Un décret d’application fixe les détails de cette obligation légale, issue de la dernière loi de programmation militaire.

Le gouvernement français a publié au Journal officiel, le 10 mai 2024, le décret d’application de l’obligation de signalement à l’ANSSI des vulnérabilités « significatives ». Issue de la loi de programmation militaire pour 2024-2030 du 1er août 2023, cette mesure s’applique à tous les éditeurs de logiciels français ou utilisés en France.

La formalisation de ce décret a bénéficié d’une consultation publique sur le sujet, menée par l’ANSSI depuis janvier 2024. Le texte final définit six critères permettant de déterminer si une vulnérabilité est « significative » ou pas :

  • Le nombre d’utilisateurs affectés
  • Le nombre de produits touchés
  • L’impact technique de la vulnérabilité
  • Le type de produits
  • L’exploitation active de la vulnérabilité par des acteurs malveillants
  • L’existence d’un code d’exploitation

Le décret impose donc aux éditeurs de signaler à l’ANSSI toute vulnérabilité identifiée comme « significative » dès sa découverte. Après analyse de la situation, l’agence fixera à l’éditeur un délai pour communiquer à ses utilisateurs la faille ou l’incident. Ce délai ne peut être inférieur à 10 jours ouvrables, « sauf en cas de risque pour la défense et la sécurité nationale requérant une information des utilisateurs sans délai », lit-on dans le décret.

Dans le cas où c’est l’ANSSI qui transmet à un éditeur un signalement de faille issu d’une source tierce, cet éditeur a 48 heures pour estimer si la vulnérabilité est « significative ». L’agence peut alors lui imposer un délai pour la divulguer à ses utilisateurs. En cas de refus répétés de l’éditeur, l’ANSSI se réserve le droit de rendre elle-même la faille publique.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.