Interventions sur "logiciel"

...eur cotation en bourse aura reculé, mais elles existent encore et leur chiffre d'affaires n'en a pas souffert. Les gens ne sont pas à l'affût de ce type d'information et ne passent pas leur temps à lire la presse spécialisée. La plupart d'entre eux ne sauront pas que leurs données ont été mises en ligne, piratées par des hackers et revendues si l'obligation d'information qui pèse sur l'éditeur de logiciel n'est pas sanctionnée par une amende et que l'État n'en contrôle pas le respect. Ne soyons pas naïfs ! Un rapport de force est engagé avec les éditeurs de logiciel, qui profitent parfois du monopole qu'ils détiennent sur le marché pour asseoir leur toute-puissance. C'est un problème dont nous avons déjà discuté, notamment à propos des techniques de renseignement pour lesquelles il n'existe qu'un...

L'amendement CL1 tend à clarifier le délai auquel sont soumis les éditeurs de logiciel pour informer les utilisateurs d'une vulnérabilité significative ou d'un incident informatique de nature à compromettre la sécurité de leurs systèmes d'information et d'affecter un de leurs produits. Si une telle vulnérabilité ou un tel incident est détecté par l'éditeur de logiciel, celui-ci doit impérativement en informer ses utilisateurs afin de leur permettre de prendre les dispositions qui s...

L'amendement CL49 vise à prévoir le délai dans lequel les éditeurs de logiciel informent leurs utilisateurs de la vulnérabilité significative qui affecte un de leurs produits ou d'un incident informatique qui compromettrait la sécurité de leurs systèmes d'information et pourrait affecter l'un de leurs produits. Nous proposons que ce délai soit fixé par l'Anssi pour assurer une meilleure réactivité face à la menace et éviter de potentiels abus.

Nous voulons transformer en obligation la possibilité que ce texte se contente d'offrir à l'Anssi d'enjoindre aux éditeurs de logiciel d'informer leurs utilisateurs en cas de vulnérabilité ou d'incident affectant leur produit. Je ne comprends pas que vous ne soyez pas plus contraignants. Tenez-vous tant que cela à vous montrer sympathiques avec ces éditeurs et à ne pas trop les brusquer au prétexte que vous dépendez d'eux ? Si c'est vraiment l'explication, il devient urgent de nous doter des moyens de développer nos propres solu...

Le texte prévoit qu'en cas de vulnérabilité significative – cet adjectif ayant été ajouté par vos soins, madame la rapporteure pour avis –, les éditeurs de logiciel doivent en informer les utilisateurs. S'ils ne le font pas, vous considérez qu'il serait suffisant de proposer à l'Anssi de leur demander de le faire. Mais dès lors que vous prévoyez, dans ce texte, que les éditeurs doivent informer leurs utilisateurs dans certains cas, vous devez, en cas de manquement de leur part, en tirer des conclusions et prendre les mesures qui s'imposent ! Vous ne pouvez p...

Certes, mais il arrive que les logiciels soient intégrés dans d'autres et qu'il faille du temps avant de corriger la vulnérabilité. La rendre publique serait dangereux.

L'article 34 prévoit un dispositif de remontée des vulnérabilités significatives et des incidents informatiques des éditeurs de logiciel à l'Anssi. L'agence aurait ainsi la possibilité de publier ces informations si l'entreprise n'a pas mis les utilisateurs au courant, même si la vulnérabilité n'a pas été réparée. La méthode est étonnante et s'apparente à une forme de chantage déguisé. Ce sont des procédés de hacker ! Vous autorisez l'Anssi à divulguer des données compromettantes pour faire plier sa cible. Comment justifier une te...

Si certaines dispositions législatives actuelles s'appliquent aux éditeurs de logiciel, ces derniers n'y sont pas expressément définis. Dans un souci de clarté, il conviendrait de définir la notion d'éditeur de logiciel. Ainsi, nul ne pourra prétendre se soustraire aux dispositions de l'article dès lors que son activité correspondra à la définition que nous vous proposons, dans la continuité de la jurisprudence rendue en la matière : « Toute personne assurant la conception, le dév...

Je suis favorable à tout amendement qui pourrait éclaircir la loi et je soutiens le principe de l'ajout d'une telle définition. Cependant, la rédaction que vous proposez exclurait les éditeurs de logiciel libre, ce qui fragiliserait le dispositif juridique. Je vous invite à retirer l'amendement afin de le retravailler avant l'examen en séance publique.

Je ne suis pas défavorable à l'amendement mais l'article 34, qui prévoit d'alerter l'Anssi et les utilisateurs de logiciels en cas de vulnérabilité et d'incident informatique significatifs, n'entre pas dans le périmètre de l'Arcep, qui est le régulateur des communications électroniques. Cet ajout ne me semble donc pas fondé en droit et il n'a pas été demandé par l'Arcep. Avis favorable néanmoins.

Il s'agit d'un amendement de repli. Nous proposons que le décret d'application précise « le type de vulnérabilité et d'incident informatique que les éditeurs de logiciel sont tenus de signaler à l'Anssi ».

...i, des missions qui relèvent du renseignement. Au fond, je comprends votre logique : la menace est réelle et on a besoin de pouvoir l'anticiper en collectant des informations, pour ne pas être uniquement dans la réaction. Je ne suis pas sûr, cependant, que l'Anssi soit suffisamment dotée, en moyens, humains notamment, pour remplir cette mission. En outre, nous allons encore dépendre de solutions logicielles non souveraines. Ces questions doivent être maniées avec force pincettes et, en l'état, l'article n'apporte pas les garanties suffisantes pour aller au-delà de la réglementation actuelle, laquelle permet déjà de faire des choses. Du reste, j'ose espérer que si les services de renseignement avaient connaissance d'une faille ou d'une menace quelconque, ils préviendraient aussitôt l'Anssi, pour ...

... Web Services bloquait l'accès aux données de Doctolib à la suite d'un conflit commercial avec cette société, comment ferions-nous pour prendre des rendez-vous, en médecine de ville comme à l'hôpital ? Les propositions qui sont faites pour garantir notre souveraineté nous prémuniraient contre le risque de blocage d'un opérateur de services essentiels tel que Doctolib. Deuxième exemple : Palantir, logiciel qui a été financé à l'origine par la CIA, est aujourd'hui utilisé par des opérateurs français, notamment Airbus. Si un conflit commercial survenait avec Boeing, la dépendance à un opérateur de ce type, qui dispose d'informations stratégiques sur Airbus, soulèverait la question de notre souveraineté économique. Troisième exemple, le Health Data Hub, qui est hébergé par Microsoft. Le Gouvern...

...urs, votre audition nous a semblé indispensable pour comprendre précisément comment ont été gérées, au sein de la détention, les différentes observations effectuées par votre collègue quelques semaines avant l'agression mortelle d'Yvan Colonna et jusqu'à la veille de celle-ci. Nous nous interrogeons sur le sort qui leur a été réservé, notamment sur ce qui a conduit à les inscrire, ou non, dans le logiciel Genesis. D'autres surveillants nous ont en effet confirmé qu'elles pouvaient remonter par différents canaux en dehors du logiciel, soit verbalement, soit au moyen de comptes rendus professionnels (CRP). Votre collègue nous a indiqué qu'elle n'avait pas fait état, dans Genesis, de l'échange auquel avait participé Franck Elong Abé et au cours duquel les mots « Je vais le tuer » avaient été prononc...

...on entre les trois détenus, qui sont cités nommément. Je note également le lien qui est fait entre le contrôle des barreaux et la conversation ainsi que le changement de comportement depuis plusieurs semaines : ce sont des éléments décrits de manière précise. Je souhaite vous interroger sur deux autres éléments. Tout d'abord, la surveillante a affirmé, à plusieurs reprises, avoir indiqué dans le logiciel Genesis le changement de comportement de M. Franck Elong Abé. Or cette information n'apparaît ni dans l'extraction du logiciel ni dans l'onglet séparé qui nous ont été communiqués. Ensuite, en réponse à notre question sur la raison de l'absence d'observation, dans le logiciel, sur la conversation, qui est une information importante, elle nous a indiqué qu'elle avait préféré faire une transmissio...

Nous sommes d'accord sur le fait qu'il y a un numéro informatique qui pourrait permettre de vérifier s'il y a eu une anomalie, et à quel niveau. Si nous vous posons toutes ces questions, c'est parce qu'il y a eu des déclarations contradictoires : Mme la surveillante a déclaré avoir rentré une information dans le logiciel ; or elle n'y figure pas. Surtout, nous avons été surpris de constater que, dans la première extraction du logiciel Genesis qui nous a été transmise, il n'y avait aucune information concernant Franck Elong Abé à compter du 29 janvier 2022. Plus tard, on nous a transmis par mail les informations qui avaient été saisies à son sujet dans l'onglet dont font l'objet les personnes sous surveillance par...

Lorsqu'on fait une observation dans l'onglet, est-ce qu'elle remonte automatiquement dans le logiciel ?

Sur la période considérée, ces observations devraient donc apparaître dans le logiciel.

Cela signifie qu'elles n'apparaissent pas dans le logiciel classique ?

On trouve pourtant mention, dans le logiciel, de conversations entre détenus, qui portent parfois sur des sujets assez futiles, ou mineurs. Je me rappelle en avoir lu, même sur la fiche de Franck Elong Abé.