La loi de programmation militaire, dite LPM 2024-2030, du 1er août 2023 crée de nouvelles obligations à la charge des éditeurs de logiciel victimes de vulnérabilités ou d’incidents de sécurité compromettant leur système d’information.
C’est l’article L. 2321-4-1 du Code de la défense qui fixe ces nouvelles règles.
Pourquoi ?
De trop nombreux incidents de sécurité concernent des vulnérabilités disposant de correctifs de sécurité publiés par les éditeurs et ayant fait l’objet de publication d’avis ou d’alertes sur le site du CERT-FR.
Le gouvernement a donc souhaité s’assurer que les utilisateurs soient réellement informés des vulnérabilités affectant leurs logiciels, afin de favoriser la correction des vulnérabilités et limiter leur exploitation ultérieure par des personnes malintentionnées.
Certaines réglementations (directive NIS 2, RGPD) obligent les professionnels à signaler des violations de sécurité. C’est le cas du RGPD, qui peut occasionnellement conduire un éditeur de logiciel, en qualité de responsable de traitement, à notifier une violation de sécurité affectant un fichier de données personnelles.
Mais, jusqu’à présent, il n’existait pas de dispositif prévoyant spécifiquement d’informer les utilisateurs d’une vulnérabilité affectant leur logiciel. C’est ce que la LPM 2024-2030 vient corriger.
Qui est concerné ?
Les éditeurs de logiciel…
Est considéré comme un éditeur de logiciel « toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à disposition d’utilisateurs, à titre onéreux ou gratuit » (art. L. 2321-4-1, al. 3 Code de la défense)
Cette définition est très large, puisqu’elle englobe aussi les logiciels proposés gratuitement (freeware comme logiciels libres), et s’applique à tout type d’éditeurs : société commerciale, association mais aussi personne physique (libriste).
Mise à jour : Dans sa FAQ du 29 avril 2024, l’ANSSI a également précisé que « l’obligation de notification porte sur les vulnérabilités affectant des produits et ce quel que soit leur mode de distribution (Software-as-a-Service (SaaS), on-premise…).
… fournissant leur logiciel en France
Pour faire simple, il faut que l’éditeur fournisse son logiciel « sur le territoire français » ou « à des sociétés ayant leur siège social sur le territoire français« .
Que faut-il signaler ?
Les éditeurs de logiciel concernés par l’article L. 2321-4-1 du Code de la défense sont tenus de signaler deux évènements différents :
Les vulnérabilités significatives du logiciel
L’éditeur de logiciel doit signaler toute vulnérabilité significative affectant un logiciel.
Les incidents informatiques compromettant le SI de l’éditeur, susceptibles d’affecter significativement un logiciel
L’éditeur de logiciel doit signaler tout incident informatique compromettant la sécurité de son SI et susceptible d’affecter significativement son logiciel.
Constitue un incident informatique « tout évènement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement ou des services que les réseaux et les systèmes d’information offrent ou rendent accessibles ».
Cela concerne le SI sur lequel des informations secrètes ou sensibles relatives au logiciel sont stockées (par exemple : codes sources, tickets, informations relatives aux vulnérabilités connues, etc.).
Qu’est-ce qui est « significatif » ?
L’article L. 2321-4-1 du Code de la défense ne définit pas ce qu’est une vulnérabilité « significative » ni un incident informatique susceptible d’affecter « significativement » un logiciel.
Il est prévu qu’un décret d’application « précise notamment les critères d’appréciation du caractère significatif de la vulnérabilité ou de l’incident« .
Dans tous les cas, le caractère significatif sera définit en fonction « des pratiques et des standards internationaux communément admis » – le fameux état de l’art.
Mise à jour : Le décret n°2024-421 du 10 mai 2024 est venu préciser la loi. Consulter notre article dédié ici : Signalement de vulnérabilités par les éditeurs de logiciels : les précisions du décret n°2024-421.
A qui doit-on signaler ?
Le signalement s’effectue en deux temps.
D’abord à l’ANSSI
L’éditeur du logiciel doit notifier à l’autorité nationale de sécurité des systèmes d’information (ANSSI) la vulnérabilité ou l’incident et fournir une analyse de ses causes et de ses conséquences.
Ensuite, aux utilisateurs du logiciel
Ce n’est que dans un second temps que l’éditeur du logiciel doit informer les utilisateurs du logiciel.
En effet, le texte prévoit que cette information doit se faire « dans un délai fixé par [l’ANSSI] ».
Cette information s’effectue quasiment avec l’accord préalable de l’ANSSI puisque le délai d’information tient compte de plusieurs éléments (« l’urgence », les « risques pour la défense et la sécurité nationale » mais aussi le « temps nécessaire aux éditeurs pour prendre les mesures correctives »).
On imagine donc que, dans certaines circonstances, il puisse y a voir urgence à attendre avant d’informer les utilisateurs. Bien qu’il n’existe pas d’obligation légale de corriger la vulnérabilité, il s’agit notamment de permettre à l’éditeur de proposer un correctif ou une solution de contournement simultanément à la communication de la vulnérabilité.
Mais la négligence de l’éditeur à informer les utilisateurs de son logiciel pourra être combattu par l’ANSSI en enjoignant l’éditeur à procéder à l’information voir en informant elle-même les utilisateurs ou en rendant public la vulnérabilité et l’injonction faire à l’éditeur négligent.
Quand cela s’applique-t-il ?
Le 1er juin 2024
La loi de programmation militaire de 2024-2030 est entrée en vigueur le 3 août 2023, au lendemain de sa publication au Journal Officiel.
En pratique, les obligations applicables aux éditeurs de logiciel victimes de vulnérabilités nécessitent d’être précisées par le décret d’application prévu à l’article L. 2321-4-1 du Code de la défense.
Ce décret permettra notamment de préciser les modalités de signalement ainsi que le caractère significatif des vulnérabilités dont il est question.
Mise à jour : Le décret n°2024-421 du 10 mai 2024 prévoit que le dispositif entre en vigueur le 1er juin 2024.
Focus RGPD
Cependant, les éditeurs de logiciel doivent dès à présent anticiper l’entrée en application de ces nouvelles règles, en mettant à jour leur registre des traitements et leur Politique de confidentialité RGPD.
En effet, les éditeurs devront mettre en œuvre un nouveau traitement visant à alerter les utilisateurs en cas de vulnérabilités, ce qui suppose de prévoir cette finalité, d’en déterminer la base légale, la durée de conservation et les données à collecter.
SHIFT avocats se tient à votre disposition pour votre mise en conformité.
*
Le cabinet SHIFT avocats accompagne et conseille les entreprises en Droit de l’informatique et en Droit des données personnelles depuis plus de 20 ans. Contactez-nous pour toute question: contact@shift-avocats.com.