Interventions sur "faille"

…dont l'objectif est d'informer les utilisateurs de la présence d'une faille dans le logiciel afin d'en limiter les victimes. Il est bien entendu que, parallèlement à cette publication, l'Anssi, en lien avec l'éditeur victime de l'attaque, travaille à combler la faille. Votre amendement conduisant à affaiblir le dispositif, j'émettrai un avis défavorable.

Je comprends votre argument, monsieur le ministre délégué. Il est bien évident que, seul, cet amendement ne permet pas d'inciter les éditeurs à signaler et combler les failles de leurs systèmes, et c'est pour cette raison que j'ai déposé après l'article 36 un amendement tendant à demander un rapport sur la pénalisation des entreprises qui ne répondraient pas aux demandes de l'Anssi. La réponse d'un État de droit à ce type de manquements doit être une sanction, pas le name and shame proposé par Mme la rapporteure pour avis.

Le périmètre de l'article est très large puisqu'il prévoit d'obliger les éditeurs à notifier toute faille de sécurité dont ils auraient connaissance. S'il semble indispensable qu'ils signalent systématiquement et dans les plus brefs délais à l'Agence nationale de la sécurité des systèmes d'information (Anssi) les vulnérabilités et les incidents susceptibles de porter atteinte à la sécurité nationale, cette obligation serait disproportionnée si elle s'appliquait à toutes les failles éventuelles. Il v...

Si j'ai bien compris, nous voudrions que les éditeurs de logiciel préviennent l'Anssi de toute faille dans la sécurité ou de toute vulnérabilité de leurs logiciels, car il se trouve que l'État et les administrations utilisent ces mêmes logiciels et que les défaillances de ces derniers pourraient provoquer des dégâts autrement plus graves que chez de simples particuliers. Or vous venez de dire, madame la rapporteure pour avis, que les éditeurs de logiciel ne sont pas à même de juger si leurs prod...

...nels. Le code de la consommation a prévu d'autres dispositions pour informer les autres consommateurs. L'Anssi peut communiquer des informations, la Commission nationale de l'informatique et des libertés (Cnil) a l'obligation d'informer les clients en cas de fuite de données personnelles. Si les logiciels sont revendus à d'autres éditeurs qui les intègrent dans leurs propres solutions et que des failles apparaissent, les clients professionnels, hôpital ou collectivité par exemple, seront tout de même informés. Notre proposition limite le champ des consommateurs informés mais pas la portée. L'Anssi y serait favorable.

Je ne crois pas en l'altruisme des éditeurs de logiciel, car ils ont une réputation à préserver. Il est arrivé à de nombreuses reprises que des failles informatiques importantes soient révélées à la suite de fuites émanant des personnels de ces sociétés. Les sociétés n'en ont pas informé leurs clients alors qu'elles en avaient l'obligation. C'est pourquoi je vous propose de sanctionner les éditeurs de logiciel en cas de manquement à leurs obligations par une amende administrative pouvant atteindre 4 % de leur chiffre d'affaires.

Je me suis, moi aussi, demandé s'il fallait imposer une injonction et j'en ai discuté avec les éditeurs, l'Anssi et d'autres acteurs concernés. Le problème est que, tant qu'un patch n'a pas été trouvé pour corriger la faille, la publication de l'événement pourrait inciter les hackers à s'engouffrer dans la brèche. Il faut laisser à l'Anssi la latitude de décider du moment le plus opportun pour informer.

Certes, mais il arrive que les logiciels soient intégrés dans d'autres et qu'il faille du temps avant de corriger la vulnérabilité. La rendre publique serait dangereux.

...ier sa cible. Comment justifier une telle doctrine ? Comment expliquer que l'on donne à une agence, qui dépend du Gouvernement, le pouvoir d'exposer des entreprises à des attaques de hackers ? Cette épée de Damoclès qui pèserait sur la tête des entreprises récalcitrantes ne peut pas être le moyen d'obliger les entreprises à remédier aux incidents et aux vulnérabilités. Si une entreprise dont les failles ont été publiées par l'Anssi est attaquée, qui sera responsable ? L'entreprise ou l'Anssi ? Contre qui la victime se retournera-t-elle pour demander réparation ? Quand une mesure soulève plus de questions qu'elle n'en règle, c'est qu'elle doit être réécrite. Nous vous proposons, par conséquent, que l'Anssi ne puisse procéder à cette publication tant que l'éditeur de logiciel n'a pas remédié à la...

...ir cette mission. En outre, nous allons encore dépendre de solutions logicielles non souveraines. Ces questions doivent être maniées avec force pincettes et, en l'état, l'article n'apporte pas les garanties suffisantes pour aller au-delà de la réglementation actuelle, laquelle permet déjà de faire des choses. Du reste, j'ose espérer que si les services de renseignement avaient connaissance d'une faille ou d'une menace quelconque, ils préviendraient aussitôt l'Anssi, pour que celle-ci fasse des contrôles plus poussés et écarte la menace.

Les alinéas 21 et 22 prévoient que l'Anssi pourra fournir des marqueurs techniques aux opérateurs et que c'est à eux qu'il reviendra de les exploiter et de signaler à l'agence des failles éventuelles. Vous introduisez donc une forme de sous-traitance. Cela me semble être un élément supplémentaire de porosité entre les opérateurs, qui ont leurs intérêts propres, et l'Anssi, qui travaille pour l'intérêt général et la protection de nos concitoyens et concitoyennes, de nos entreprises et de nos intérêts nationaux. Il me semble que les implications de cette disposition mériteraient un...