiquement aux entreprises après chaque dysfonctionnement et leur permettant de prendre connaissance des failles de sécurité. Le délai d'information dont nous parlons pourrait donc être très important, car la phase de débogage peut s'étendre sur un ou deux ans. Je le répète, pour des raisons économiques, les éditeurs n'ont pas toujours intérêt à mettre sur le marché des logiciels sûrs.
...tant la sécurité de leurs systèmes d'information. Collègues, nous avons, tous, certainement, été déjà victimes de fuites de mot de passe, parfois même sans que nous en ayons été informés par les entreprises concernées. Or, aux termes du projet de loi, monsieur le ministre délégué, vous souhaitez qu'il soit simplement possible d'enjoindre aux éditeurs de logiciels de communiquer l'existence d'une faille. En ce qui nous concerne, nous estimons que ces derniers doivent être obligatoirement enjoints de le faire. J'insiste, l'Anssi doit systématiquement – et non éventuellement – rendre public un incident ou une vulnérabilité affectant la sécurité d'un produit lorsque son éditeur n'en informe pas ses utilisateurs. On ne doit pas jouer avec les données des citoyens et l'Anssi ne doit pas contribuer à ...
Nous sommes ici dans un cas de figure où une faille de vulnérabilité a été constatée et, je l'espère, communiquée à l'Anssi. Celle-ci doit donc, aux termes des amendements que nous venons d'adopter, fixer un délai à l'éditeur concerné pour qu'il fournisse un correctif et informe ses utilisateurs professionnels de cette faille. Voilà où nous en sommes. Or imaginons que, patatras, l'éditeur du logiciel ne fasse pas ce que lui a demandé l'Anssi : dan...
Si l'Anssi a estimé pertinent d'enjoindre à une entreprise d'informer ses utilisateurs d'une faille et que cette entreprise fait défaut, il faut que cette communication soit obligatoirement faite par l'Agence car, dans le cas contraire, votre dispositif ne serait qu'un pétard mouillé !
...ait une occasion en or pour les hackers : on leur offrirait sur un plateau d'argent une voie d'entrée dans les systèmes d'information. Ils s'en donneraient à cœur joie, puisqu'il leur suffirait de consulter les publications de l'Anssi pour disposer d'une liste d'entreprises vulnérables sur lesquelles concentrer leurs attaques. Si je comprends votre volonté d'inciter les entreprises à combler les failles de leurs systèmes, vous faites en réalité peser une épée de Damoclès au-dessus de leur tête. Le name and shame prôné par Mme la rapporteure pour avis ressemble plus à une méthode de hackers qu'à la réponse qu'un État de droit devrait apporter au problème : elle n'est pas digne d'un organisme dépendant du Premier ministre. Dans un État de droit, la constatation d'un manquement donne lieu à...
…dont l'objectif est d'informer les utilisateurs de la présence d'une faille dans le logiciel afin d'en limiter les victimes. Il est bien entendu que, parallèlement à cette publication, l'Anssi, en lien avec l'éditeur victime de l'attaque, travaille à combler la faille. Votre amendement conduisant à affaiblir le dispositif, j'émettrai un avis défavorable.
Je comprends votre argument, monsieur le ministre délégué. Il est bien évident que, seul, cet amendement ne permet pas d'inciter les éditeurs à signaler et combler les failles de leurs systèmes, et c'est pour cette raison que j'ai déposé après l'article 36 un amendement tendant à demander un rapport sur la pénalisation des entreprises qui ne répondraient pas aux demandes de l'Anssi. La réponse d'un État de droit à ce type de manquements doit être une sanction, pas le name and shame proposé par Mme la rapporteure pour avis.