Si j'ai bien compris, nous voudrions que les éditeurs de logiciel préviennent l'Anssi de toute faille dans la sécurité ou de toute vulnérabilité de leurs logiciels, car il se trouve que l'État et les administrations utilisent ces mêmes logiciels et que les défaillances de ces derniers pourraient provoquer des dégâts autrement plus graves que chez de simples particuliers.
Or vous venez de dire, madame la rapporteure pour avis, que les éditeurs de logiciel ne sont pas à même de juger si leurs produits risquent de porter ou non atteinte à la sécurité nationale. C'est d'autant plus vrai qu'une faille bénigne pour eux pourrait se révéler catastrophique pour l'État, en offrant un point d'entrée pour des systèmes visant à compromettre des données. L'esprit du texte, me semble-t-il, est d'exiger des éditeurs qu'ils signalent toutes les vulnérabilités, toutes les failles, sans chercher à les hiérarchiser, cette tâche incombant à l'Anssi qui évaluera si ces difficultés présentent un risque pour nos services. Or, si vous prévoyez que les éditeurs n'auront à transmettre que les failles ou les vulnérabilités significatives, vous faites reposer sur leurs épaules la charge de décider ce qui est significatif ou non. Est-ce là ce que nous voulons ? Pour toutes ces raisons, je ne voterai pas l'amendement de la rapporteure pour avis.