Actualités

LexCase publie régulièrement des articles sur les actualités les plus pertinentes, qu’il s’agisse de réglementations, de jurisprudences ou d’avis divers.

Tout Associations et Fondations BREXIT Communiqué de presse Construction & Travaux publics Contentieux commercial Cyber risque Données personnelles Droit de l'environnement et des énergies Droit de l’urbanisme, de l’amenagement et de l’environnement Droit de la Concurrence Droit des Assurances Droit des Sociétés / Fusions-Acquisitions Droit Economique Droit Fiscal Droit immobilier Droit Public des Affaires Droit Social Entreprises en difficulté Évènements LexCase Immigration Industries, Etablissements et Produits de Santé Jeux Vidéo Jobs LexCase Mobilité Internationale Newsletters Propriété Intellectuelle Technologies de l'information Télécoms Vie du Cabinet
[DONNÉES PERSONNELLES – CYBERRISQUE] Mise à jour du guide de la CNIL sur la sécurité des données personnelles

[DONNÉES PERSONNELLES – CYBERRISQUE] Mise à jour du guide de la CNIL sur la sécurité des données personnelles

28/03/2024 Cyber risque

[DONNÉES PERSONNELLES – CYBERRISQUE] Mise à jour du guide de la CNIL sur la sécurité des données personnelles

28/03/2024 Cyber risque
[CYBERRISQUE] Obligation des éditeurs de logiciel de notifier les incidents et vulnérabilités affectant leurs produits : les précisions du projet de décret d’application publié par l’ANSSI

[CYBERRISQUE] Obligation des éditeurs de logiciel de notifier les incidents et vulnérabilités affectant leurs produits : les précisions du projet de décret d’application publié par l’ANSSI

31/01/2024 Cyber risque

[CYBERRISQUE] Obligation des éditeurs de logiciel de notifier les incidents et vulnérabilités affectant leurs produits : les précisions du projet de décret d’application publié par l’ANSSI

31/01/2024 Cyber risque
[CYBERSÉCURITÉ] Retour sur l’obligation des plateformes de mettre à disposition un « cyberscore »

[CYBERSÉCURITÉ] Retour sur l’obligation des plateformes de mettre à disposition un « cyberscore »

28/09/2023 Cyber risque

[CYBERSÉCURITÉ] Retour sur l’obligation des plateformes de mettre à disposition un « cyberscore »

28/09/2023 Cyber risque
[EVENEMENT] Webinaire LexCase – Droit des Assurances et IP/IT/Data : Gestion des cyber-risques : attendus réglementaires et bonnes pratiques

[EVENEMENT] Webinaire LexCase – Droit des Assurances et IP/IT/Data : Gestion des cyber-risques : attendus réglementaires et bonnes pratiques

24/07/2023 Cyber risque

[EVENEMENT] Webinaire LexCase – Droit des Assurances et IP/IT/Data : Gestion des cyber-risques : attendus réglementaires et bonnes pratiques

24/07/2023 Cyber risque
[DROIT DES ASSURANCES / CYBER RISQUE] La maîtrise des risques SSI et cyber, un enjeu majeur de la compliance des assureurs

[DROIT DES ASSURANCES / CYBER RISQUE] La maîtrise des risques SSI et cyber, un enjeu majeur de la compliance des assureurs

07/03/2023 Cyber risque

[DROIT DES ASSURANCES / CYBER RISQUE] La maîtrise des risques SSI et cyber, un enjeu majeur de la compliance des assureurs

07/03/2023 Cyber risque

[CYBERRISQUE] Obligation des éditeurs de logiciel de notifier les incidents et vulnérabilités affectant leurs produits : les précisions du projet de décret d’application publié par l’ANSSI

[CYBERRISQUE] Obligation des éditeurs de logiciel de notifier les incidents et vulnérabilités affectant leurs produits : les précisions du projet de décret d’application publié par l’ANSSI
31/01/2024 , 03h27 Cyber risque

L’ANSSI a publié le 29 janvier 2024 pour consultation un projet de décret pris en application de la loi de programmation militaire du 1er août 2023 venant préciser les obligations en matière de cybersécurité des opérateurs de communications électroniques, hébergeurs, fournisseurs de data center, offices et bureaux d’enregistrement de noms de domaine, ainsi que les éditeurs de logiciels.

Le département IP/IT/Data de LexCase revient sur les obligations pesant sur les éditeurs de logiciels en cas de détection d’une vulnérabilité significative affectant un de leurs produits ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits.

Si vous n’avez que 30 secondes

 

La loi n°2023-703 du 1er août 2023 relative à la programmation militaire (« LPM ») a inséré un nouvel article L. 2321-4-1 dans le Code de la défense imposant aux éditeurs de logiciels :·       L’obligation de notifier à l’ANSSI (i) les vulnérabilités significatives affectant un de leurs produits ; ou (ii) les incidents informatiques compromettant la sécurité de leurs systèmes d’information et susceptibles d’affecter significativement un de leurs produits ;

·       L’obligation d’informer les utilisateurs du produit dans un délai à fixer au cas par cas par l’ANSSI.

L’entrée en vigueur de cet article a été fixée au 1er octobre 2023. Toutefois, ses modalités d’application viennent seulement d’être précisées par un projet de décret d’application soumis par l’ANSSI à consultation des prestataires concernés jusqu’au 29 février 2024 (réponse à transmettre à l’adresse lpm@ssi.gouv.fr).

Objectif du dispositif

L’objectif du texte est de renforcer l’obligation de transparence des éditeurs de logiciels en matière de cybersécurité de leurs produits, lesquels constituent un maillon crucial dans la sécurité des systèmes d’information.

Jusqu’à présent, il n’existait pas d’obligation légale d’information pesant spécifiquement sur les éditeurs de logiciel. Seules certaines catégories d’opérateurs (les opérateurs d’importance vitale visés par l’article L. 1332-6-2 du Code de la défense, et les opérateurs de services essentiels visés par la loi n°2018-133 du 26 février 2018) étaient concernées par des obligations de notification des menaces cyber.

L’article L. 2321-4-1 du Code de la défense impose désormais aux éditeurs de logiciel de notifier l’ANSSI en cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter un de leurs produits. La notification inclut une analyse des causes et conséquences de cette vulnérabilité.

 

Quels sont les prestataires concernés ?

 

Le champ d’application du texte est très large puisque sont visés :

·       L’ensemble des personnes physiques ou morales qui conçoivent ou développent un produit logiciel ou font concevoir ou développer un produit logiciel et le mettent à la disposition d’utilisateurs, à titre onéreux ou gratuit ;

·       Qui fournissent des logiciels (i) sur le territoire français ; (ii) à des sociétés sur le territoire français ; ou (iii) à des sociétés contrôlées, au sens de l’article L. 233-3 du Code de commerce, par des sociétés ayant leur siège social sur le territoire français.

Ce dispositif a vocation à s’appliquer à des éditeurs ayant leur siège social en dehors du territoire français dès lors que le client a son siège social en France.

 

Quels sont les incidents à notifier ?

 

Le texte couvre les atteintes aux logiciels ou aux systèmes d’information suivants :

·       Les incidents de sécurité, c’est-à-dire des évènements compromettant la disponibilité, l’authenticité, l’intégrité, la confidentialité des données stockées transmises ou faisant l’objet d’un traitement (comme par exemple, une intrusion, un vol ou une perte de donnée) ;

·       Les vulnérabilités significatives. Le projet de décret précise les critères d’appréciation du caractère significatif de la vulnérabilité qui reposent, notamment sur (i) le nombre d’utilisateurs concernés, (ii) le nombre de produits intégrant le produit affecté, (iii) l’impact sur le fonctionnement du produit, (iv) le contexte d’exploitation du produit et (v) l’exploitation imminente ou avérée de la vulnérabilité (article R. 2321-1-16 du projet de décret). Les modalités d’appréciation de la vulnérabilité significative pourront être précisées par des recommandations de l’ANSSI.

 

Quels sont les délais applicables ?

 

·       Délai de notification à l’ANSSI : sans délai et au plus tard dans un délai de vingt-quatre (24) heures après avoir eu connaissance de l’incident ou la vulnérabilité (article R. 2321-1-16 du projet de décret). Le délai est identique au délai de notification figurant dans la directive NIS 2 ;

·       Délai de notification aux utilisateurs : délai fixé par l’ANSSI en tenant compte de l’urgence et du temps nécessaire aux éditeurs pour prendre des mesures correctives (article R. 2321-1-17 du projet de décret), ce délai ne peut être inférieur à 10 jours ouvrables sauf en cas de risque pour la défense et la sécurité nationale.

 

Quelles sont les prérogatives de l’ANSSI ?

 

L’ANSSI pourra (i) enjoindre les éditeurs de procéder à l’information des utilisateurs ; (ii) et en cas de défaillance, informer les utilisateurs elle-même ou rendre public la vulnérabilité ou l’incident sur le site du CERT-FR.

 

Quelles sont les sanctions applicables ?

 

L’objectif de cette obligation de notification est d’inciter les éditeurs de logiciels à déployer rapidement des correctifs de sécurité, et à informer les utilisateurs.

En l’état, et sous réserve de modification de la version finale du décret, le non-respect par les éditeurs n’est assorti d’aucune sanction financière spécifique. Toutefois, la publication par l’ANSSI de la vulnérabilité ou de l’incident est susceptible de constituer une sanction réputationnelle pour l’éditeur, sans compter l’engagement de la responsabilité de l’éditeur par un utilisateur dès lors que le non-respect par l’éditeur de son obligation d’information dans les délais lui aurait causé un préjudice.

Iliana BOUBEKEUR

Iliana BOUBEKEUR

Guillaume BUSSEUIL

Guillaume BUSSEUIL