Intervention de Jordan Guitton

L'article 34 prévoit un dispositif de remontée des vulnérabilités significatives et des incidents informatiques des éditeurs de logiciel à l'Anssi. L'agence aurait ainsi la possibilité de publier ces informations si l'entreprise n'a pas mis les utilisateurs au courant, même si la vulnérabilité n'a pas été réparée. La méthode est étonnante et s'apparente à une forme de chantage déguisé. Ce sont des procédés de hacker ! Vous autorisez l'Anssi à divulguer des données compromettantes pour faire plier sa cible. Comment justifier une telle doctrine ? Comment expliquer que l'on donne à une agence, qui dépend du Gouvernement, le pouvoir d'exposer des entreprises à des attaques de hackers ? Cette épée de Damoclès qui pèserait sur la tête des entreprises récalcitrantes ne peut pas être le moyen d'obliger les entreprises à remédier aux incidents et aux vulnérabilités.

Si une entreprise dont les failles ont été publiées par l'Anssi est attaquée, qui sera responsable ? L'entreprise ou l'Anssi ? Contre qui la victime se retournera-t-elle pour demander réparation ? Quand une mesure soulève plus de questions qu'elle n'en règle, c'est qu'elle doit être réécrite. Nous vous proposons, par conséquent, que l'Anssi ne puisse procéder à cette publication tant que l'éditeur de logiciel n'a pas remédié à la vulnérabilité ou à l'incident.