- Texte visé : Texte de la commission sur le projet de loi, après engagement de la procédure accélérée, relatif à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense (n°1033)., n° 1234-A0 rectifié
- Stade de lecture : 1ère lecture (1ère assemblée saisie)
- Examiné par : Assemblée nationale (séance publique)
Après la première phrase de l’alinéa 6, insérer la phrase suivante :
« Ce délai est déterminé en fonction de l’urgence, des risques pour la sécurité nationale et du temps nécessaire aux éditeurs pour prendre les mesures correctives. »
En application des standards internationaux sur la divulgation coordonnée de vulnérabilités, l’Information des utilisateurs doit s’accompagner de mesures de contournement, ou idéalement de correctifs. De manière générale, les doctrines internationales visant à fixer des recommandations en matière de procédures de gestion des vulnérabilités n’imposent pas de délai fixe pour cette raison. En effet, la production de correctifs de sécurité ou l'élaboration de mesures de contournement efficaces sont complexes et peuvent nécessiter du temps. Certaines vulnérabilités peuvent aussi nécessiter une coordination importante (si le produit est intégré dans d’autres produits, etc.). De ce fait, imposer un délai maximum pour prévenir les utilisateurs peut être contre-productif et aboutir à un effet inverse en termes de sécurité des systèmes d’information.
Nous proposons cependant d’indiquer les critères que l’ANSSI prendra en compte pour la détermination du délai.