Intervention de Philippe Latombe
Séance en hémicycle du jeudi 1er juin 2023 à 9h00
Programmation militaire 2024-2030 — Article 34
Philippe Latombe :Je comprends la logique de ces amendements, qui soulèvent plusieurs questions, notamment celle de l'imbrication entre les logiciels libres et ceux des éditeurs commerciaux. Se pose aussi la question de la vitesse de divulgation des failles, dans la mesure où, si on ne dispose pas des correctifs, cette divulgation devient problématique, d'autant que je vous entends lorsque vous dites que l'argument de la réputation ne tient pas face aux risques pour la sécurité nationale que présenterait la révélation de failles pour lesquelles on ne dispose pas de correctif.
Cela étant, je pense que nous devons suivre la rapporteure pour avis et considérer que les choses doivent rester en l'état dans la LPM, quitte à compléter ensuite le dispositif au niveau européen, avec la directive NIS 2 (Network and Information Security). On pourrait, par exemple, envisager un système de déclaration commun, sachant que certains logiciels commercialisés en France peuvent provenir d'éditeurs soumis au droit néerlandais. Il est donc important d'envisager des solutions de traitement de l'information coopératives, impliquant les différentes autorités nationales concernées, à l'instar de ce que nous avons fait avec le règlement général sur la protection des données (RGPD). En outre, dans le cadre européen, la menace de sanction est beaucoup plus forte du fait de l'extraterritorialité.
Sans être hostile sur le principe à la logique de ces amendements, je pense qu'il serait bon que nous soyons au clair sur les vulnérabilités, les backdoors – sans parler de Palentir, entouré d'une certaine opacité –, et que le bon vecteur en la matière est NIS 2. Si jamais la directive faisait l'impasse sur le sujet, alors nous l'inscririons dans le droit national afin de donner à l'Anssi un pouvoir de sanction administratif – je rejoins ici ce qu'a dit Ugo Bernalicis : les sanctions administratives ne sont pas l'apanage des autorités administratives indépendantes, comme le montre l'exemple de la DGCCRF. Cela étant, mieux vaut quand c'est une autorité administrative indépendante.
