Intervention de Aurélien Lopez-Liguori

L'article 34 vise à permettre à l'Anssi de publier les vulnérabilités d'une entreprise. Il s'agit non seulement d'une méthode contestable, mais qui est, en outre, de nature à mettre en danger une entreprise en l'exposant potentiellement à d'autres attaques. En effet, ce serait une occasion en or pour les hackers : on leur offrirait sur un plateau d'argent une voie d'entrée dans les systèmes d'information. Ils s'en donneraient à cœur joie, puisqu'il leur suffirait de consulter les publications de l'Anssi pour disposer d'une liste d'entreprises vulnérables sur lesquelles concentrer leurs attaques.

Si je comprends votre volonté d'inciter les entreprises à combler les failles de leurs systèmes, vous faites en réalité peser une épée de Damoclès au-dessus de leur tête. Le name and shame prôné par Mme la rapporteure pour avis ressemble plus à une méthode de hackers qu'à la réponse qu'un État de droit devrait apporter au problème : elle n'est pas digne d'un organisme dépendant du Premier ministre. Dans un État de droit, la constatation d'un manquement donne lieu à une sanction.

Mon amendement vise à empêcher la publication par l'Anssi de la liste des entreprises présentant des vulnérabilités significatives avant qu'elles n'aient pu y remédier, la publication étant au mieux contre-productive, au pire dangereuse, puisque les failles pourraient alors être exploitées. Afin d'assurer la pénalisation des entreprises qui ne signaleraient ou ne combleraient pas leurs failles, j'ai déposé un amendement après l'article 36 prévoyant que le Gouvernement remet au Parlement un rapport portant notamment sur la définition de sanctions applicables en cas de manquement des éditeurs. Nos collègues de la NUPES proposaient une amende à hauteur de 4 % du chiffre d'affaires : nous envisagions, pour notre part, une sanction proportionnelle. Un rapport nous permettra d'identifier la sanction la plus pertinente.