En août 2023, la loi de programmation militaire (LPM 2024-2030) a créé une obligation pour les éditeurs de logiciel de notifier les vulnérabilités de leurs produits à l’ANSSI et à leurs utilisateurs.
Le dispositif établi à l’article L. 2321-4-1 du Code de la défense, nouvellement créé, attendait toutefois un décret pour préciser le périmètre d’application.
Nous vous le présentions en août dernier : « Les éditeurs de logiciel victimes de vulnérabilité doivent informer l’ANSSI et leurs utilisateurs«
Le décret d’application a été publié récemment au Journal Officiel et vient répondre aux doutes et questions des professionnels de l’édition informatique.
Qu’est-ce qu’une vulnérabilité significative ?
Le dispositif de notification ne s’applique qu’aux vulnérabilités dites « significatives« , la loi laissant le soin au décret d’en donner une signification.
Le décret précise que l’éditeur doit apprécier le caractère significatif, au regard des éléments suivants :
1° Le nombre d’utilisateurs concernés par la vulnérabilité ou l’incident affectant le produit ;
2° Le nombre de produits intégrant le produit affecté ;
3° L‘impact technique, potentiel ou actuel, de la vulnérabilité ou de l’incident sur le fonctionnement attendu du produit. Selon les fonctionnalités du produit, cet impact est évalué au regard de critères de sécurité tels que la disponibilité, l’intégrité, la confidentialité ou la traçabilité ;
4° Le type de produit au regard de ses usages et de l’environnement dans lequel il est déployé ;
5° L’exploitation imminente ou avérée de la vulnérabilité ;
6° L’existence d’une preuve technique d’exploitabilité ou d’un code d’exploitation.
Cette liste reprend la majeure partie des critères établis par FIRST pour le score CVSS.
C’est à l’éditeur du logiciel d’évaluer le caractère significatif de la vulnérabilité.
A quel moment l’éditeur doit-il notifier l’ANSSI ?
Le décret précise que « S’il constate que la vulnérabilité ou l’incident est significatif, l’éditeur de logiciel le notifie l’autorité nationale de sécurité des systèmes d’information« . La notification doit s’effectuer dès lors que l’éditeur a établi le caractère significatif de la vulnérabilité. Il n’y a donc pas de délai qui court à compter de la découverte de la vulnérabilité ; mais dès lors que l’éditeur est certain du caractère significatif de la vulnérabilité, il devra le notifier sans délai à l’ANSSI.
Il existe toutefois une nuance lorsque la vulnérabilité est signalée par l’ANSSI à l’éditeur. Dans ce cas, l’éditeur doit analyser le caractère significatif de la vulnérabilité sous 48 heures.
Les éditeurs distribuant en SaaS sont-ils concernés ?
Oui, l’ANSSI a confirmé que l’obligation de notification porte sur les vulnérabilités affectant des produits, et ce « quel que soit leur mode de distribution (Software-as-a-Service (SaaS), on-premise…)« .
Comment notifier l’ANSSI ?
Un formulaire électronique de déclaration de vulnérabilité et d’incident sera mis en ligne sur le site de l’ANSSI.
Quand faut-il avertir les utilisateurs ?
Le délai à respecter pour communiquer la vulnérabilité aux utilisateurs est fixé par l’ANSSI. Le décret précise que ce délai ne peut être inférieur à 10 jours. Toutefois, ce délai peut être plus court en cas de risque pour la défense et la sécurité nationale. Il s’agit d’une bonne pratique, visant notamment à permettre à l’éditeur de développer un correctif ou de trouver une solution de contournement.
Comment avertir les utilisateurs ?
Plusieurs moyens sont envisageables (publication sur le site internet de l’éditeur, publication d’une CVE sur le CERT-FR, communication privée réservée aux clients, etc.) et doivent être étudiés par l’éditeur avec l’ANSSI.
Qu’est-ce qu’un utilisateur ?
Selon l’ANSSI, il faut entendre le terme « utilisateur » comme le plus largement possible afin qu’il couvre toute la chaîne de distribution du logiciel : intégrateur, distributeur, utilisateurs finaux.
Existe-t-il une obligation de corriger les vulnérabilités significatives ?
Non, la loi LPM ne crée pas d’obligation de corriger les vulnérabilités significatives. Cependant, l’obligation de communiquer sur les vulnérabilités significatives s’applique à tous les logiciels édités par l’éditeur, y compris les logiciels en fin de support (end-of-life product). L’ANSSI reconnaît que la communication d’une vulnérabilité non corrigée « n’est pas une pratique privilégiée, mais peut, dans de rares cas, être préférable à l’absence de communication« .
Quand est-ce que ces obligations entrent en vigueur ?
Le décret n°2024-421 du 10 mai 2024 prévoit que le dispositif entre en vigueur le 1er juin 2024.
Focus RGPD
Cependant, les éditeurs de logiciel doivent dès à présent anticiper l’entrée en application de ces nouvelles règles, en mettant à jour leur registre des traitements et leur Politique de confidentialité RGPD.
En effet, les éditeurs devront mettre en œuvre un nouveau traitement visant à alerter les utilisateurs en cas de vulnérabilités, ce qui suppose de prévoir cette finalité, d’en déterminer la base légale, la durée de conservation et les données à collecter.
SHIFT avocats se tient à votre disposition pour votre mise en conformité.
*
Le cabinet SHIFT avocats accompagne et conseille les entreprises en Droit de l’informatique et en Droit des données personnelles depuis plus de 20 ans. Contactez-nous pour toute question: contact@shift-avocats.com.
