- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, n° 1112
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
Anne Le Hénanff
Agit en tant que rapporteure
Membre du groupe Horizons & Indépendants
Lien vers sa fiche complèteÀ l’alinéa 10, supprimer les mots :
« , ou d’un utilisateur de ces derniers, ».
La définition de la notion de vulnérabilité figure déjà à l’article 3 du règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 relatif à la cyber-résilience. Cette définition n’intègre pas le facteur humain comme élément susceptible de constituer une faille exploitable.
Inclure les comportements ou erreurs des utilisateurs reviendrait à introduire une approche disproportionnée et inapplicable, notamment s’agissant des vulnérabilités dites « humaines » liées aux chaînes d’approvisionnement et à la sous-traitance. De même, la notification de vulnérabilités critiques potentielles d’origine humaine se révèle impossible, faute de critères objectifs permettant d’en apprécier l’existence.
Le présent amendement propose donc de supprimer la référence à l’« utilisateur » dans la définition de la vulnérabilité, afin d’assurer la cohérence avec le droit européen et de retenir une approche réaliste et opérationnelle.