Interventions sur "logiciel"

Cet amendement propose une mesure d'efficacité. Le texte indique que, lorsqu'une faille survient dans le logiciel, les utilisateurs professionnels devront en être informés. Nous proposons la suppression du terme « professionnels », d'ailleurs ajouté en commission, car nous considérons que nos réseaux informatiques constituent une chaîne et que tous les utilisateurs, professionnels comme non professionnels, doivent être informés. Les ordinateurs des particuliers peuvent faire l'objet de contaminations et, à l...

Je m'exprime sur cet amendement qui, s'il était adopté, ferait tomber le suivant. Nous avons voulu, en commission des lois, cibler les utilisateurs professionnels de logiciel, mais la question se pose de leur définition : qu'entend-on par professionnels ? Incluent-ils, par exemple, les groupements hospitaliers de territoire (GHT), qui n'entrent pas nécessairement dans cette catégorie au sens du code de commerce, auquel on peut être susceptible de se référer pour interpréter l'article ? En ce qui concerne néanmoins les particuliers, il existe déjà des dispositifs d'in...

Il ne faut oublier personne car il y va de la portée de la coercition pouvant peser sur les éditeurs de logiciels. Puisque vous avez refusé les sanctions financières pour défaut de communication d'une vulnérabilité, il faut à tous le moins que les éditeurs en informent les utilisateurs ou, à défaut, l'Anssi. Il ne faudrait donc pas que la rédaction actuelle rate la cible, et c'est la raison pour laquelle, en commission, je faisais partie de la minorité qui aurait préféré que l'on se réfère à tous les utili...

Mon intervention sera courte, car il s'agit d'un amendement très simple ayant pour objet de contraindre les éditeurs de logiciels à transmettre dans les plus brefs délais les informations nécessaires pour assurer la sécurité des données sensibles. L'amendement vise ainsi à introduire la notion d'immédiateté à l'article 34, en imposant aux éditeurs d'agir « dès que » leurs produits sont affectés ou susceptibles de l'être par une vulnérabilité significative.

Il me semble que les mots « dès que » laissent de la flexibilité, étant donné qu'ils ne veulent pas dire « à la seconde où ». Cet amendement me paraît de bon sens et contenir une formulation offrant une meilleure réponse aux préoccupations de sécurité vis-à-vis des éditeurs de logiciels.

...s critères selon lesquels le délai d'information sera fixé. Je souhaite également réagir aux propos de Mme la rapporteure pour avis, selon qui les entreprises n'ont pas intérêt à mettre des produits défectueux sur le marché. Pour avoir un peu travaillé dans le domaine du développement informatique, je puis vous dire qu'une très longue et très coûteuse phase de débogage suit le développement d'un logiciel. De nombreuses entreprises mettent donc sur le marché des produits en sachant pertinemment qu'ils comprennent des failles de sécurité très importantes.

C'est par exemple l'habitude de Microsoft. Pour proposer des logiciels à des prix moins élevés, les éditeurs font pour ainsi dire accomplir le débogage par les utilisateurs, un signalement parvenant automatiquement aux entreprises après chaque dysfonctionnement et leur permettant de prendre connaissance des failles de sécurité. Le délai d'information dont nous parlons pourrait donc être très important, car la phase de débogage peut s'étendre sur un ou deux ans. Je ...

Nous restons sur le même thème. Ces amendements visent à obliger l'Anssi à enjoindre aux éditeurs de logiciels d'informer leurs utilisateurs en cas de vulnérabilité ou d'incident compromettant la sécurité de leurs systèmes d'information. Collègues, nous avons, tous, certainement, été déjà victimes de fuites de mot de passe, parfois même sans que nous en ayons été informés par les entreprises concernées. Or, aux termes du projet de loi, monsieur le ministre délégué, vous souhaitez qu'il soit simplement p...

Nous sommes ici dans un cas de figure où une faille de vulnérabilité a été constatée et, je l'espère, communiquée à l'Anssi. Celle-ci doit donc, aux termes des amendements que nous venons d'adopter, fixer un délai à l'éditeur concerné pour qu'il fournisse un correctif et informe ses utilisateurs professionnels de cette faille. Voilà où nous en sommes. Or imaginons que, patatras, l'éditeur du logiciel ne fasse pas ce que lui a demandé l'Anssi : dans ce cas, l'Agence peut, je dis bien peut, c'est-à-dire éventuellement, faire elle-même ce que l'éditeur a refusé. Eh bien non ! Si l'Anssi a demandé à l'éditeur d'informer ses utilisateurs professionnels dans un certain délai, c'est qu'elle le jugeait utile, pertinent et nécessaire.

…dont l'objectif est d'informer les utilisateurs de la présence d'une faille dans le logiciel afin d'en limiter les victimes. Il est bien entendu que, parallèlement à cette publication, l'Anssi, en lien avec l'éditeur victime de l'attaque, travaille à combler la faille. Votre amendement conduisant à affaiblir le dispositif, j'émettrai un avis défavorable.

Dans un souci de clarté et d'identification des acteurs concernés, il convient d'apporter un éclairage sur la notion d'éditeur de logiciel. Dès lors que son activité correspond à la définition suivante, nul ne pourra prétendre se soustraire aux dispositions du présent article : « On entend par éditeur de logiciel toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel, et le met à disposition d'utilisateurs, à titre onéreux ou gratuit. » Cette définition trad...

Il était absolument nécessaire de définir la notion d'éditeur de logiciel, et je regrette que nous ayons manqué d'occasions de le faire plus tôt, d'autant que la LPM n'est pas le meilleur véhicule législatif. Cette définition, qui sédimente la jurisprudence en la matière, est le fruit d'un beau travail légistique et sera utile pour d'autres textes, puisqu'elle permettra notamment d'imposer des obligations ou de fournir des moyens aux éditeurs de logiciels et facilitera...

...rendre le dispositif plus intelligible, l'amendement CL99 vise à préciser que les incidents et les vulnérabilités visés doivent être significatifs. Je suis sensible à la volonté des auteurs de l'amendement CL31 de préciser et d'encadrer l'article, néanmoins, je les invite à retirer cet amendement au profit du mien. Les éditeurs, s'ils ont la responsabilité de déclarer les vulnérabilités de leurs logiciels, ne sont pas habilités à apprécier l'atteinte à la sécurité nationale, qui est une prérogative de l'État.

La question se pose en effet de savoir qui est à même de considérer que la sécurité nationale est en jeu, d'autant plus que de nombreux logiciels sont revendus par les éditeurs qui les ont conçus à d'autres éditeurs, qui les intègrent ensuite dans leurs propres solutions. Il semble préférable de retenir l'amendement de Mme la rapporteure pour avis, même s'il conviendrait de le retravailler avant l'examen en séance publique afin d'intégrer la notion de sécurité nationale. C'est l'objectif que nous visions pour ces articles du titre V dans...

Si j'ai bien compris, nous voudrions que les éditeurs de logiciel préviennent l'Anssi de toute faille dans la sécurité ou de toute vulnérabilité de leurs logiciels, car il se trouve que l'État et les administrations utilisent ces mêmes logiciels et que les défaillances de ces derniers pourraient provoquer des dégâts autrement plus graves que chez de simples particuliers. Or vous venez de dire, madame la rapporteure pour avis, que les éditeurs de logiciel ne so...

L'amendement tend à limiter l'obligation d'information qui pèse sur les éditeurs de logiciel aux seuls clients professionnels. Le code de la consommation a prévu d'autres dispositions pour informer les autres consommateurs. L'Anssi peut communiquer des informations, la Commission nationale de l'informatique et des libertés (Cnil) a l'obligation d'informer les clients en cas de fuite de données personnelles. Si les logiciels sont revendus à d'autres éditeurs qui les intègrent dans leurs ...

Je comprends le sens de votre amendement et partage votre objectif mais la rédaction n'est pas sécurisante, car les logiciels à caractère grand public peuvent être utilisés par des professionnels, ce que votre amendement ne prend pas en compte. Je vous invite à retirer votre amendement au bénéfice de celui que je vous présenterai dans quelques instants, le CL100, qui a pour objet de limiter l'obligation d'information aux seuls utilisateurs professionnels, que vous visez d'ailleurs dans votre exposé sommaire. Par aill...

J'accepte de le retirer mais votre rédaction ne permet pas de s'assurer que l'ensemble des logiciels soient concernés. Vous visez, vous aussi, les utilisateurs professionnels, mais des logiciels pourraient passer entre les mailles du filet.

...éjà l'obligation d'avertir les particuliers mais mieux vaut prévoir large et n'oublier personne plutôt que d'en omettre certains à force de restreindre le champ des personnes à informer. L'usage professionnel n'est pas clairement défini et je me demande quel sort vous comptez réserver à ceux qui sont des professionnels mais qui ne se sont pas déclarés en tant que tels lorsqu'ils ont téléchargé un logiciel, par exemple parce qu'il serait libre de droits.

Je ne crois pas en l'altruisme des éditeurs de logiciel, car ils ont une réputation à préserver. Il est arrivé à de nombreuses reprises que des failles informatiques importantes soient révélées à la suite de fuites émanant des personnels de ces sociétés. Les sociétés n'en ont pas informé leurs clients alors qu'elles en avaient l'obligation. C'est pourquoi je vous propose de sanctionner les éditeurs de logiciel en cas de manquement à leurs obligations ...