[CYBERRISQUE] Obligation des éditeurs de logiciel de notifier les incidents et vulnérabilités affectant leurs produits : les précisions du projet de décret d’application publié par l’ANSSI

[CYBERRISQUE] Obligation des éditeurs de logiciel de notifier les incidents et vulnérabilités affectant leurs produits : les précisions du projet de décret d’application publié par l’ANSSI
31/01/2024 , 03h27 Cyber risque

L’ANSSI a publié le 29 janvier 2024 pour consultation un projet de décret pris en application de la loi de programmation militaire du 1er août 2023 venant préciser les obligations en matière de cybersécurité des opérateurs de communications électroniques, hébergeurs, fournisseurs de data center, offices et bureaux d’enregistrement de noms de domaine, ainsi que les éditeurs de logiciels.

Le département IP/IT/Data de LexCase revient sur les obligations pesant sur les éditeurs de logiciels en cas de détection d’une vulnérabilité significative affectant un de leurs produits ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits.

Si vous n’avez que 30 secondes

 

La loi n°2023-703 du 1er août 2023 relative à la programmation militaire (« LPM ») a inséré un nouvel article L. 2321-4-1 dans le Code de la défense imposant aux éditeurs de logiciels :·       L’obligation de notifier à l’ANSSI (i) les vulnérabilités significatives affectant un de leurs produits ; ou (ii) les incidents informatiques compromettant la sécurité de leurs systèmes d’information et susceptibles d’affecter significativement un de leurs produits ;

·       L’obligation d’informer les utilisateurs du produit dans un délai à fixer au cas par cas par l’ANSSI.

L’entrée en vigueur de cet article a été fixée au 1er octobre 2023. Toutefois, ses modalités d’application viennent seulement d’être précisées par un projet de décret d’application soumis par l’ANSSI à consultation des prestataires concernés jusqu’au 29 février 2024 (réponse à transmettre à l’adresse lpm@ssi.gouv.fr).

Objectif du dispositif

L’objectif du texte est de renforcer l’obligation de transparence des éditeurs de logiciels en matière de cybersécurité de leurs produits, lesquels constituent un maillon crucial dans la sécurité des systèmes d’information.

Jusqu’à présent, il n’existait pas d’obligation légale d’information pesant spécifiquement sur les éditeurs de logiciel. Seules certaines catégories d’opérateurs (les opérateurs d’importance vitale visés par l’article L. 1332-6-2 du Code de la défense, et les opérateurs de services essentiels visés par la loi n°2018-133 du 26 février 2018) étaient concernées par des obligations de notification des menaces cyber.

L’article L. 2321-4-1 du Code de la défense impose désormais aux éditeurs de logiciel de notifier l’ANSSI en cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter un de leurs produits. La notification inclut une analyse des causes et conséquences de cette vulnérabilité.

 

Quels sont les prestataires concernés ?

 

Le champ d’application du texte est très large puisque sont visés :

·       L’ensemble des personnes physiques ou morales qui conçoivent ou développent un produit logiciel ou font concevoir ou développer un produit logiciel et le mettent à la disposition d’utilisateurs, à titre onéreux ou gratuit ;

·       Qui fournissent des logiciels (i) sur le territoire français ; (ii) à des sociétés sur le territoire français ; ou (iii) à des sociétés contrôlées, au sens de l’article L. 233-3 du Code de commerce, par des sociétés ayant leur siège social sur le territoire français.

Ce dispositif a vocation à s’appliquer à des éditeurs ayant leur siège social en dehors du territoire français dès lors que le client a son siège social en France.

 

Quels sont les incidents à notifier ?

 

Le texte couvre les atteintes aux logiciels ou aux systèmes d’information suivants :

·       Les incidents de sécurité, c’est-à-dire des évènements compromettant la disponibilité, l’authenticité, l’intégrité, la confidentialité des données stockées transmises ou faisant l’objet d’un traitement (comme par exemple, une intrusion, un vol ou une perte de donnée) ;

·       Les vulnérabilités significatives. Le projet de décret précise les critères d’appréciation du caractère significatif de la vulnérabilité qui reposent, notamment sur (i) le nombre d’utilisateurs concernés, (ii) le nombre de produits intégrant le produit affecté, (iii) l’impact sur le fonctionnement du produit, (iv) le contexte d’exploitation du produit et (v) l’exploitation imminente ou avérée de la vulnérabilité (article R. 2321-1-16 du projet de décret). Les modalités d’appréciation de la vulnérabilité significative pourront être précisées par des recommandations de l’ANSSI.

 

Quels sont les délais applicables ?

 

·       Délai de notification à l’ANSSI : sans délai et au plus tard dans un délai de vingt-quatre (24) heures après avoir eu connaissance de l’incident ou la vulnérabilité (article R. 2321-1-16 du projet de décret). Le délai est identique au délai de notification figurant dans la directive NIS 2 ;

·       Délai de notification aux utilisateurs : délai fixé par l’ANSSI en tenant compte de l’urgence et du temps nécessaire aux éditeurs pour prendre des mesures correctives (article R. 2321-1-17 du projet de décret), ce délai ne peut être inférieur à 10 jours ouvrables sauf en cas de risque pour la défense et la sécurité nationale.

 

Quelles sont les prérogatives de l’ANSSI ?

 

L’ANSSI pourra (i) enjoindre les éditeurs de procéder à l’information des utilisateurs ; (ii) et en cas de défaillance, informer les utilisateurs elle-même ou rendre public la vulnérabilité ou l’incident sur le site du CERT-FR.

 

Quelles sont les sanctions applicables ?

 

L’objectif de cette obligation de notification est d’inciter les éditeurs de logiciels à déployer rapidement des correctifs de sécurité, et à informer les utilisateurs.

En l’état, et sous réserve de modification de la version finale du décret, le non-respect par les éditeurs n’est assorti d’aucune sanction financière spécifique. Toutefois, la publication par l’ANSSI de la vulnérabilité ou de l’incident est susceptible de constituer une sanction réputationnelle pour l’éditeur, sans compter l’engagement de la responsabilité de l’éditeur par un utilisateur dès lors que le non-respect par l’éditeur de son obligation d’information dans les délais lui aurait causé un préjudice.