Si les éditeurs de logiciels libres, pardon : de logiciels – libres ou pas : peu importe – ont l'obligation de transmettre à l'Anssi les failles de sécurité qui affectent leurs produits ou les incidents qui peuvent compromettre la sécurité nationale, il serait bon qu'ils puissent être sanctionnés s'ils ne le font pas. Il est en effet probable qu'ils n'auront pas tous envie de coopérer de manière immédiate et qu'ils chercheront à gagner du temps, dans la mesure où le fait de révéler les failles de sécurité d'un de vos logiciels peut nuire à votre réputation d'éditeur et inciter les administrations à ne pas l'utiliser, par exemple.
Ainsi, les éditeurs pourraient avoir la tentation capitalistique – c'est une hypothèse – de ne pas dévoiler les failles dans les délais exigés, si bien que la France serait dans la panade du point de vue de la défense de ses intérêts vitaux.
En outre, puisque nos administrations utilisent beaucoup de solutions logicielles privées sur lesquelles elles n'ont pas trop la main et qu'elles ont été attaquées – je pense au ministère de la justice, il y a environ un an, ou à l'Assemblée nationale, récemment –, on n'a pas trop envie de rigoler avec un éditeur de logiciels qui ne coopérerait pas spontanément et immédiatement.
Il nous semble donc intéressant de suspendre au-dessus de leur tête une petite épée de Damoclès, en l'espèce une amende pouvant aller jusqu'à 4 % de leur chiffre d'affaires. Nos camarades socialistes proposeront 1 %. Peu importe : dès lors que le principe d'une sanction est retenu, le dispositif sera plus utile, y compris à l'Anssi, dans son rapport de force avec les éditeurs de logiciels.