France : les éditeurs doivent désormais signaler à l’ANSSI toute faille « significative »

Le gouvernement français a publié au Journal officiel, le 10 mai 2024, le décret d’application de l’obligation de signalement à l’ANSSI des vulnérabilités « significatives ». Issue de la loi de programmation militaire pour 2024-2030 du 1^er août 2023, cette mesure s’applique à tous les éditeurs de logiciels français ou utilisés en France.

La formalisation de ce décret a bénéficié d’une consultation publique sur le sujet, menée par l’ANSSI depuis janvier 2024. Le texte final définit six critères permettant de déterminer si une vulnérabilité est « significative » ou pas :

• Le nombre d’utilisateurs affectés
• Le nombre de produits touchés
• L’impact technique de la vulnérabilité
• Le type de produits
• L’exploitation active de la vulnérabilité par des acteurs malveillants
• L’existence d’un code d’exploitation

Le décret impose donc aux éditeurs de signaler à l’ANSSI toute vulnérabilité identifiée comme « significative » dès sa découverte. Après analyse de la situation, l’agence fixera à l’éditeur un délai pour communiquer à ses utilisateurs la faille ou l’incident. Ce délai ne peut être inférieur à 10 jours ouvrables, « sauf en cas de risque pour la défense et la sécurité nationale requérant une information des utilisateurs sans délai », lit-on dans le décret.

Dans le cas où c’est l’ANSSI qui transmet à un éditeur un signalement de faille issu d’une source tierce, cet éditeur a 48 heures pour estimer si la vulnérabilité est « significative ». L’agence peut alors lui imposer un délai pour la divulguer à ses utilisateurs. En cas de refus répétés de l’éditeur, l’ANSSI se réserve le droit de rendre elle-même la faille publique.