- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, n° 1112
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
À l’alinéa 10, supprimer les mots :
« , ou d’un utilisateur de ces derniers, ».
La notion de vulnérabilité est d’ores et déjà définie en droit européen, notamment à l’article 3 du règlement UE 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 (Règlement sur la cyber-résilience) concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les règlements (Union européenne) n°68/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828.
Cette définition ne prend pas en compte le facteur humain comme pouvant représenter une faille exploitable. Par ailleurs, la prise en compte du facteur humain serait particulièrement disproportionnée, notamment quand il s’agit d’analyser les vulnérabilités « humaines », liées aux chaînes d’approvisionnement et de sous-traitance. Cela est également vrai pour la notification des vulnérabilités critiques potentielles d’origine humaine. Il n’est pas possible d’apprécier à quel moment le facteur humain est susceptible de présenter une vulnérabilité critique.
Cet amendement propose donc de supprimer la notion d’utilisateur afin d’aligner cette définition de vulnérabilité avec le droit européen, et au nom du principe de réalité.
Amendement travaillé avec la Fédération Française des Télécoms.