Interventions sur "ANSSI"

...rcep, ce qui semble nécessaire. Toutefois, je continue à penser que le dispositif n'est pas satisfaisant : copier l'intégralité de serveurs, même en nombre relativement limité, constitue une atteinte manifeste à la vie privée puisqu'il s'agit de données personnelles. Or, on nous l'a dit cent fois pour nous expliquer qu'il ne fallait pas définir plus précisément la notion de sécurité nationale, l'Anssi ne fait pas du renseignement : c'est une agence qui est placée sous l'autorité du pouvoir exécutif, le Premier ministre en l'occurrence. On voit que la procédure contourne l'autorité judiciaire et que le garde-fou que constitue le contrôle de l'Arcep reste assez limité.

Je tiens à rappeler la spécificité du modèle français, très protecteur car il organise la séparation entre le défensif et l'offensif, entre le civil et le militaire, entre l'Anssi et les services de renseignement. Il diffère en cela des modèles anglo-saxons. Il semble important de dire que, dans le cadre de cette loi de programmation militaire, on ne touche pas à ce qui est une garantie démocratique forte.

Après avoir déposé en commission des lois un amendement de suppression de l'article 35, nous revenons en séance dans une démarche constructive. Nous défendons en effet un amendement qui vise à donner un caractère expérimental au dispositif prévoyant d'autoriser l'Anssi, qui dépend, rappelons-le, du secrétariat général de la défense et de la sécurité nationale (SGDSN), lui-même placé sous l'autorité du Premier ministre, à accéder à des données de contenu. Deux problèmes se posent. Le premier est que vos données de contenu, les miennes, celles de vos familles, seront susceptibles d'être recueillies par des opérateurs pour être transmises à un service gouvernemen...

Il importe de circonscrire le champ des données pouvant être collectées par l'Anssi. D'où notre ajout : « Les données collectées ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées sous quelque forme que ce soit, dans le cadre de ces communications. » Restons-en au modèle français et ne glissons pas vers le renseignement sachant que cette collecte relève de l'exécutif. C'est un amendement de bon sens auquel vous serez, je l'...

Je tiens à rappeler que l'Anssi n'est pas un service de renseignement et n'a pas vocation à valoriser de telles données. La loi prévoit à cet égard la suppression sans délai des données non pertinentes. En outre, ce sont des agents assermentés spécialement habilités qui interviendront. La responsabilité pénale pourra donc être engagée. Je suis attachée comme vous aux libertés fondamentales. Simplement, il faudrait parfois arrêt...

Merci pour votre réponse, madame la rapporteure pour avis : vous confirmez que l'Anssi n'a pas besoin de certaines données. Autant qu'elle ne les collecte pas. Il ne faudrait pas être fleur bleue, d'après vous, mais il n'y a nulle naïveté de notre part. Simplement, nous considérons que, si une copie complète doit être faite, il importe de saisir l'autorité judiciaire. Vous nous renvoyez à l'Europe herbivore. Mais que voulez-vous que nous fassions pour être efficaces ? Que l'on supp...

Cela a à voir. Quand il est question de la garantie des droits, collègues, vous nous trouverez toujours au travers de votre route. Qu'il s'agisse, dans la LPM, des petits droits, sur lesquels posent question les marqueurs techniques que l'Anssi fournira aux opérateurs, ou des grands !

...émarche du Gouvernement et les missions du ministre délégué Jean-Noël Barrot en matière de souveraineté numérique et de protection des données. C'est pourquoi je souhaite vivement que nous puissions réfléchir de nouveau à ce sujet, monsieur le ministre délégué, dans le cadre d'un grand projet de loi sur le numérique – que nous avons entamé –, en concertation avec les acteurs de l'écosystème et l'Anssi. Il s'agit pour ces acteurs, comme pour les législateurs qui travaillent sur les sujets du numérique et dont je fais partie, d'une réelle attente depuis des années. C'est aussi la raison pour laquelle je voterai en faveur de l'amendement de suppression de l'article 35 bis .

Le périmètre de l'article est très large puisqu'il prévoit d'obliger les éditeurs à notifier toute faille de sécurité dont ils auraient connaissance. S'il semble indispensable qu'ils signalent systématiquement et dans les plus brefs délais à l'Agence nationale de la sécurité des systèmes d'information (Anssi) les vulnérabilités et les incidents susceptibles de porter atteinte à la sécurité nationale, cette obligation serait disproportionnée si elle s'appliquait à toutes les failles éventuelles. Il vous est, par conséquent, proposé de préciser que la vulnérabilité, en plus d'être significative, doit être susceptible de porter atteinte à la sécurité nationale.

Si j'ai bien compris, nous voudrions que les éditeurs de logiciel préviennent l'Anssi de toute faille dans la sécurité ou de toute vulnérabilité de leurs logiciels, car il se trouve que l'État et les administrations utilisent ces mêmes logiciels et que les défaillances de ces derniers pourraient provoquer des dégâts autrement plus graves que chez de simples particuliers. Or vous venez de dire, madame la rapporteure pour avis, que les éditeurs de logiciel ne sont pas à même de jug...

L'amendement tend à limiter l'obligation d'information qui pèse sur les éditeurs de logiciel aux seuls clients professionnels. Le code de la consommation a prévu d'autres dispositions pour informer les autres consommateurs. L'Anssi peut communiquer des informations, la Commission nationale de l'informatique et des libertés (Cnil) a l'obligation d'informer les clients en cas de fuite de données personnelles. Si les logiciels sont revendus à d'autres éditeurs qui les intègrent dans leurs propres solutions et que des failles apparaissent, les clients professionnels, hôpital ou collectivité par exemple, seront tout de même inf...

À ce stade, l'introduction de sanctions n'est pas souhaitable, le dispositif prévoyant déjà de publier les vulnérabilités en cas de non-respect de l'injonction de l'Anssi. C'est le fameux name and shame. Je reste attentive à l'équilibre des dispositions votées et aux charges qui pèsent sur les personnes et les structures concernées. Pour être honnête avec vous, sachez que je me suis renseignée sur la pertinence de prévoir ou non des sanctions et, après avoir auditionné les acteurs concernés, il me semble préférable d'en rester là, quitte à envisager une é...

L'amendement CL49 vise à prévoir le délai dans lequel les éditeurs de logiciel informent leurs utilisateurs de la vulnérabilité significative qui affecte un de leurs produits ou d'un incident informatique qui compromettrait la sécurité de leurs systèmes d'information et pourrait affecter l'un de leurs produits. Nous proposons que ce délai soit fixé par l'Anssi pour assurer une meilleure réactivité face à la menace et éviter de potentiels abus.

En la matière, la disposition étant déjà suffisamment contraignante pour les éditeurs, il serait souhaitable de laisser un peu de flexibilité et de ne pas prévoir de délais trop contraints. Je suis néanmoins d'accord avec vous sur un point : il faut préciser au maximum le dispositif. C'est pourquoi je préfère l'amendement CL49, qui laisserait le soin de déterminer le délai à l'Anssi, laquelle pourra apprécier la situation in concreto, et prendre une décision adaptée à l'ampleur de l'incident et de la vulnérabilité.

Nous voulons transformer en obligation la possibilité que ce texte se contente d'offrir à l'Anssi d'enjoindre aux éditeurs de logiciel d'informer leurs utilisateurs en cas de vulnérabilité ou d'incident affectant leur produit. Je ne comprends pas que vous ne soyez pas plus contraignants. Tenez-vous tant que cela à vous montrer sympathiques avec ces éditeurs et à ne pas trop les brusquer au prétexte que vous dépendez d'eux ? Si c'est vraiment l'explication, il devient urgent de nous doter des ...

Le dispositif juridique doit rester souple et proportionné. Imposer une publication rigidifierait excessivement le texte. L'Anssi doit conserver son libre arbitre et apprécier, au regard de l'ampleur de la vulnérabilité ou de l'incident, la nécessité de prendre une telle décision. Tous les jours, des incidents informatiques se produisent.

Le texte prévoit qu'en cas de vulnérabilité significative – cet adjectif ayant été ajouté par vos soins, madame la rapporteure pour avis –, les éditeurs de logiciel doivent en informer les utilisateurs. S'ils ne le font pas, vous considérez qu'il serait suffisant de proposer à l'Anssi de leur demander de le faire. Mais dès lors que vous prévoyez, dans ce texte, que les éditeurs doivent informer leurs utilisateurs dans certains cas, vous devez, en cas de manquement de leur part, en tirer des conclusions et prendre les mesures qui s'imposent ! Vous ne pouvez pas vous dédire deux alinéas plus loin. À moins qu'il ne s'agisse que d'une obligation de façade et que vous vous laissiez...

Je me suis, moi aussi, demandé s'il fallait imposer une injonction et j'en ai discuté avec les éditeurs, l'Anssi et d'autres acteurs concernés. Le problème est que, tant qu'un patch n'a pas été trouvé pour corriger la faille, la publication de l'événement pourrait inciter les hackers à s'engouffrer dans la brèche. Il faut laisser à l'Anssi la latitude de décider du moment le plus opportun pour informer.

L'article 34 prévoit un dispositif de remontée des vulnérabilités significatives et des incidents informatiques des éditeurs de logiciel à l'Anssi. L'agence aurait ainsi la possibilité de publier ces informations si l'entreprise n'a pas mis les utilisateurs au courant, même si la vulnérabilité n'a pas été réparée. La méthode est étonnante et s'apparente à une forme de chantage déguisé. Ce sont des procédés de hacker ! Vous autorisez l'Anssi à divulguer des données compromettantes pour faire plier sa cible. Comment justifier une telle doctri...

Nous venons précisément d'en discuter : laissons l'Anssi décider des modalités de publication et d'information. Avis défavorable.