- Texte visé : Texte de la commission sur le projet de loi, après engagement de la procédure accélérée, relatif à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense (n°1033)., n° 1234-A0 rectifié
- Stade de lecture : 1ère lecture (1ère assemblée saisie)
- Examiné par : Assemblée nationale (séance publique)
À la fin de l’alinéa 8, substituer aux mots :
« les critères d’appréciation du caractère significatif de la vulnérabilité ou de l’incident mentionnés au premier alinéa en fonction des pratiques et des standards internationaux communément admis »,
les mots :
« le référentiel permettant l’évaluation objective du caractère significatif de la vulnérabilité ou de l’incident mentionnés au premier alinéa ».
La présente disposition impose aux éditeurs de logiciels établis en France de notifier à l'ANSSI tout incident informatique ou vulnérabilité significative de leurs produits et d'informer leurs utilisateurs. La LPM crée ainsi une nouvelle restriction pour les éditeurs de logiciels, qui devront signaler les incidents et vulnérabilités à l'ANSSI et informer les utilisateurs concernés. Toutefois, cette disposition soulève plusieurs problèmes, notamment en ce qui concerne la clarté des conditions déclenchant cette obligation, l'absence d'un cadre juridique et administratif approprié pour encadrer l'obligation de notification à l'ANSSI, et le risque de divulguer publiquement des vulnérabilités non corrigées. Il est donc recommandé de s'appuyer sur des référentiels existants, tels que le CVSS, pour évaluer objectivement la criticité desdites vulnérabilités.