Entrée en vigueur le 3 août 2023
Est créé par : LOI n°2023-703 du 1er août 2023 - art. 66
En cas de vulnérabilité significative affectant un de leurs produits ou en cas d'incident informatique compromettant la sécurité de leurs systèmes d'information et susceptible d'affecter significativement un de leurs produits, les éditeurs de logiciels notifient à l'autorité nationale de sécurité des systèmes d'information cette vulnérabilité ou cet incident ainsi que l'analyse de ses causes et de ses conséquences. Cette obligation s'applique aux éditeurs qui fournissent ce produit :
1° Sur le territoire français ;
2° A des sociétés ayant leur siège social sur le territoire français ;
3° Ou à des sociétés contrôlées, au sens de l'article L. 233-3 du code de commerce, par des sociétés ayant leur siège social sur le territoire français.
Les éditeurs de logiciels informent les utilisateurs de ce produit, dans un délai fixé par l'autorité nationale de sécurité des systèmes d'information et déterminé en fonction de l'urgence, des risques pour la défense et la sécurité nationale et du temps nécessaire aux éditeurs pour prendre les mesures correctives. A défaut, l'autorité nationale de sécurité des systèmes d'information peut enjoindre aux éditeurs de logiciels de procéder à cette information. Elle peut également informer les utilisateurs ou rendre publics cette vulnérabilité ou cet incident ainsi que son injonction aux éditeurs si celle-ci n'a pas été mise en œuvre.
Pour l'application du présent article, on entend par éditeur de logiciel toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d'utilisateurs, à titre onéreux ou gratuit.
Pour l'application du premier alinéa, on entend par incident informatique tout événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou faisant l'objet d'un traitement ou des services que les réseaux et les systèmes d'information offrent ou rendent accessibles.
Un décret en Conseil d'Etat, pris après avis de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, définit les modalités d'application du présent article. Il précise notamment les critères d'appréciation du caractère significatif de la vulnérabilité ou de l'incident mentionnés au premier alinéa. Le caractère significatif de la vulnérabilité est défini en fonction des pratiques et des standards internationaux communément admis.
Désormais, l'article L.2321-4-1 du code de la défense impose aux éditeurs fournissant leurs produits en France, de notifier à l'ANSSI les vulnérabilités significatives et les incidents affectant significativement la sécurité de leurs produits (2). S'agissant des moyens mis en œuvre par les attaquants, l'ANSSI constate la poursuite des attaques visant la chaîne d'approvisionnement.
Lire la suite…Cette loi organique a été prise par une ordonnance n° 58-1099 du 17 novembre 1958 portant loi organique pour l'application de l'article 23 de la Constitution. L'article 1er dispose : « Pour chaque membre du Gouvernement, les incompatibilités établies à l'article 23 de la Constitution prennent effet à l'expiration d'un délai de un mois à compter de sa nomination. […] Elles ont été précisées par un décret n° 2024-421 du 10 mai 2024 pris pour l'application des articles L. 2321-2-1 à L. 2321-4-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques.
Lire la suite…Délibération n° 2024-025 du 7 mars 2024 portant avis sur un projet de décret pris pour l'application des articles L. 2321-2-1 à L. 2321-4-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques […] S'agissant des données qui ne sont pas directement utiles, les projets d'articles R. 2321-1-5 et R. 2321-1-10 du code de la défense prévoient qu'elles sont détruites dans un délai d'un jour ouvré, ce qui respecte l'exigence prévue par la loi (articles L. 2321-2-1 et L. 2321-2-3 du code de la défense) d'un « délai bref » de suppression.
[…] Le projet de décret vise à définir les modalités d'application des articles législatifs relatifs aux modes d'actions de l'ANSSI (L. 2321-2-1 à L. 2321-4-1 du code de la défense) et aux modalités de leur contrôle par l'Arcep (L. 33-14, L. 36-7 et L. 36-14 du CPCE). […] 4/11 […] R. 2321-1-8 II – Mesures de blocage,
[…] L'article B du projet de loi modifie l'article L. 34-8-2-1 du CPCE relatif au droit d'accès aux infrastructures d'accueil. […] f) relatif à l'accès à la fibre noire et en ajoutant un motif de refus d'accès pour les infrastructures critiques au sens du code de la défense, […] l'article B, précise par ailleurs les critères à prendre en compte pour déterminer le caractère « équitable et raisonnable » des tarifs d'accès en renvoyant aux conditions prévues à l'article 3§4 du règlement sur les infrastructures Gigabit. […] l'article 26 du projet de loi DDADUE prévoit l'abrogation à compter du 11 septembre 2026 de l'article L. 2321-4-1 du code de la défense relatif à l'obligation pour les éditeurs de logiciel, […]
Désormais, l'article L.2321-4-1 du code de la défense imposent aux éditeurs fournissant leurs produits en France, de notifier à l'ANSSI les vulnérabilités significatives et les incidents affectant significativement la sécurité de leurs produits (2). S'agissant des moyens mis en œuvre par les attaquants, l'ANSSI constate la poursuite des attaques visant la chaîne d'approvisionnement.
Lire la suite…