![[France :] les éditeurs doivent désormais signaler à l’ANSSI toute faille « significative »](https://incyber.org//wp-content/uploads/2024/05/incyber-news-cybersecurity-cybersecurite-notifications-messages-2-2024-2160x735.jpg)
France : les éditeurs doivent désormais signaler à l’ANSSI toute faille « significative »
Le gouvernement français a publié au Journal officiel, le 10 mai 2024, le décret d’application de l’obligation de signalement à l’ANSSI des vulnérabilités « significatives ». Issue de la loi de programmation militaire pour 2024-2030 du 1er août 2023, cette mesure s’applique à tous les éditeurs de logiciels français ou utilisés en France.
La formalisation de ce décret a bénéficié d’une consultation publique sur le sujet, menée par l’ANSSI depuis janvier 2024. Le texte final définit six critères permettant de déterminer si une vulnérabilité est « significative » ou pas :
- Le nombre d’utilisateurs affectés
- Le nombre de produits touchés
- L’impact technique de la vulnérabilité
- Le type de produits
- L’exploitation active de la vulnérabilité par des acteurs malveillants
- L’existence d’un code d’exploitation
Le décret impose donc aux éditeurs de signaler à l’ANSSI toute vulnérabilité identifiée comme « significative » dès sa découverte. Après analyse de la situation, l’agence fixera à l’éditeur un délai pour communiquer à ses utilisateurs la faille ou l’incident. Ce délai ne peut être inférieur à 10 jours ouvrables, « sauf en cas de risque pour la défense et la sécurité nationale requérant une information des utilisateurs sans délai », lit-on dans le décret.
Dans le cas où c’est l’ANSSI qui transmet à un éditeur un signalement de faille issu d’une source tierce, cet éditeur a 48 heures pour estimer si la vulnérabilité est « significative ». L’agence peut alors lui imposer un délai pour la divulguer à ses utilisateurs. En cas de refus répétés de l’éditeur, l’ANSSI se réserve le droit de rendre elle-même la faille publique.