- Texte visé : Texte de la commission sur le projet de loi, après engagement de la procédure accélérée, relatif à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense (n°1033)., n° 1234-A0 rectifié
- Stade de lecture : 1ère lecture (1ère assemblée saisie)
- Examiné par : Assemblée nationale (séance publique)
I. – À la deuxième phrase de l’alinéa 6, substituer aux mots :
« peut enjoindre »
le mot :
« enjoint ».
II. – En conséquence, à la dernière phrase du même alinéa, substituer au mot :
« peut »
le mot :
« doit ».
Par cet amendement, le groupe parlementaire de la France insoumise - NUPES souhaite rendre obligatoire le fait pour l’ANSSI d’enjoindre aux éditeurs de logiciel d’informer leurs utilisateurs en cas de vulnérabilité ou d’incident compromettant la sécurité de leurs systèmes d’information.
En effet, si les éditeurs de logiciel ont failli à leur obligation d’informer les utilisateurs recourant à leur produit d’une vulnérabilité avérée, ou d’un incident informatique compromettant la sécurité de leurs systèmes d’information, l’ANSSI doit impérativement les obliger à le faire.
Par ailleurs, le groupe parlementaire de la France insoumise-NUPES souhaite rendre obligatoire le fait pour l’ANSSI de rendre publics la vulnérabilité ou l’incident affectant la sécurité d’un produit lorsque l’éditeur de logiciel responsable du produit n’en a pas informé ses utilisateurs.
En effet, si les éditeurs de logiciel ont failli à leur obligation d’informer les utilisateurs recourant à leur produit d’une vulnérabilité avérée ou d’incident informatique compromettant la sécurité de leurs systèmes d’information, y compris après avoir reçu une injonction à le faire par l’ANSSI, alors l’ANSSI doit obligatoirement rendre publics la vulnérabilité ou l’incident ainsi que l’injonction qui n’a pas été mise en œuvre. Ces possibilités ne doivent pas rester à l’appréciation de l’ANSSI mais au contraire devenir des sanctions obligatoirement imposées à l’éditeur de logiciel responsable.