Vulnérabilités & incidents logiciels: les éditeurs soumis à de nouvelles obligations depuis le 1er juin 2024
L’ actualité démontre malheureusement que la menace cyber est plus forte que jamais. On se souvient d’attaques par rançongiciels (ou « ransomware ») qui ont frappées des établissements de santé en France.
Les conséquences de telles attaques sont majeures : divulgation de données à caractère personnel (souvent très sensibles car médicales), paralysie du système d’information, risques sur la santé des patients, fermeture temporaire d’établissements…
Au-delà des établissements de santé, toutes les entreprises sont concernées par cette menace et ce risque. Dans la quasi-totalité des cas, les attaques ont pu avoir lieu à cause de faiblesses dans la cybersécurité des systèmes informatiques des établissements visés.
Si l’on rajoute à cela les tensions géopolitiques actuelles, et les cyberattaques extérieures contre l’Etat Français, il n’est pas surprenant que le législateur se soit emparé de ce sujet dans le cadre d’une Loi de Programmation militaire.
Ainsi, la loi de programmation militaire pour la période 2024 – 2030 (dite « LPM ») comporte de nouvelles obligations pour les éditeurs de logiciels victimes de vulnérabilité ou d’incidents de sécurité compromettant leur système d’information.
A noter qu’il existe déjà d’autres réglementations qui imposent de signaler des violations de sécurité. Par exemple, le RGPD, qui contraint (dans certains cas) un éditeur de logiciel à notifier une violation de sécurité affectant des données personnelles. On pense également à la directive NIS 2, mais dont le champs d’application est limité à certains acteurs et secteurs d’activité.
Cette nouvelle obligation, codifiée à l’article L. 2321-4-1 du Code de la défense, met en place un dispositif à la fois plus large, mais également plus précis.
Ce dispositif est entré en vigueur le 1er juin 2024, selon le décret du 10 mai 2024. Il prévoit que tout éditeur qui fournit un logiciel sur le territoire français, à des sociétés ayant leur siège social en France (ou à des sociétés contrôlées par des sociétés ayant leur siège social en France), doit notifier à l’ANSSI toute « vulnérabilité significative affectant un de leurs produits ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits »
La loi définit de façon large « l’éditeur » qui doit être entendu comme « toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d’utilisateurs, à titre onéreux ou gratuit ».
Dans un second temps, l’éditeur sera tenu d’informer les utilisateurs du logiciel, dans les délais fixés par l’ANSSI. Ces délais seront déterminés en fonction des risques encourus, de l’urgence, et de la mise en place de mesures correctives.
Le décret du 10 mai 2024 vient préciser ce que l’on doit entendre par le caractère « significatif » de la vulnérabilité ou de l’incident. Plusieurs critères sont pris en compte :
- Le nombre d’utilisateurs concernés par la vulnérabilité ou l’incident affectant le produit ;
- Le nombre de produits intégrant le produit affecté ;
- L’impact technique, potentiel ou actuel, de la vulnérabilité ou de l’incident sur le fonctionnement attendu du produit. Selon les fonctionnalités du produit, cet impact est évalué au regard de critères de sécurité tels que la disponibilité, l’intégrité, la confidentialité ou la traçabilité ;
- Le type de produit au regard de ses usages et de l’environnement dans lequel il est déployé ;
- L’exploitation imminente ou avérée de la vulnérabilité ;
- L’existence d’une preuve technique d’exploitabilité ou d’un code d’exploitation.
Une FAQ a été mise en ligne par l’ANSSI.
Nos avocats en droit du numérique et des nouvelles technologies vous accompagnent et vous conseillent sur ces sujets. Pour en savoir plus sur nos compétences et nos services en matière de logiciel, rendez-vous sur cette page.