Dans le cadre de la mise en œuvre des nouvelles capacités de cyberdéfense et de cybersécurité confiées à l'Agence nationale de la sécurité des systèmes d'information (ANSII), un décret vient de modifier les obligations des éditeurs de logiciels à l'égard de cet organisme.
En effet, lorsque l'éditeur de logiciel a connaissance d'une vulnérabilité affectant un de ses produits ou en cas d'incident informatique compromettant la sécurité de son système d'information et susceptible d'affecter un de ses produits, il doit désormais en apprécier le caractère significatif, notamment au regard des critères suivants :
- Le nombre d'utilisateurs concernés par la vulnérabilité ou l'incident affectant le produit ;
- Le nombre de produits intégrant le produit affecté ;
- L'impact technique, potentiel ou actuel, de la vulnérabilité ou de l'incident sur le fonctionnement attendu du produit. Selon les fonctionnalités du produit, cet impact est évalué au regard de critères de sécurité tels que la disponibilité, l'intégrité, la confidentialité ou la traçabilité ;
- Le type de produit au regard de ses usages et de l'environnement dans lequel il est déployé ;
- L'exploitation imminente ou avérée de la vulnérabilité ;
- L'existence d'une preuve technique d'exploitabilité ou d'un code d'exploitation.
S'il constate que la vulnérabilité ou l'incident est significatif, il doit le notifier à l'autorité nationale de sécurité des systèmes d'information (ANSII), à l'aide du formulaire de déclaration mis à disposition sur le site internet de celui-ci.
Il doit également répondre aux demandes d'informations supplémentaires de l'ANSII et mettre en œuvre, le cas échéant, les mesures utiles requises afin de sécuriser la vulnérabilité ou l'incident.
Après analyse conjointe de la vulnérabilité ou de l'incident avec l'éditeur, l'ANSII notifie à ce dernier le délai dans lequel il doit informer ses utilisateurs de la vulnérabilité ou de l'incident et ce délai ne peut être inférieur à 10 jours ouvrables, sauf en cas de risque pour la défense et la sécurité nationale requérant une information des utilisateurs sans délai.
L'éditeur du logiciel doit alors informer les utilisateurs du produit affecté par un message d'information comprenant, le cas échéant, toute recommandation que ces derniers peuvent appliquer. Il rend compte à l'autorité nationale de sécurité des systèmes d'information de l'envoi de ce message.
A défaut de respecter ces dispositions, la vulnérabilité du logiciel, ou l'injonction qui a été faite à l'éditeur, peuvent être rendue publique sur le site du centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques.
Ces dispositions sont entrées en vigueur le 12 mai 2024.
Source : Décret n° 2024-421 du 10 mai 2024, J.O. du 11.